Les trusted communities améliorent la cybersécurité

Les trusted communities ou communautés de confiance sont les artères vitales et parfois secrètes de la cybersécurité; elles constituent une parade indispensable contre les pirates.

Texte: Frank Herberg, publié le 29.04.2021

En 1988, l’un des premiers vers informatiques, baptisé Morris d’après le nom de son auteur, paralysait une grande partie du réseau Internet qui était alors relativement transparent avec ses quelque 60 000 ordinateurs. L’événement a entraîné la création des computer emergency response teams ou CERT, des équipes d’alerte et de lutte contre les futurs incidents de sécurité sur Internet. Composées de spécialistes informatiques, ces équipes devaient intervenir chaque fois qu’une nouvelle entité malveillante sévissait sur Internet, afin de circonscrire au plus vite les dommages causés. Lorsque le premier ransomware de l’histoire – le cheval de Troie AIDS – s’est propagé à peine un an plus tard, la nécessité des CERT est apparue d’autant plus évidente.

Toutefois, les équipes d’experts en sécurité informatique se sont assez vite rendu compte que seules, elles ne pourraient pas lutter assez efficacement. Les CERT ont donc dû se regrouper en réseau pour coordonner leur action à l’encontre d’attaques menées à l’échelle de plusieurs pays. Un autre facteur a joué en faveur du dialogue: chaque équipe avait besoin d’être alertée le plus tôt possible lors d’un nouvel incident de sécurité pour pouvoir protéger son infrastructure propre. C’est ainsi que le «Forum of Incident Response and Security Teams» ou FIRST a vu le jour dès 1990. Son objectif: permettre et encourager les échanges entre les CERT du monde entier. Sa méthode: mettre en réseau, communiquer, développer la confiance, coopérer.

Aujourd’hui, plus de 30 ans ont passé et les menaces sont tout autres. Les dommages imputables à la cybercriminalité augmentent chaque année; on les estime à plus de mille milliards de dollars à l’échelle mondiale rien que pour 2020. Cette activité lucrative pour les cybercriminels pose un défi toujours plus complexe aux spécialistes de la sécurité informatique. Les communautés de confiance sont donc d’autant plus cruciales. Les impératifs sont les mêmes qu’il y a 30 ans: apprendre rapidement les uns des autres et coopérer efficacement en cas d’incident.

Quelques exemples de communautés de confiance:

Les CERT sectoriels: SWITCH gère des CERT sectoriels avec des communautés de confiance pour les hautes écoles suisses, les banques, l’industrie, la logistique et le secteur de l’énergie. Les parties concernées, qui se connaissent depuis de nombreuses années, échangent en détail à propos des derniers incidents de sécurité de leur secteur lors de conférences téléphoniques et de réunions fréquentes et régulières. Ces groupes réunissent des conditions essentielles au maintien d’un dialogue ouvert: les membres se connaissent tous et apportent leur contribution dans le strict respect des règles convenues.
Les chercheurs en sécurité: aujourd’hui, ce n’est plus au ver Morris ou au cheval de Troie AIDS que les chercheurs en sécurité et les analystes de malware ont affaire. Les programmes malveillants modernes et l’infrastructure sous-jacente sont infiniment plus complexes. Personne ne peut déjouer seul cette complexité pour toutes les familles de malware actives. Les experts ne peuvent agir efficacement que s’ils collaborent étroitement au sein de «listes» confidentielles et fermées, d’envergure mondiale. Pour cela, ils doivent travailler sans relâche et se forger une réputation irréprochable. Si l’un des membres se mettait à espionner les autres ou à enfreindre les règles, les répercussions seraient catastrophiques.
Les forums CERT: les CERT se structurent souvent en forums par zone géographique et par secteur. Ici aussi, la communication et la coopération en cas d’incident majeur de sécurité sont essentielles. À l’occasion des conférences FIRST, par exemple, des CERT partageant les mêmes problématiques sectorielles s’associent en sous-groupes qui favorisent des échanges plus étroits qu’un forum global. La participation active et le respect de règles claires y demeurent impératifs.

Quelle que soit la diversité des communautés de confiance, les principes indispensables à leur efficacité sont toujours les mêmes: les participants doivent se faire connaître personnellement et s’investir dans le groupe. En outre, ils ne peuvent faire usage des informations que dans les conditions prédéfinies. Beaucoup de ces communautés sont d’ailleurs inconnues du public; on n’y entre que sur invitation et après une vérification de sécurité. Comme dans la vie en général, la confiance s’y développe pas à pas, mais peut être rapidement mise à mal.

Bien sûr, les communautés de confiance ne fonctionnent pas de la même manière lorsqu’elles regroupent une dizaine de participants ou 500 membres. J’ai donc interrogé Serge Droz, président du FIRST et responsable Sécurité chez Proton, sur le rôle de la coopération dans la cybersécurité à l’échelle nationale et internationale:

«La communauté mondiale de la sécurité Internet est très particulière: nous partageons nos informations et notre savoir avec nos concurrents car nous avons un adversaire commun. En général, cet adversaire s’attaque indifféremment à toutes sortes de cibles pourvu qu’il en tire profit. Les équipes de sécurité ont d’autant plus intérêt à mettre leurs forces en commun: en agissant séparément, nous n’avons aucune chance de réussite. Cela vaut aussi bien pour les entreprises privées que pour les États. Les personnes qui échangent à l’occasion des conférences FIRST appartiennent souvent à des organisations de même type et sont en fait concurrentes entre elles. Cela s’explique aisément: ces personnes se rencontrent parce qu’elles ont les mêmes problèmes.»
Dr. Serge Droz, président du FIRST et responsable Sécurité chez Proton

J’ai également questionné Serge Droz sur l’importance de la confiance et la façon de la développer dans un contexte international:

«La confiance est le souffle vital des CERT. Sans elle, rien n’est possible. Il s’agit d’une valeur fondamentalement humaine; nous ne pouvons pas l’automatiser ou la créer par contrat. Les spécialistes de la réponse aux attaques l’instaurent à travers la collaboration et les échanges sociaux. Ce qui compte, c’est l’objectif commun. Dans notre communauté, c’est la protection des usagers d’Internet. L’expérience a montré que les contrats et les accords de confidentialité ont peu d’impact. En revanche, il importe que les équipes aient une vision claire de leur rôle et fassent preuve de transparence. Installer le CERT auprès des services secrets, par exemple, ne permettrait pas de créer la confiance. Le FIRST a donc rédigé un code d’éthique pour aider les équipes à opérer selon des méthodes et principes propices à la confiance.»
Dr. Serge Droz, président du FIRST et responsable Sécurité chez Proton

Le FIRST comprend actuellement 566 équipes dans le monde. Les participants aux conférences manifestent un très fort engagement envers un même objectif, indépendamment des distances géographiques. Encore une fois, c’est la condition idéale pour établir des liens fondés sur la confiance, entretenus ensuite de manière ciblée au sein de plus petits groupes ou, plus précisément, de communautés de confiance. SWITCH est un membre actif du FIRST depuis 1995.

FIRST code d'éthique