Un projet, financé par l'UE, a mis au point une boîte à outils et des méthodes téléchargeables conçues pour aider les entreprises et les organisations à aborder la cyber-sécurité d'une manière plus globale. Ses résultats positifs ont également contribué à l'élaboration de nouvelles normes industrielles.

Économie numérique

Pour fonctionner efficacement et sans rupture, les grandes entreprises et les services publics, tels que les hôpitaux ou les fournisseurs d'énergie, dépendent de réseaux de plus en plus complexes. Cette dépendance les rend vulnérables au cyber piratage, ce qui peut leur coûter des millions d'euros en matière d'interruptions du service et d'atteinte à leur réputation. Dans le cas des services publics, ces attaques peuvent même mettre des vies en danger. «Neuf défaillances de sécurité sur dix sont dues à des défauts des logiciels, ce qui représente une vulnérabilité fondamentale que peuvent exploiter les pirates», explique Juergen Grossmann de Fraunhofer en Allemagne, qui était en charge des questions de normalisation dans le cadre du projet RASEN. «La protection des grands réseaux, tels que ceux qui sont utilisés par les grandes entreprises, implique de comprendre toutes les menaces sous-jacentes potentielles. Mais la complexité du système peut rendre extrêmement difficiles les évaluations et les tests, ce qui constitue un problème majeur.» Des approches holistiques de la sécurité cybernétique Le projet RASEN a cherché à résoudre ce problème en traitant de façon plus globale les évaluations des menaces et les tests de sécurité. Jusqu'à présent, les deux ont été traités de façon distincte. «L'industrie exige des approches plus intégrées pour garantir la sécurité, mais actuellement aucune norme ne met suffisamment en avant la nécessité d'intégrer systématiquement l'évaluation des menaces et les tests de sécurité», déclare M. Grossmann. «Nous avons donc cherché des moyens pour mieux aider les entreprises et les organisations voulant réaliser une analyse complète des risques présentés par leurs réseaux à grande échelle.» Le projet RASEN a commencé par analyser de façon systématique la composition des résultats d'une évaluation des risques. Cela permet d'analyser séparément les composants individuels d'un système informatique avant de réaliser une évaluation globale à partir des résultats individuels. D'autre part, l'équipe a combiné des évaluations des menaces avec des tests de sécurité de bas niveau. «Avec cette approche, les évaluations des menaces peuvent être utilisées pour concevoir des tests de sécurité, et les résultats de ces tests peuvent être utilisés pour vérifier ou mettre à jour les évaluations des menaces», explique M. Grossmann. «D'autre part, ces méthodes considèrent l'évaluation des menaces selon différents points de vue. Les évaluations des risques juridiques, par exemple, traitent les menaces dans un cadre légal, tandis que les évaluations des risques de sécurité estiment la probabilité des menaces ainsi que leurs conséquences.» Des résultats concrets Les résultats du projet RASEN ont débouché sur une boîte à outils qui aide les entreprises et les organisations à combiner l'évaluation des menaces et les tests de sécurité. L'idée est de rendre la méthodologie du projet aussi fonctionnelle et pratique que possible. La page méthode RASEN, ainsi que certains outils téléchargeables, sont désormais accessibles depuis le site web du projet, tandis que la page RACOMAT tool permet aux utilisateurs de combiner une évaluation des menaces à base de composants avec des tests de sécurité. Les tests peuvent être intégrés de façon transparente dans les simulations d'incidents utilisées par l'outil pour son analyse compositionnelle du risque. «Nos méthodes sont répétables, ce qui signifie qu'une évaluation continue par réévaluation rapide contribuera à maintenir la validité des résultats, même lorsque le système cible ou son environnement change et évolue», ajoute M. Grossmann. «Par exemple, notre outil RACOMAT accède à des bibliothèques contenant des objets d'analyse des risques tels que des modèles d'attaque et des modèles de test de sécurité, offrant un haut niveau de réutilisabilité. Une grande partie du processus peut être réalisé automatiquement.» Le projet RASEN a également préparé le terrain à plusieurs nouveaux projets de recherche - le Fraunhofer est par exemple impliqué dans le projet http://www.prevent-project.org/ (PREVENT) - et a contribué à l'élaboration de nouvelles normes industrielles. «Plusieurs documents de normalisation (par exemple, ETSI EG 203.251 et ETSI TR 101 583) ont été adoptés par l'European Telecommunications Standards Institute et transmis aux organismes internationaux de normalisation», précise M. Grossmann. «Ces documents reflètent les résultats du projet dans le domaine de l'évaluation des risques pour la sécurité.»

Mots‑clés

RASEN, cyber-sécurité, boîte à outils, services publics, piratage, vulnérabilité, systèmes en réseau, normalisation, menace, RACOMAT