Chaque jour, des milliards de cyber menaces assaillent les entreprises et organismes de l'État. Combattre ces menaces fait baisser les ressources et la productivité, et seuls les plus grandes organisations sont capables d'obtenir une protection complète. Mais qu'en est-il des petits acteurs qui n'ont ni temps ni argent à y consacrer? Pour les aider à riposter, ce projet de l'UE développera des outils sophistiqués gratuits et faciles à installer.

Économie numérique

La vaste majorité des PME doivent sacrifier ses ressources limitées dont elles disposent pour obtenir les cyber défenses nécessaires, ou avancer comme elles peuvent avec des outils peu adaptés et espérer que cela suffira. Le projet WISER a pour objectif de remédier à cette situation en développant des outils de gestion des risques faciles à utiliser et gratuits que pourront exploiter les PME reposant largement sur les TIC et les plus grands opérateurs d'infrastructures critiques. «Souvent, les PME ne possèdent pas les ressources ou les aptitudes qui permettent d'utiliser des méthodologies, ni les outils avancés pour traiter la cyber menace, et la plupart n'ont pas non plus les moyens de s'offrir des services de conseil», affirmait Niccolò Zazzeri de la Trust-IT Srl située à Pise, membre du consortium de recherche WISER. «Notre objectif est d'offrir une solution sophistiquée facile à adopter par l'utilisateur final.» Lancé en juin 2015 sous forme de projet de 30 mois, WISER procédera à plusieurs «essais pilotes d'évaluation précoce» rapides pour tester leurs outils. Ils déboucheront sur trois essais pilotes à grande échelle se concentrant sur la détection des fraudes ainsi que sur la distribution, l'utilisation et la fourniture d'énergie. Les essais pilotes à grande échelle valideront en temps réel la méthodologie et les outils de modélisation de WISER en s'appuyant sur des scénarios réalistes. Un des outils en ligne gratuits déjà développé et testé par le consortium est Cyber-WISER Light, qui se compose de deux parties: un questionnaire et un test de vulnérabilité. «Lorsque nous parlons aux PME, nous leur proposons de faire régulièrement cette auto-évaluation car les menaces changent de nature et évolue avec le temps et selon les régions», déclarait Zazzeri. L'outil collecte des informations sur le réseau privé et produit un rapport fondé sur les meilleures pratiques générales de cyber-sécurité, pour enfin évaluer les risques encourus par l'entité en fonction de l'exposition. La prochaine étape s'appuie sur un test de vulnérabilité consistant à installer un jeton dans le serveur de l'entité. «Pour ce faire, l'utilisateur doit bien entendu disposer de la cyber autorisation de son organisme, mais il ne s'agit pas d'un jeton intrusif – simplement une opération de copier/coller. Il produit ensuite une image de la vulnérabilité du réseau en classant ses 10 principales faiblesses», observe-t-il. Le prochain outil du projet (appelé Cyber-WISER Plus et qui sera commercialisé à la fin 2016 ou début 2017) recherchera les menaces et les chevaux de Troie. Pour les grands opérateurs, l'équipe de recherche développera également une version «plateforme de risque en tant que service» (RPaaS). Elle servira aux infrastructures critiques et cyber systèmes très complexes ayant besoin de surveiller les commandes spéciales de leur système TIC afin d'empêcher leur altération. Les procédures de vérification se fonderont sur une fonctionnalité et des composants d'infrastructure à clé publique (PKI). Elles permettront de vérifier si la signature de la messagerie réseau correspond au certificat de l'organisme contenu dans chaque message. Selon Zazzeri, l'approche du projet consistant à combattre et limiter les menaces de cyber sécurité et dans l'infrastructure d'informations critiques «permettra également aux décideurs des organismes publics et privés d'évaluer plus efficacement les cyber dangers.»

Mots‑clés

WISER, cyber sécurité, menace, cheval de Troie, PME, réseau privé, exposition au risque, vulnérabilité, outil de gestion des risques