| Récemment, je me suis concentré sur le phénomène du BIAS et sur l’aide à apporter aux décideurs pour minimiser le BIAS dans leurs décisions. Je donne ici un Quadrant Crunching Cyber exemple. Pour démontrer qu’il s’agit de choses que le gestionnaire de la gestion de la continuité des activités et le gestionnaire des risques peuvent réaliser (ensemble). Cet exemple n’est qu’une illustration académique et non une analyse approfondie pour une organisation logistique. | Dans cette contribution, je donne ma propre opinion, et non celle d’une quelconque organisation. |
L’auteur : Manu Steens
J’ai récemment donné une première introduction aux techniques analytiques structurées pour l’analyse du renseignement, qui peuvent être utilisées dans les exercices d’analyse de risque et les exercices de crise dans la prise de décision.
L’une des questions que j’ai reçues était la suivante : « Peut-on également utiliser ces techniques dans le cadre de la gestion de la continuité des activités ? » La réponse a été « oui ». Et la promesse est une dette, bien sûr. L’idée est que le Quadrant Crunching est utile pour identifier les faiblesses d’une organisation face à une menace.
À titre d’exemple je donne une organisation logistique confrontée à des cyber-risques comme menace.
Contenu
À quoi sert la technique d’analyse « Quadrant Crunching » ?
Le Quadrant Crunching aide l’analyste à éviter les surprises en examinant systématiquement l’étendue des combinaisons possibles de variables clés sélectionnées. Ces variables clés sont des « paramètres » qui constituent l’hypothèse d’une crise. Ainsi, plus grand le nombre de combinaisons significatives, plus grand le nombre de types de crises possibles.
De cette manière, le Quadrant Crunching élargit considérablement la vision des vulnérabilités possibles et évite des phénomènes tels que la vision étroite, la pensée de groupe, le biais de récurrence, etc…
Quand utilise-t-on le Quadrant Crunching ?
Vous l’utilisez dans des situations très complexes et très ambiguës, avec peu de données disponibles et un grand potentiel de surprises.
Vous pouvez utiliser le Quadrant Crunching classique pour générer de nombreuses possibilités et remettre systématiquement en question les hypothèses formulées.
Comment fonctionne la procédure d’analyse ? La méthode
- Le point de départ est une « hypothèse principale » bien définie. Il s’agit d’une phrase qui décrit une crise et dont les éléments essentiels sont énumérés. Ce sont les réponses aux questions que les journalistes ont tendance à poser. Ce sont les « Qui », « Quoi », « Où », « Quand », « Pourquoi » et « Comment » d’une analyse « STAR ».
- Cette hypothèse principale est divisée en plusieurs éléments. Ces composantes sont les « suppositions clés » de l’hypothèse principale. Les suppositions clés sont ensuite décomposées en dimensions clés.
- Après ces suppositions clés, l’analyste génère deux, quatre, … exemples supplémentaires de « suppositions contraires ». Pour ce faire, il fait varier les suppositions et les dimensions de l’hypothèse principale.
- Les combinaisons de deux dimensions contraires sont placées dans des ensembles de matrices 2 x 2. Avec 4 quadrants chacune. Le nombre de combinaisons augmente rapidement en fonction du nombre de dimensions. Le placement dans les quadrants peut donc s’avérer fastidieux.
- Créez une ou plusieurs histoires pour chaque quadrant.
- Identifiez et supprimez les mauvaises combinaisons. Il s’agit de combinaisons qui ne peuvent pas être combinées ou qui sont difficiles à combiner. Par exemple, une attaque par ransomware qui est en même temps une attaque par effacement.
- Sélectionnez quelques histoires qui méritent le plus d’attention selon un ensemble de critères prédéterminés. Il s’agira des scénarios (histoires) les plus important(e)s. Ces critères sont des critères au service des objectifs de l’adversaire. Si cela s’avère utile, combinez un certain nombre d’histoires provenant de différentes matrices.
- Dressez une liste d’indicateurs pour chaque scénario.
- Déterminer et mettre en œuvre des mesures pour les scénarios les plus importants. Déterminer d’autres mesures pour le démarrage d’un scénario.
- Surveiller le système en fonction des indicateurs.
- Déterminer quel scénario démarre dès qu’un indicateur l’indique.
- Informer les décideurs. Décider des étapes suivantes.
Illustration à l’aide d’un exemple
L’exemple utilisé ici est celui d’une cyber-attaque contre une organisation logistique. Qu’il s’agisse d’une guerre hybride ou d’acteurs non étatiques (ANE) ou non.
La méthode fonctionne en partant d’un scénario initial suffisamment bien défini. Un outil pour établir ce premier scénario est la méthode STAR, qui se concentre en fait sur les questions que les journalistes posent souvent : Qui, Quoi, Où, Quand, Pourquoi, Comment. L‘ »hypothèse principale », que nous retiendrons dans cet exercice, est la suivante :
« Une attaque par ransomware, sur les services CLOUD du fournisseur de TIC (d’une organisation logistique), menée par une NSA, dont les victimes sont des clients de la chaîne d’approvisionnement de l’organisation logistique.
J’ai supprimé la composante « d’une organisation logistique » parce que dans ce cas, l’attaque est toujours dirigée contre sa propre organisation. S’il s’agissait d’une étude portant sur toutes les organisations possibles, il serait possible de conserver cette composante.
Lors de la génération d’une hypothèse principale, il est permis, voire bon, de s’inspirer d’un incident récent de l’actualité.
Ce scénario principale est ensuite décomposé en ses composantes, appelées suppositions clés, comme suit :
- une attaque par ransomware,
- sur les services CLOUD du fournisseur informatique
- menée par une NSA,
- dont les victimes sont des clients de la chaîne d’approvisionnement de l’organisation logistique
Face à ces suppositions clés du scénario, nous plaçons maintenant systématiquement des suppositions dites contradictoires et leurs dimensions. Cela permet d’augmenter très rapidement le nombre de scénarios, car on peut alors commencer à les combiner de manière aléatoire. Voici quelques possibilités (liste non exhaustive) :
| Scénario principale | Suppositions contradictoires | Dimensions |
| Attaque par ransomware | Autre type d’attaque | Attaque DDOS |
| Attaque par effacement | ||
| Attaque par hameçonnage | ||
| Ingénierie sociale | ||
| Vol de données | ||
| Corruption de données | ||
| Œufs de Pâques | ||
| Bombe logique | ||
| Attaque par logiciel malveillant | ||
| Attaque par rootkit | ||
| Vol de matériel | ||
| Spyware (logiciel espion) | ||
| Attaque de l’homme au milieu | ||
| Piratage | ||
| Usurpation d’identité | ||
| Combinaison des éléments ci-dessus | ||
| Sur les services CLOUD du fournisseur de TIC | Au sein de l’organisation elle-même | Sur les serveurs de l’organisation elle-même (achat, vente, maintenance, RH, entrepôt,…) (progiciel de gestion intégré, distribution,…) |
| Sur les serveurs de l’organisation elle-même (pare-feu, systèmes de surveillance, service d’assistance, site web,…) | ||
| Sur les systèmes PLC/ SCADA | ||
| Sur l’ordinateur portable d’un employé (systèmes bureautiques, systèmes de communication…) | ||
| Sur le smartphone d’un employé (carnet d’adresses, Whatsapp, Messenger, Teams, Photos…) | ||
| Sur la tablette d’un employé (systèmes bureautiques,…) | ||
| Chez le fournisseur d’accès à internet | Atteinte à leur confidentialité | |
| Atteinte à leur disponibilité | ||
| Attaque sur leur intégrité | ||
| Attaque sur la non-répudiation | ||
| Chez le client | Sur les serveurs | |
| Sur un ordinateur portable | ||
| Chez son fournisseur de TIC | ||
| Chez son fournisseur d’accès à l’internet | ||
| Chez un fournisseur de produits de base | Sur les serveurs | |
| Sur un ordinateur portable | ||
| Auprès de leur fournisseur de TIC | ||
| Auprès de leur fournisseur d’accès à l’internet | ||
| Au niveau de leur logiciel | ||
| Auprès des banques | Sur le mode de paiement | |
| Atteinte à leur confidentialité | ||
| Attaque sur leur disponibilité | ||
| Attaque sur leur intégrité | ||
| Attaque sur la non-répudiation | ||
| Menée par une ANS | Par une connaissance | Par un employé |
| Par un consultant | ||
| Par un visiteur | ||
| Par un parent d’un employé | ||
| Par un groupe d’action | ||
| Par un acteur étatique | Par les services informatiques militaires | |
| Par les espions | ||
| Par les services de renseignement | ||
| Par des personnes inconnues | Par ‘Anonymous’ | |
| Par un collectif de cybercriminels inconnu | ||
| Contre les clients de la chaîne d’approvisionnement de l’organisation logistique en tant que victimes | Dommages causés aux clients des clients | L’homme de la rue (clients B2C). |
| Les entreprises qui ont passé commande auprès du client B2B. | ||
| Dommages aux fournisseurs de l’organisation | Systèmes de paiement de l’organisation | |
| Systèmes de communication | ||
| Contre les personnes de l’organisation | Membres de la direction ou du conseil d’administration | |
| Pour réaliser des profits aux dépens de l’organisation | Extorsion de fonds | |
| Vol de fonds | ||
| Vol intellectuel | ||
| Vol de biens | ||
Poursuite de la progression
Reprenez chacune des combinaisons possibles de dimensions deux à deux dans des matrices. Pour chaque cellule de chaque matrice, donnez 1 à 3 exemples de scénarios possibles. Dans certains quadrants, il se peut qu’il n’y ait pas de scénarios réalistes. Vous n’en tiendrez alors pas compte. Certains quadrants inciteront à la réflexion et permettront d’envisager de nouvelles dynamiques.
Les critères permettant d’évaluer ce qui est très réaliste sont les suivants :
- Dégâts maximums, impact maximum, gain maximum pour le(s) auteur(s) de l’acte.
- Difficile à détecter (préparation et mise en œuvre) (ou mise en œuvre rapide).
- Il s’agit d’un défi difficile à relever.
Parfois, les cellules peuvent être prises ensemble. La combinaison d’autres cellules permet de concrétiser de nombreux scénarios.
Histoire cauchemardesque : Effacement du CAAS (Cloud as a service) par une organisation de services de renseignement.
Tâches du CRO et du responsable de la continuité des activités
- Réfléchir à ce que les décideurs peuvent faire pour éviter les mauvais scénarios, en atténuer l’impact et en gérer les conséquences.
- Dresser une liste d’indicateurs clés permettant d’évaluer si l’un de ces plans d’attaque est en phase de démarrage.
- Surveillance des hits sur les pare-feux.
- Rapports de détections régulières d’intrusions
- Surveillance des pots de miel
- hachage régulier du logiciel racine et comparaison avec le hachage d’origine.
- Surveiller les instabilités des systèmes
- En collaboration avec le spécialiste de la sécurité des TIC, mettre en œuvre des méthodes de sécurité en utilisant les normes ISO-27K et les normes NIST, etc.
- Déterminer les décisions de suivi à prendre lorsqu’un scénario se déroule, afin de conseiller les décideurs. Déterminer la subsidiarité des décisions. Pour ce faire, utilisez des fiches d’action.
Exemple de contenu d’une fiche pour une attaque DDOS
Définition – Introduction : Déni de service distribué (attaque DDOS)
Une attaque DDoS est une cyber-attaque dans laquelle une grande quantité de données est envoyée de manière coordonnée vers le site web ou le serveur web cible. L’objectif est de le surcharger et de le rendre inaccessible.
Pour éviter le pire, vous devez (savoir/) faire 2 choses :
(1) (comment) se préparer, et
(2) (comment) faire face à la situation.
Comment se préparer
| Ce qu’il faut faire | Motivation |
| Sensibilisation – Communication sur les risques. | Les gens ne commenceront donc pas à appeler en masse le service d’assistance informatique ou les opérations informatiques. Ils ne seront donc pas dérangés, ou moins dérangés, dans la gestion de la situation. |
| Surveiller en permanence le trafic de données | Mesurer, c’est savoir. Vous pouvez automatiser la détection et réagir en cas de trafic inhabituel. |
| Créez un plan d’action DDoS et responsabilisez le personnel informatique. | Le service informatique saura ce qu’il faut faire et pourra le faire immédiatement. (y compris la récupération hors ligne des sites). |
| Entraînez-vous comme vous combattez, pratiquez ! | Acquérir de l’expérience en matière de fermeture préventive de sites web. |
| Augmentez la capacité de la bande passante. | Vous pouvez gérer plus de trafic avant que des problèmes ne surviennent. |
| Services de protection fournis par des prestataires spécialisés. | Ils peuvent filtrer le trafic d’attaque avant qu’il n’arrive. Ils garantissent ainsi la disponibilité du site web. |
| Mise en œuvre de l’équilibrage de la charge. | Moins de risque de surcharger un seul point |
| Limitation du débit. | Limite le nombre de connexions à partir d’une même adresse IP. |
| Choisissez judicieusement votre fournisseur d’accès à Internet (FAI). | Certains disposent de bons outils pour limiter les attaques DDOS |
Comment y faire face
| Que faire ? | Motivation |
| La surveillance donne l’alerte | Il y a un niveau anormal de trafic de données sur le site web |
| Combattre comme on s’entraîne : commencer à mettre en œuvre le plan d’action DDOS | L’alternative est que le site web ou le service devienne lent ou tombe complètement en panne. |
| Communication de crise aux employés avec le MNS (Mass Notification System) | Nous savons – Nous faisons – Nous nous soucions – Nous reviendrons vers vous. Ce message doit exister à l’avance. |
| Communiquez avec l’équipe de gestion de crise (CMT). | Elle peut donner des ordres supplémentaires si elle le juge nécessaire. |
| Vérifiez l’écosystème de la « chaîne d’approvisionnement ». | Il peut y avoir des attaques contre d’autres organisations de la chaîne d’approvisionnement ou contre d’autres départements de votre propre organisation. |
| Communiquer avec le CCB (Centre de Cybersécurité Belgique). | Une organisation logistique est un service sociétal important. C’est pourquoi elle peut être amenée à appliquer les règles du NIS2. J’ai choisi le CCB ici parce que la Belgique est une plaque tournante de la mobilité logistique en Europe. |
Contacts
| Qui est | Coordonnées | Qui | Coordonnées de la personne à contacter |
| CMT & CISO | Numéro de téléphone permanent | COO | Numéro de téléphone |
| Employés | Voir le système de notification de masse | ISP | Permanence nr de téléphone ISP |
| Notification CCB | info[at]ccb.belgium.be | Fournisseurs | Liste des fournisseurs URL |
Objectifs possibles d’un tel exercice
L’un des principaux objectifs est d’identifier des scénarios réalistes et de générer ainsi un ensemble d’indicateurs nécessaires pour reconnaître l’émergence de problèmes, ou la reconnaissance d’un problème en cours, ou l’émergence de nouveaux problèmes en marge. Ceci dans le but de créer des SAP (Systèmes d’Alerte Précoce) qui peuvent alerter les parties prenantes de l’organisation concernée. Pour ce faire, on peut déjà s’appuyer sur la troisième colonne après avoir dressé les suppositions contradictoires et les dimensions associées.
La préparation de fiches d’action sur les types d’attaques possibles à l’intention de la CMT est également utile pour expliquer le déroulement de l’approche proposée de la crise.
Un autre objectif, plutôt en périphérie, est d’identifier un scénario d’exercice, lorsque le responsable de la continuité des activités ou le CRO souhaite attirer davantage l’attention sur un problème particulier.
Mais surtout, il permet de lutter contre la vision étroite en ouvrant les yeux sur les cyber-vulnérabilités au CISO, au CRO, au service d’assistance, aux opérations informatiques, au responsable de la continuité des activités et à la direction générale.