Go to content

CONIX co-rédacteur d’un guide AFNOR sur la cybersécurité

La Commission Nationale pour la Sécurité de l’Information, la Protection des Données et de la Vie Privée (CN SSI) publie le guide « Normes volontaires et approches innovantes pour la cybersécurité » en partenariat avec le Club EBIOS, la RATP, ORANGE et CONIX.

La rédaction de ce guide a été motivée par un constat : la cybersécurité a autant de définitions que de personnes qui en parlent. L’objectif est donc de proposer un modèle de représentation universel, mais aussi des outils qui permettent de l’utiliser.

Les éléments proposés dans cet article sont très largement résumés du guide en question. Retrouvez le guide complet sur le site de l’AFNOR.

Une nouvelle représentation du cyberespace

Le guide promeut un cadre de représentation du système-cible plus ambitieux que les cadres usuels : il propose de le projeter sur une modélisation stratifiée du cyberespace, qui comprend, selon le niveau de détail attendu, entre 3 et 6 strates.

L’approche est disruptive, mais elle n’est pas inédite. Elle a été théorisée à partir de 1997 par la NSA et régulièrement citée depuis. Elle est notamment évoquée dans les éléments publics de doctrine militaire de lutte informatique offensive du Ministère des Armées en 2018.

Projection d’un environnement sur les 3 couches fondamentales du cyberespace

A la différence des modèles usuels, cette représentation offre des opportunités inédites pour exprimer des concepts jusqu’ici orphelins. A titre d’exemple, choisissons un système constitué d’une personne physique et de son avatar dans un réseau social :

  • La personne physique est représentée au sein de la strate « humaine »
  • L’avatar est représenté au sein d’une strate ad hoc : la strate « cyber-persona »
  • Le lien entre la personne et son avatar est un simple lien entre les deux strates

Allons plus loin : une usurpation d’identité est, tout simplement, une corruption de ce lien d’identité. On n’a jamais fait plus simple pour expliciter la privacy, non ?

Représentation d’un cas d’usurpation d’identité (lien en rouge)

L’usage de cette représentation pour les situations de confrontation

La notion de confrontation est largement étudiée dans des domaines connexes de la cybersécurité (la criminologie, le domaine militaire, etc.). Les concepts de ces disciplines seront utiles pour analyser les manifestations de la confrontation dans le cyberespace.

En particulier, la confrontation ne peut être étudiée sans identifier les attaquants via une analyse systémique des menaces qui pèsent sur le système-cible. Le guide propose des clefs pour réaliser cette analyse, mais surtout pour les caractériser, sur deux aspects fondamentaux :

  • Leurs motivations, c’est-à-dire les objectifs stratégiques de l’attaquant vis-à-vis du système-cible (la confrontation est toujours relative)
  • Leurs capacités, c’est-à-dire… la projection de l’attaquant sur le modèle stratifié avec mentions des vecteurs et des charges qu’il peut activer

C’est l’occasion de s’apercevoir que les attaquants ont des capacités hybrides avec des vecteurs d’attaques distribués dans les domaines physique, cybernétique et anthropique (typiquement, les attaques de type manipulation ou influence) qu’ils peuvent combiner.

Dès lors, tout s’éclaire : sur le même modèle stratifié, les deux systèmes (défenseur et attaquant) se rencontrent, et l’étude systématique des différents points de rencontre est grandement facilitée.

Une situation de confrontation à T0 de l’attaque

Le présent article est une très courte introduction non exhaustive. Le guide AFNOR co-rédigé par CONIX, vous dévoilera toute la richesse de cette approche. Laissez-vous guider et découvrez comment un sujet riche et complexe peut être appréhendé avec la bonne grille de lecture !