Porteur | Christophe Ponsard (CETIC) |
Chercheurs | · Sereysethy Touch (Unamur) · Daniela Magalhaes Azevedo (UCLouvain) · Justine ramelot (UClouvain) · Guillaume Ginis (CETIC) · Sébastien Dupont (CETIC) · Antoine Sacré (UNamur) · Anathalie THIRY-MUKUNDWA · Malik Bouhou (UNamur) |
Objectifs | Intégrer la gestion des risques dans le processus de tests de pénétration |
Enjeux | Afin de sécuriser les systèmes complexes, ouverts et distribués, les tests de cybersécurité/pénétration sont primordiaux mais doivent être guidés par l’analyse de risques. Les tests d’intrusion doivent se focaliser sur les risques les plus importants. Comme il n’est pas possible de tester exhaustivement toutes les possibilités d’attaques sur tous les composants d’un système, une manière d’allouer l’effort de test est de tenir compte des risques tant au niveau de la probabilité que de l’impact d’une attaque. Ceci est d’autant plus vrai que les tests d’intrusion requièrent l’intervention d’experts humains et l’utilisation d’outils parfois très spécialisés. L’allocation de ressources de tests aux “bons” tests est donc essentielle pour assurer une couverture optimale par rapport aux risques de cyber attaques. Cette approche orientée risque est l’approche adoptée par la majorité des standards et des certifications. Les démarches d’analyse de risques sont connues et font partie intégrante de tous les référentiels et standards de cybersécurité généralement basés sur l’ISO 31000 et déclinés sur des variantes spécifiques à un domaine (par exemple IT : ISO27000, OT : IEC 62443, automobile : ISO 21434). Ces analyses restent à la base essentiellement qualitatives et basées sur une modélisation très succincte des systèmes concernés. Ce grand défi vise à produire des analyses plus pertinentes et à les diriger vers des techniques de tests spécifiques sur base de l’arsenal de méthodes et outils développés dans le cadre du projet. |
Challenges | Le résultat des recherches sur ce grand défi sont des briques technologiques complétées par une méthode de mise en œuvre de niveau TRL 4 permettant de réaliser les analyses de risques génériques. Cette méthode est validée sur une étude de cas réalisée au moyen de la factory CyberExcellence. Le succès du défi est estimé en comparant des préconisations en termes de tests à réaliser avec celles d’autres démarches actuelles, ainsi que leurs coûts respectifs, ceci sur base d’une implémentation la plus complète possible de chaque démarche. Des expérimentations dans des domaines distincts pourront aussi être comparées afin d’en tirer des enseignements sur des points communs et des spécificités. |
Solutions Possibles | On pourra envisager les pistes indicatives (et non-exhaustives) suivantes: Utilisation de techniques de modélisation du domaine concerné au niveau de formalisme en adéquation avec les propriétés et les impacts encourus, estimer des vraisemblances via des techniques de raisonnement probabilistes (éventuellement allant jusqu’au model-checking stochastique), utiliser des techniques de génération de scénarios d’attaque afin d’identifier les tests de pénétration à réaliser et donner un certain niveau d’assurance sur l’efficacité des défenses en place, justifier un certain type de complétude de l’analyse de risque de manière duale: génération de scénarios de défense à mettre en place afin de réduire le risque à un niveau résiduel déterminé, considérer des contraintes de budget avec des compromis coût-risque, en tenant aussi compte du niveau d’automation des tests, déterminer un ensemble minimal de tests d’intrusion permettant de vérifier l’efficacité des mesures mises en place par rapport aux scénarios d’attaque, automatiser les tests fonctionnels de sécurité ainsi que la surveillance des risques identifiés via une Infrastructure DevSecOps. |
Sujets Clés | Méthodes de gestion des risques, tests de pénétration, “risk based testing”, … |
Principaux secteurs impactés | Secteur public, industrie 4.0, énergie, réseaux d’alimentation « Utilities », santé |
Participants | CETIC, UCLouvain |
Retrospective années 1 et résultats | ● Définition du défi à partir des études de cas ● Identification des problèmes de recherche relevants au défi, et recrutement/identification des chercheurs ● Identification des entreprises intéressées par le défi ● Création d’un groupe de travail ● Planification de la première réunion du groupe de travail en janvier 2023 |