Porteur | Guillaume Ginis (CETIC) |
Chercheurs | Sereysethy Touch (UNamur) : ASGARD – An Adaptive Self-guarded Honeypot Gorby Kabasele Ndonda (UCLouvain): IDS4ROS Alexander Gros (UMons): Detection of unauthorized physical devices Colin Evrard (UCLouvain): Software cybersecurity – Towards terabit ethernet Kokthay Poeng (UNamur) : Attack in the multi-cloud, CDN slicing, Anomaly detection based on UEBA |
Objectifs | Cyber-sécurisation et surveillance 24/7 de systèmes industrie 4.0 et spatiaux. |
Enjeux | De nombreux domaines évoluent et deviennent de plus en plus connectés et c’est bien entendu le cas de l’industrie avec sa transformation numérique (Industrie 4.0) ou le domaine spatial. Au cœur de cette connectivité, la cybersécurité est devenue l’une des préoccupations majeures. Bien que celle-ci soit de plus en plus prise en compte dans le design d’un système, garantir la cybersécurité d’un système doit se faire tout au long de son cycle de vie. Ceci doit se faire par du monitoring continu de la cybersécurité et une surveillance 24/7 des systèmes. Les cyberattaques évoluent constamment, devenant de plus en plus sophistiquées et ciblées. Des acteurs malveillants, qu’ils soient des criminels isolés, des groupes organisés ou même des États-nations, exploitent les moindres failles pour infiltrer des réseaux, voler des données sensibles, perturber des services vitaux et semer le chaos. La plupart des équipements de surveillance de la sécurité ne sont capables de détecter que des attaques bien connues et les moyens mis en œuvre par les attaquants pour masquer leurs traces sont de plus en plus élaborés. Certaines campagnes récentes comme “Operation Ghost”1 ou “Solarwinds”2, s’étendent sur des années et certains systèmes restent souvent infectés lorsque la campagne a pris fin. 1 https://www.microsoft.com/en-us/security/blog/2021/05/27/new-sophisticated-email-based-attack-from-nobelium/ 2 https://web-assets.esetstatic.com/wls/2019/10/ESET_Operation_Ghost_Dukes.pdf |
Challenges | Le monitoring continu de la cybersécurité pose plusieurs défis majeurs tels que : -Le volume de données : Les systèmes informatiques traitent et génèrent d’énormes quantités de données chaque seconde. Filtrer les évènements pertinents des bruits de fond est une tâche monumentale. Les outils de monitoring doivent être capables de trier ces données de manière intelligente pour repérer les signaux parfois faibles d’une attaque. – La complexité des environnements : Avec la montée en puissance du Cloud, des objets connectés (IoT), des réseaux hybrides et des applications distribuées, les environnements informatiques sont devenus extrêmement complexes. Chaque élément de cet écosystème peut potentiellement devenir une porte d’entrée pour les cybercriminels. -L’évolution des menaces : Les cybercriminels ne restent jamais immobiles. Ils adaptent leurs tactiques et leurs techniques pour contourner les défenses les plus avancées. Ainsi, les solutions de surveillance doivent être constamment mises à jour et améliorées pour rester efficaces. -La pénurie de compétences : La demande de professionnels de la cybersécurité dépasse largement l’offre, créant une pénurie de compétences critique. Les organisations luttent pour recruter et retenir les talents nécessaires pour gérer efficacement leurs opérations de surveillance. |
Solutions possibles | L’amélioration du partage des informations sur les menaces provenant de différentes sources est une partie cruciale. Ce domaine s’appelle la Cyber Threat Intelligence. Les organisations s’appuient de plus en plus sur des services de renseignement sur les menaces pour pouvoir détecter et anticiper les attaques et renforcer leurs défenses. Des protocoles standards d’échange de ces informations sont développés. Toutefois, il reste difficile de décrire une menace de façon à ce qu’elle puisse être identifiée de manière systématique tant des variantes de ces attaques existent. De plus, certaines victimes d’attaques hésitent encore à partager ces informations afin de ne pas nuire à leur réputation. Encore récemment, Microsoft n’a communiqué sur une faille qu’ils connaissaient depuis des mois que lors de sa correction1. Une plus grande automatisation du traitement des menaces connues libère le temps des équipes de sécurité afin qu’elles puissent se concentrer sur la détection et le traitement des menaces plus sérieuses ou encore inconnues. Les systèmes automatisés peuvent répondre à des incidents mineurs, ils peuvent isoler des machines compromises et même appliquer des correctifs de sécurité sans intervention humaine. Par extension, l’utilisation d’Intelligence Artificielle (IA) et de Machine Learning sont des technologies qui jouent un rôle crucial dans le futur du monitoring continu de la cybersécurité. Les algorithmes d’IA peuvent analyser les comportements suspects, détecter les anomalies et prendre des mesures préventives, le tout en temps réel. En conclusion, le monitoring continu de la cybersécurité représente un défi très important, mais également une opportunité d’innovation et de collaboration. Les avancées technologiques telles que l’IA et l’automatisation offrent des moyens puissants de renforcer nos défenses. 1https://www.bleepingcomputer.com/news/security/windows-kernel-bug-fixed-last-month-exploited-as-zero-day-since-august/ |
Sujets clés | IoT, Cloud, monitoring |
principaux secteurs impactés | Secteur Spatial, Industrie 4.0 |
Participants | UCLouvain, UNamur, UMons, CETIC |