CISO

En cybersécurité, c’est toujours l’inspecteur qui mène l’enquête

Share this post:

Les délits ont beau être virtuels, leur produit final est bien réel et représente de petites fortunes pour les cybervoleurs. Les protections techniques font leur travail, mais ne remplacent pas le travail d’investigation et de contextualisation mené par l’être humain.

En matière de cybercriminalité, on constate que l’objectif final des attaques est très souvent financier. En ce sens, le monde virtuel n’est pas différent du monde réel, la motivation des escrocs est toujours la même.

La cybersécurité permet de suivre, contrôler, surveiller l’immense flux d’instructions informatiques. Malgré les protections techniques, les malwares ou les vols de données continuent d’exister et des milliers d’entreprises en sont victimes.

Après une attaque, il convient d’en saisir les tenants et les aboutissants. Autrement dit, pour mieux se protéger, il faut comprendre comment une activité délictuelle dans le cybermonde est reliée au monde réel. Pour cela, un travail minutieux d’investigation, comparable à celui réalisé par les services de renseignement, est nécessaire. Heureusement, l’enquêteur humain peut être aidé par des outils informatiques, comme ceux d’i2.

Dessiner des hypothèses pour mieux comprendre

i2 Analyst Notebook est une application pour comprendre et investiguer les réseaux (Internet, réseaux sociaux, réseaux professionnels…). L’idée est de poser des hypothèses en les griffonnant et, à partir de ces dessins – à l’image de ceux que font les enquêteurs sur des tableaux dans les séries policières – de comprendre des situations complexes, de relier des phénomènes isolés pour former une série plus ou moins logique et établir des interconnexions entre faits et personnes. Le travail autour de la preuve et de l’investigation a été inversé. C’est un outil non plus au raisonnement déductif – en partant d’une théorie, on recueille les preuves d’un comportement criminel – mais inductif – en partant de l’observation, on échafaude des hypothèses qui aboutissent à une théorie.

Dans le domaine high-tech, les opérateurs de téléphonie mobile, notamment, ont repris cette méthode il y a une dizaine d’années afin de lutter contre certaines fraudes complexes (téléphone revendu comme une « cabine téléphonique », appels en masse de numéros surtaxés à partir d’une flotte de téléphones, etc.). Aujourd’hui les assureurs, les banques, les grands groupes de distributions sont utilisateurs.

Découvrez la démo interactive d’IBM i2 Analyst Notebook

C’est l’information qui compte, pas son support

La visualisation des événements se produisant sur les réseaux permet à l’enquêteur d’émettre des présomptions et constitue donc une aide précieuse en matière de cybersécurité. Par exemple, pour étudier une fuite de données, la piste technique consiste à tracer le document en question durant tout son cycle de vie : sur quel serveur il a été partagé, depuis quelle boite mail il a été envoyé, à quel moment il a été modifié, etc. On parlera ici de forensic.

L’autre piste consiste à suivre l’information en tant que telle (et non son support) afin de déterminer quels sont les différents vecteurs qui l’ont conduite à l’extérieur de l’entreprise. Autrement dit, on ne cherche pas le document lui-même, mais où l’information est apparue. Par exemple, imaginons qu’un projet d’acquisition d’une société ait fuité sur Internet. L’objectif n’est pas de trouver le projet d’accord en lui-même, mais l’information sur l’acquisition. La solution d’analyse de réseau va donc rechercher où cette information est successivement apparue et qui en parle : forums, blogs, réseaux sociaux. Il sera ainsi possible de contextualiser l’information et d’effectuer des recoupements : elle a surgi en premier sur le blog d’une personne qui connaissait telle autre personne, laquelle est mariée à un collaborateur d’un concurrent… C’est la visualisation globale du réseau qui permet de faire ressortir des liens entre des événements qui, a priori, n’en avaient pas et de mettre en évidence le but caché de l’opération.

Même s’il est aidé par une solution informatique, ce travail d’enquête est (et restera) effectué par un humain.

En savoir plus sur IBM i2 Analyst Notebook

Consultant investigation IBM Europe

More stories
22 janvier 2021

Le « Zero Trust » : remettre en question la confiance pour mieux faire confiance

En télétravail, les salariés ont dû gérer eux-mêmes leurs problèmes de sécurité. VPN, pédagogie sur les techniques de vol des identifiants numériques (hameçonnage ou « phishing ») ont montré leurs limites. La solution : le zero-trust.   Lors de l’arrivée de la Covid-19, les entreprises n’ont pas eu d’autres solutions que « d’ouvrir les vannes » de leur système […]

Continue reading

22 janvier 2021

Télétravail : prendre ses distances, mais pas avec la sécurité

Consacré par la crise du Covid-19, le télétravail marque définitivement l’éclatement du périmètre informatique de l’entreprise. Déjà élargi, voire redéfini, à plusieurs reprises par le passé avec l’essor des extranets, du Cloud ou des pratiques comme le Shadow IT, ce périmètre vole définitivement en éclats. Avec de lourdes conséquences sur le volet sécurité.   Ah, […]

Continue reading

21 janvier 2021

Rapprocher les métiers et l’IT, un enjeu cyber pour protéger les services essentiels

Les Opérateurs de Services Essentiels doivent fournir une cartographie du système d’information (SI) soutenant leurs activités désignées comme telles. Une approche top-down, allant des métiers vers l’IT, permet d’y parvenir. Cette bonne pratique pourra s’appliquer à d’autres types d’organisation.   Selon l’ANSSI*, « la directive NIS (Network and Information System Security) vise à l’émergence d’une Europe […]

Continue reading