print preview

Une meilleure vue d’ensemble du cyberespace

Le cybermonde ne dort jamais. Des données et des informations sont envoyées en permanence d’un bout à l’autre du globe – y compris des fichiers nuisibles comme des virus ou autres rançongiciels. Les terminaux des utilisateurs peuvent ainsi être endommagés et générer une fuite de données non autorisée. Pour obtenir plus rapidement une vue d’ensemble de tels incidents, armasuisse développe avec des partenaires un Proof of Concept pour gérer l’image de la situation dans le cyberespace.

Colin Barschel, cybersécurité et Data Science, armasuisse Sciences et technologies ; interview menée par Anela Ziko, Innovation et processus, armasuisse Sciences et technologies

Trois vues superposées de la plateforme cyber avec de nombreuses données diverses sur l’image de la situation dans le cyberespace.
Grâce à une nouvelle plateforme, les cyberincidents peuvent être mieux surveillés et représentés dans une image de la situation du cyberespace.

Monsieur Barschel, commençons par une question simple : qu’entend-on aujourd’hui par cyberespace ?

Pour simplifier, on entend par cyberespace un monde virtuel ou en ligne dans lequel tous les ordinateurs et appareils sont connectés via Internet, y compris tous les réseaux Internet et les données envoyées numériquement. Il s’agit donc du monde en réseau avec l’interaction être humain-machine et les données qui sont ainsi générées. La cybersécurité est un domaine qui a pris de l’importance ces derniers temps.

Pourquoi la cybersécurité est-elle un sujet si important à vos yeux ?

Étant donné qu’aujourd’hui, de nombreux domaines de la vie privée et professionnelle sont reliés entre eux via Internet, il convient de se poser notamment les questions suivantes : que se passe-t-il avec les gens ? Qu’en est-il des données ? Le cybermonde n’est pas sûr et tous les domaines ne sont pas réglementés avec la même intensité. Dans le cyberespace, des personnes peuvent se cacher derrière de fausses identités, ce qui facilite la tâche des agresseurs. Par exemple, un ordinateur est vite contaminé si l’on clique sans réfléchir sur les mauvais liens en ligne et que l’on télécharge un logiciel nuisible sans s’en rendre compte. Le thème de la cybersécurité ne concerne pas seulement la protection des données personnelles, par exemple contre les fuites de données indésirables, mais aussi la sensibilisation des personnes à la manière de se comporter sur Internet.

Par exemple, un ordinateur est vite contaminé si l’on clique sans réfléchir sur les mauvais liens en ligne et que l’on télécharge un logiciel nuisible sans s’en rendre compte. 

 

Supposons qu’une entreprise dans le domaine des infrastructures critiques soit victime d’une cyberattaque, que doit-elle faire ?

Dès qu’un cyberincident a été remarqué et que le processus interne de gestion a été lancé, l’incident devrait être signalé le plus rapidement possible au NCSC. En tant que Centre de compétence national pour la cybersécurité, ce dernier a notamment pour mission de protéger les infrastructures critiques. Il veille en l’occurrence à ce que les effets négatifs de tels incidents soient aussi brefs que possible, que les dommages soient limités au maximum et qu’une surveillance continue des menaces soit assurée afin de lancer également des alertes de manière active.

 

Comment se déroule exactement un tel processus de notification en cas de cyberincident ?

Sur le site Web du NCSC, les particuliers ou les entreprises peuvent signaler un cyberincident ou une vulnérabilité en cliquant sur un bouton de notification. Les collaborateurs du NCSC rassemblent tous les incidents signalés, les comparent à d’autres sources internes et externes ou à des déclarations antérieures et vérifient si des événements similaires se sont produits dans le passé. En tant que service fédéral, ils ont également accès à d’autres informations provenant d’entreprises et d’administrations privées ou proches de la Confédération. Avec toutes ces données, on établit finalement ce que l’on appelle une image de la situation du cyberespace. Le défi tient à ce que les incidents signalés doivent d’abord être transférés manuellement dans un outil avant que les informations puissent être traitées et enrichies avec des données supplémentaires. Dans le cadre d’un projet d’innovation, nous sommes en train de développer une nouvelle plateforme pour aider les analystes du NCSC à travailler plus efficacement et à avoir accès à un paysage de menaces plus complet.

Que doit permettre cette plateforme ? Et en quoi est-elle si innovante ?

La plateforme a pour objectif d’automatiser autant de processus que possible. Aujourd’hui, les analystes doivent saisir manuellement les informations des incidents signalés dans un masque de travail. Avec cette nouvelle plateforme, capable de distinguer de manière autonome les informations non pertinentes des informations pertinentes et ne traitant automatiquement que ces dernières, les annonces seront numérisées et automatisées. La plateforme combine des outils existants sur le marché avec des développements propres et permet ainsi un traitement centralisé de toutes les informations. Il en résulte une vue d’ensemble du paysage des menaces.

La nouveauté de cette innovation réside dans le fait qu’aucune plateforme n’existe encore sur le marché avec les nombreuses fonctionnalités nécessaires.

Quel est l’impact sur la plateforme ?

armasuisse S+T a créé, en collaboration avec le donneur d’ordre, l’état-major de l’armée et notre partenaire industriel, un nouveau produit d’analyse complexe, et ce de A à Z : de la définition des fonctionnalités à l’utilisation et au développement constant en passant par le lien avec diverses plateformes d’information critiques ou privées. armasuisse S+T a été impliqué dans ce projet à un stade très précoce, dès l’étude préliminaire.

La procédure choisie est également nouvelle. Nous n’achetons pas un produit fini, mais un service qui nous aide à développer ce nouveau système. La première étape est un Proof of Concept, qui permet de définir la solution idéale et de réduire le risque de développement. Cela signifie que nous achetons du savoir-faire et que nous pouvons planifier et utiliser ces heures de manière ciblée et efficace pour le développement de cette plateforme.

Pourquoi ne pas avoir opté pour un produit déjà existant ?

Il n’était pas question d’acheter un produit fini en raison de l’incertitude quant aux fonctionnalités exactes que la plateforme doit proposer. Bien sûr, certains éléments sont connus. Mais pour acquérir un produit, les spécifications doivent être clairement définies. Or, nous n’avons pas pu répondre à cette exigence. La valeur ajoutée de cette production propre est que nous travaillons de manière incrémentielle, c’est-à-dire étape par étape, avec l’utilisateur final et le développeur, pour trouver la solution la plus adaptée à l’utilisation. Comme ces développements internes existent au début sous forme de démonstrateurs ou de versions de test, les coûts sont moins élevés que lors de l’achat d’un produit existant. En effet, ces produits sont souvent liés à diverses obligations et couvrent certes quelques domaines importants, mais jamais ce dont l’utilisateur final a besoin individuellement. L’intégration dans diverses autres plateformes est également plus facile à gérer avec ce développement interne.

La valeur ajoutée de cette production propre est que nous travaillons de manière incrémentielle, c’est-à-dire étape par étape, avec l’utilisateur final et le développeur, pour trouver la solution la plus adaptée à l’utilisation.

 

Quels sont les défis de cette approche innovante ?

D’une part, il faut se demander comment intégrer cette plateforme dans le système existant de notre client final. Cela est d’autant plus difficile que la structure des données est sûre. De plus, il faut trouver un moyen de relier les données et les sources confidentielles à cette plateforme de manière compatible et sans trop d’obstacles. Ainsi, pour dresser une image complète de l’image du cyberespace, les informations accessibles au public tout comme les données non accessibles au public sont d’une grande importance. À cela vient s’ajouter qu’il s’agit en grande partie d’un développement propre, ce qui implique toujours des défis. Il faut notamment intégrer des éléments externes, qui doivent être compatibles avec la plateforme. Enfin, la coordination avec les différentes interfaces doit être assurée en permanence. Actuellement, c’est encore possible, car nous nous trouvons dans la phase dite de Proof of Concept et ne sommes donc pas encore opérationnels. Mais cela changera dès que cette plateforme sera réellement opérationnelle en tant que produit fini. Cela devrait être le cas dans environ 18 mois. La plateforme permettra alors d’avoir une image complète de la situation du cyberespace suisse – et contribuera ainsi à la protection des infrastructures critiques ainsi qu’à la sécurité de la Suisse.