Gestion des risques pour tests de pénétration

Afin de sécuriser les systèmes complexes, ouverts et distribués, les tests de cybersécurité/pénétration sont primordiaux mais doivent être guidés par l’analyse de risques. Les tests d’intrusion doivent se focaliser sur les risques les plus importants. Comme il n’est pas possible de tester exhaustivement toutes les possibilités d’attaques sur tous les composants d’un système, une manière d’allouer l’effort de test est de tenir compte des risques tant au niveau de la probabilité que de l’impact d’une attaque. Ceci est d’autant plus vrai que les tests d’intrusion requièrent l’intervention d’experts humains et l’utilisation d’outils parfois très spécialisés. L’allocation de ressources de tests aux “bons” tests est donc essentielle pour assurer une couverture optimale par rapport aux risques de cyber attaques. Cette approche orientée risque est l’approche adoptée par la majorité des standards et des certifications.

Les démarches d’analyse de risques sont connues et font partie intégrantes de tous les référentiels et standards de cybersécurité généralement basé sur l’ISO 31000 et décliné sur des variantes spécifiques à un domaine (par exemple IT : ISO27000, OT : IEC 62443, automobile : ISO 21434). Ces analyses restent à la base essentiellement qualitatives et basées sur une modélisation très succincte des systèmes concernés. Ce grand défi vise à produire des analyses plus pertinentes et à les diriger vers des techniques de tests spécifiques sur base de l’arsenal de méthodes et outils développés dans le cadre du projet. On pourra envisager les pistes indicatives (et non-exhaustives) suivantes:

• utilisation de techniques de modélisation du domaine concerné au niveau de formalisme en adéquation avec les propriétés et les impacts encourus
• estimer des vraisemblances via des techniques de raisonnement probabilistes (éventuellement allant jusqu’au model-checking stochastique)
• utiliser des techniques de génération de scénarios d’attaque afin d’identifier les tests de pénétation à réaliser et donner un certain niveau d’assurance sur l’efficacité des défenses en placee justifier une certaine d’un certain type de complétude de l’analyse de risque
• de manière duale: génération de scénarios de défense à mettre en place afin de réduire le risque à un niveau résiduel déterminé
• considérer des contraintes de budget avec des compromis coût-risque, en tenant aussi compte du niveau d’automation des tests
• déterminer un ensemble minimal de tests d’intrusion permettant de vérifier l’efficacité des mesures mises en place par rapport aux scénarios d’attaque
• automatiser les tests fonctionnels de sécurité ainsi que la surveillance des risques identifiés via une Infrastructure DevSecOps

Le défi s’ancre dans un domaine prioritaire du projet (secteur public, industrie 4.0, énergie, réseaux d’alimentation « Utilities », santé) dont il capture les spécificités. Le résultat des recherches sur ce grand défi sont des briques technologiques complétées par une méthode de mise en œuvre de niveau TRL 4 permettant de réaliser les analyses de risques génériques. Cette méthode est validée sur une étude de cas réalisée au moyen de la factory CyberExcellence. Le succès du défi est estimé en comparant des préconisations en termes de tests à réaliser avec celles d’autres démarches actuelles, ainsi que leur coût respectifs, ceci sur base d’une implémentation la plus complète possible de chaque démarche. Des expérimentations dans des domaines distincts pourront aussi être comparées afin d’en tirer des enseignements sur des points communs et des spécificités.