Dans un précédent article, nous évoquions un RFC décrivant des procédures et des formats standardisés de message permettant aux organisation d'automatiser leurs échanges et d'améliorer réaction et coopération en cas d'attaques informatiques. Il s'agit de RID pour Real-time Inter-network Defense.
Le RFC 6045 formalisait ainsi des requêtes entre acteurs et opérateurs du monde de l'informatique et des réseaux permettant de mettre en place des mécanismes de défense plus efficaces. Dans cet article, nous évoquions également la spécificité des RFC et l'apport éventuel de ce type d'approche.
Le RFC 6545, objet de cet article, a comme l'auteur la même personne, toujours salariée de la société EMC. Mme Kathleen M. Moriarty est ainsi l'auteur de ces deux documents.
Selon l'auteur de l'analyse dont je m'inspire, ce document est au final une mise à jour du premier. Il est toutefois intéressant car il prend le "chemin des normes", un processus normatif donc amenant justement ce RFC à acquérir une réelle portée normative.
Ce document appelle quelques réflexions, notamment deux que voici :
- La structure des messages est très intéressante car elle est également révélatrice des problématiques des attaques informatiques modernes. La complexité de celle-ci et la difficulté à les exposer sont évoqués dans ce document. Cela implique des formats de message à la fois efficace mais pas forcément court, bien au contraire. Le document fournit d'ailleurs quelques exemples que l'on peut examiner.
On constate à la lecture que ces messages ne sont pas aisément déchiffrable par une lecture standard. Ils supposent des outils interprétant ces données pour leur donner toute leur portée. C'est un peu la force du système que de trouver un équilibre entre l'automatisation des tâches et la nécessaire analyse humaine que le système ne pourra fournir. On peut également considérer que ce document propose d'automatiser les tâches qui peuvent l'être afin de fournir plus de temps de réflexion et d'action efficace aux salariés impliqués dans la sécurité.
- L'envoi des messages est également un sujet intéressant. Dans le cadre d'une attaque détectée, il n'existe plus vraiment de confiance possible dans son réseau et ses systèmes. Il faut donc songer à disposer de moyens de communications avec les entités que l'on veut contacter qui soient fiables. Il faut assurer la confidentialité car les messages sont autant d'indices pour un attaquant sur sa détection, la fiabilité car ce dernier peut empêcher les messages RID et enfin, s'assurer de l'identité des auteurs et expéditeurs.
Tout cela appelle donc à une réflexion importante en matière de sécurité des systèmes d'informations et en particulier sur les procédures à suivre dans ce genre de cas. On doit songer aussi à tester l'efficacité de ces mesures qui ne doivent pas être découvertes lors de la crise. Enfin, le système RID s'insère dans un dispositif déjà existant : cela suppose donc une organisation mature voire d'une certaine taille et il dépend beaucoup de l'adoption par les autres entités. Au final, RID appelle donc à la création d'un éco-système de la sécurité, par une voie relativement technique, ce qui est effectivement un vrai défi.
Source : dans le texte
Aucun commentaire:
Enregistrer un commentaire