Disposer d’une échelle permettant d’évaluer la virulence de chaque menace cyber afin de sensibiliser le grand public, et pour estimer si la situation est grave ou pas, telle était l’idée née en 2012 au sein de la réserve citoyenne cyber. Exposée dans la revue de la gendarmerie nationale spéciale FIC 2014 (N°248 – décembre 2013), la base d’estimation des potentiels d’attaques cyber ou BEPA-Cyber a depuis été améliorée. La BEPA Cyber est maintenant évaluée sur une échelle de 0 à 10. La BEPA Cyber caractérise une menace suivant cinq critères (origine, précision, sophistication, visibilité, persistance) évalués chacun de 1 à 4. On calcule la BEPA cyber par le logarithme binaire des produits des valeurs caractéristiques.
Cette caractérisation est utilisée en annexe 1 du guide « l’homologation en 9 étapes simples » publié par l’ANSSI en juin 2014, dans le tableau d’autodiagnostic du besoin de protection d’un système d’information. Nous recherchons actuellement des contributeurs dans des champs d’expérimentation des divers usages de la BEPA-Cyber, tels que :
- – aider un RSSI à représenter graphiquement ses tableaux de bord sur les incidents traités ou les menaces à craindre à l’attention de son comité de direction ;
- – enrichir un bulletin d’information interne entreprise visant à sensibiliser les salariés sur les menaces ;
- – établir des tableaux de correspondance entre des mesures SSI recommandées et les menaces qu’elles permettent de couvrir, etc.
Cette contribution doit permettre de vérifier que cet outil simple est compréhensible de tous. La BEPA cyber doit permettre aux personnes amenées à anticiper ou à traiter les effets des menaces cyber, de communiquer sans entrer dans les détails techniques, de hiérarchiser les menaces, d’identifier plus facilement les moyens de réponse, de prendre les décisions pertinentes au bon niveau d’abstraction.
Les PME, PMI et TPE manquent généralement de compétences expertes et de temps pour les acquérir. La BEPA-Cyber devrait pouvoir les aider à porter des efforts en SSI rapides et efficaces, car dès lors que les menaces qui les concernent seront caractérisées, des tableaux de mesures typées selon les mêmes critères leur permettraient de sélectionner facilement et d’appliquer des mesures préventives relativement bien adaptées.
Simulons par exemple le cas d’une entreprise de construction de charpentes métalliques dont la survie dépend de la justesse des calculs de structures et de la confidentialité des formules élaborées. Pour protéger ce patrimoine, la première étape consiste à identifier les menaces qui peuvent concerner cette entreprise. Dans le cas choisi les attaquants potentiels pourraient être des concurrents ou des salariés de l’entreprise, disposant de moyens élémentaires ou peu évolués mais pas d’un haut niveau d’expertise, dans le cadre d’attaques ciblées. Des attaques plus génériques provenant de cybercriminels qui ne s’intéressent pas spécifiquement à l’entreprise peuvent également l’atteindre (origine : 3, précision : 4). Les outils d’attaques seront donc plus probablement triviaux ou génériques (sophistication : 2). Les attaques redoutées sont les attaques discrètes qui ne seraient pas immédiatement décelées (visibilité : 3). On peut s’attendre à des attaques régulières à chaque appel d’offres d’importance et à des attaques ponctuelles (persistance : 3).
Par conséquent le niveau BEPA-Cyber maximum des attaques qui peuvent raisonnablement la concerner aura pour valeur ln(3x4x2x3x3)/ln2 ~ 7,5.
Considérons d’autre part une liste de mesures. Par exemple, dans le guide d’hygiène informatique de l’ANSSI, la règle 1 « disposer d’une cartographie précise de l’installation informatique et la maintenir à jour » est une nécessité pour contrer les menaces triviales de niveau BEPA-Cyber 0 et toutes celles de niveau supérieur. La règle 5 « Interdire la connexion d’équipements personnels aux systèmes d’information de l’organisme » permet de se protéger des virus de niveau BEPA Cyber minimum 1.
Ces règles sont donc à appliquer dans le cas de notre entreprise qui doit faire face à des attaques de niveau maximum 7,5. Les règles d’hygiène informatique constituent le socle minimum à respecter.
Des recommandations concernant l’effacement des supports amovibles utilisés par l’entreprise seraient en revanche limitées au chiffrement par un outil du marché. Cette mesure vise à protéger les informations d’une lecture immédiate en cas de vol par exemple, ce qui est une menace de niveau BEPA-Cyber 3 (précision 4 et visibilité 2, autres caractéristiques à 1). La surcharge de supports n’apparaît pas pertinente car elle vise à les protéger d’attaques d’un niveau d’expertise avancé, utilisant des outils sophistiqués pour casser le chiffrement, soit un niveau BEPA Cyber 8.
En cataloguant ainsi les mesures suivant la valeur BEPA cyber des attaques qu’elles sont sensées contrer, on peut donner une certaine autonomie aux entreprises et particuliers pour lutter contre les attaques cyber.