Eric Sisi occupe ce poste depuis près de quatre ans. Basé à Reading, au Royaume-Uni, il a auparavant longtemps travaillé chez le fournisseur de solutions de sécurité McAfee et, avant cela, chez Oracle.
« La sécurité n’est pas seulement un ensemble d’outils utilisés pour obtenir un certain résultat en termes de sécurité. Ces outils soutiennent l’évolution des cadres et des paradigmes de sécurité qui continuent à mûrir depuis les premières attaques brutes de virus que nous avons vues sur les PC, et qui se propageaient à l’aide de disquettes », dit-il.
Il ajoute que les fournisseurs comme Ericsson conçoivent des solutions en tenant compte de l’obligation de faire face aux menaces de sécurité fondamentales ainsi qu’aux vecteurs d’attaque de sécurité dès leur conception. À cette fin, Ericsson s'engage pleinement auprès des organismes de normalisation établis qui élaborent le cadre des télécommunications, tels que GSMA et 3GPP, BIS et d'autres. Aujourd’hui, « à mesure que les télécommunications évoluent vers la 5G, les environnements se rapprochent des technologies de l’information et seront donc soumis au même type d’attaques que celles que nous avons connu dans les entreprises », explique Sisi.
Par conséquent, des efforts sont en cours pour développer une base de connaissances en matière de sécurité pour les télécommunications qui soit similaire à MITRE ATT&CK (pour Adversarial Tactics, Techniques and Common Knowledge) pour les entreprises. L’original a été publié en 2013 par MITRE, une organisation à but non lucratif d'origine militaire. MITRE ATT&CK est le fruit d’une recherche visant à émuler les activités des adversaires et des défenseurs afin de mieux détecter les menaces post-compromission à l'aide de la télémétrie et de l'analyse comportementale.
Sisi explique que MITRE ATT&CK « contribue aux efforts que nous déployons pour concevoir des produits qui sont sensibles à la sécurité et qui, dès leur création, peuvent être intégrés dans un environnement qui fonctionne avec les systèmes actuels et futurs de surveillance de la sécurité, les systèmes de détection de la sécurité et les mécanismes d'atténuation de la sécurité. Cela rend les réseaux résistants aux cyberattaques et offre aux consommateurs et aux entreprises qui utilisent ces réseaux un niveau de confiance relativement élevé »
Suivi des modèles de trafic
La capacité à reconnaître les modèles de trafic est utilisée depuis longtemps par les entreprises pour protéger leurs réseaux. Il est particulièrement important d’utiliser la puissance de l’analyse et du machine learning pour rechercher les anomalies. La question cruciale est de définir la base de référence du comportement normal d’un réseau. Sisi fait remarquer que : « C’est une chose importante qu’Ericsson peut apporter aux clients, en particulier du point de vue des Managed Services. Nous savons à quoi ressemble un bon réseau. »
« À l’aide de méthodologies de base, vous pouvez déployer de nouvelles technologies qui examinent les modèles de trafic et le comportement de certains éléments d’un réseau pour découvrir si quelque chose d’étrange se produit, puis lancer une réponse à l’incident pour enquêter et atténuer les effets d’un mauvais acteur potentiel ou d’un autre problème qui n’est peut-être pas lié à une attaque. »
Ces solutions de sécurité conçues pour les opérations de télécommunications évoluent. Sisi commente : « L’industrie de la sécurité ne fait que rattraper ce qui se passe dans les réseaux de télécommunications parce que jusqu’à très récemment, les réseaux d’opérateurs étaient fermés. Pour faire quelque chose de nuisible dans ces réseaux, pour les perturber, il fallait, la plupart du temps, être un initié. »
À mesure que les fonctions réseau se déplacent dans le cloud, cette infrastructure devient beaucoup plus ouverte, de sorte que chaque organisation responsable du déploiement et de l’exploitation de ces réseaux doit être en mesure de surveiller leur comportement. Sisi déclare : « Nous travaillons avec notre centre de recherche, en développant des cas d’usage qui utilisent l’analyse et la machine pour détecter des types d’activités spécifiques dans le réseau. Nous pouvons ensuite les déployer dans nos solutions. Nous travaillons également avec des partenaires du secteur de la sécurité pour créer des cas d’usage spécifiques aux télécommunications en utilisant des méthodologies et des outils qui, jusqu’à très récemment, se concentraient uniquement sur les environnements d’entreprise.
Qui êtes-vous, en réalité
La gestion de l’identité est une autre discipline bien établie, mais elle évolue. Sisi déclare: « Elle s'améliore considérablement avec l'introduction de différentes méthodologies pour authentifier l'identité d'un individu ou d'une charge de travail. La vérification et l'authentification sont extrêmement importantes : elles constituent la base d'un environnement opérationnel sécurisé ».
De plus en plus, les systèmes de gestion d’identité basés sur le machine learning incluent la reconnaissance des modèles d’utilisation pour renforcer l’authentification, en évaluant si une action spécifique est typique d’un certain service. Par exemple, si une personne dépense habituellement 100 € par mois sur Amazon, mais passe une commande de 10 000 €, elle sera signalée comme une anomalie. Selon Sisi, « Le fournisseur de services a l’obligation et la responsabilité de confirmer que la personne a été authentifiée correctement. C’est un partenariat ».
Il ajoute que « L’augmentation de la résilience dépend du niveau des normes dans le développement, la construction et la mise en œuvre des réseaux de télécommunications » et que le protocole d’authentification extensible (EAP) est une partie importante de cette normalisation, et qu’il est également de plus en plus utilisé avec d’autres technologies. L’EAP est un format de messagerie qui peut être intégré dans les protocoles utilisés pour authentifier divers types de connexion et qui complète les nouvelles méthodes de cryptage des communications et d'authentification.
« Nous passons également à la Transport Layer Security ou TLS (sécurité de la couche de transport) – nous en sommes actuellement à la version 1.3, mais nous commençons à parler de la 1.4 – pour rendre l’authentification encore plus sûre en envoyant un type standard de message ou de contenu d’authentification entre différents points. Ces protocoles doivent évoluer pour sécuriser les environnements opérationnels évolutifs et nouveaux pour les télécommunications, tels que les services basés sur le cloud », déclare Sisi.
Intelligence artificielle, analyse et automatisation
Comment ces éléments s'intègrent-ils dans le cadre évolutif de la sécurité ? Sisi pense que « nous avons dépassé la phase d'engouement pour l'IA dans les télécommunications. Les spécialistes comprennent comment utiliser le machine learning, en particulier pour les grands ensembles de données qui peuvent fournir un résultat sécurisé. Mais il faut toujours que l’expert sécurité comprenne quels sont ces résultats, parce qu’il est très difficile de former des modèles pour qu'ils soient précis, tout en surveillant et en vérifiant constamment les recommandations pour s'assurer qu'aucun biais ne s'y est glissé ».
Il ajoute : « L’essentiel est d’identifier les ensembles de données appropriés et les bons éléments de données au sein des ensembles de données afin de produire les résultats d’analyse souhaités. La technologie s’améliore de plus en plus et devient de plus en plus utile, mais il reste encore beaucoup de progrès à faire. En outre, l’IA doit être complétée par des solutions de sécurité solides, afin que les opérations de sécurité (SecOps), par exemple, puissent produire les résultats attendus de la manière la plus efficace. »
Ensuite, Sisi déclare : « En plus des méthodes perfectionnées que nous avons développées au cours des cinq dernières années, nous élargissons les capacités des modèles d’IA / ML ; par exemple, pour en savoir plus sur l’aspect du réseau et trouver des choses qui nous échapperaient si nous utilisions un système de surveillance normal ».
« Aujourd’hui, nous en sommes à la phase de machine learning. L’étape suivante est le raisonnement automatisé (« machine reasoning »). Actuellement, nous utilisons des fonctionnalités de base de type « playbook », qui permettent d’automatiser des activités après un certain type d’incident, mais il faut toujours qu'un humain rédige la politique ou la règle qui déclenche l'action. Ce n'est pas du raisonnement, c'est de l'automatisation. Avec le raisonnement automatisé, le système surveillera constamment le réseau et prendra des décisions sur la reconfiguration ou la réponse à apporter à un incident suspect. Cela va être très intéressant ».
Être prêt
La micro-segmentation est une autre approche de la résilience des réseaux : un micro-segment est créé dans le réseau autour d’une zone où un problème a été détecté jusqu’à ce que ce problème puisse être identifié et résolu. Sisi commente : « C’est un type de réponse de base, mais avec plus de recherche, il pourrait être étendu au point qu’une ville entière pourrait soudainement être déplacée sur un type de réseau différent en raison d’une attaque directe sur l’infrastructure de cette ville. Des solutions de ce type seront réalisables dans les trois prochaines années environ ». La façon dont les opérateurs ont fait face aux changements massifs dans les modèles de trafic du réseau et à la montée en flèche de la demande pendant les confinements est prometteuse.
Sisi insiste beaucoup sur le fait que les fournisseurs, les entreprises et les opérateurs doivent constamment s'entraîner à réagir aux menaces potentielles : « Je suis étonné que certains clients, en particulier dans le secteur des entreprises, ne s'exercent pas aux processus et aux capacités fondamentales de réponse aux incidents pour être prêts à faire face aux cyberattaques ».
Ancien militaire, il souligne qu'en temps de paix, les militaires s'exercent tout le temps. Il a participé à la réponse à certaines des attaques de ransomware les plus célèbres, notamment NoPetya et WannaCry, et déclare : « Le facteur fondamental est toujours un manque d'éducation de base en matière de sécurité et l'absence d'exercice des capacités de réponse. Je conseille à mes clients de s'exercer, de voir comment ils réagiraient. C'est la clé ».
Il ajoute : « Même si nous utilisons les meilleurs systèmes de sécurité disponibles, je ne pense pas que nous nous reposerons un jour sur un système de réponse entièrement automatisé. Il y aura toujours un élément humain dans la sécurité, comme dans beaucoup d'autres domaines. Si vous n'exercez pas cette capacité humaine en permanence, surtout dans le monde d'aujourd'hui où les talents sont si difficiles à trouver, en particulier dans le domaine de la sécurité, vous risquez de subir une sorte de catastrophe ».
Éviter les erreurs
« Plus les opérateurs peuvent démontrer que leurs réseaux sont sûrs et sécurisés, mieux c'est pour leurs affaires. Cependant, chaque jour, des acteurs malveillants tentent de perturber les réseaux de télécommunications parce qu'ils sont à la base d'un grand nombre d'activités économiques, de défense et gouvernementales », note M. Sisi.
Pourtant, la plupart des pannes de réseau les plus graves sont causées accidentellement par des ingénieurs, souvent au cours de la maintenance et de la mise à niveau du réseau. Il ajoute : "Nous nous attaquons à ce problème en développant une solution basée sur l'IA ou le ML qui peut prédire la probabilité que les commandes envoyées à un élément particulier soient incorrectes, en se basant sur la compréhension du comportement des activités sur cet élément du réseau dans le passé, réduisant ainsi les risques et rendant les réseaux plus fiables ».
Sisi conclut : « Avec les télécommunications, tout le monde est connecté à tout le monde, mais il y a toujours quelque part un point faible dû à une mauvaise mise en œuvre des mesures de sécurité qui pourrait permettre d'accéder à quelque chose de beaucoup plus grand ».
« C'est pourquoi, par exemple, les radios de nos réseaux d'accès radio peuvent détecter les tentatives de lancement d'une attaque DDoS et s'en remettre d'elles-mêmes. Nous savons que les solutions que nous vendons et déployons seront soumises à des attaques constantes et que nous devons être préparés et éduquer nos clients sur la manière de protéger les réseaux de télécommunications ».
En savoir plus
Pourquoi la gestion des données est indispensable pour donner aux clients ce qu'ils méritent (conversation avec Mobily)
