Veille, surveillance, détection et réaction sont à l’automatisation de la cybersécurité ce que les innovations de fortifications sont à Vauban : les marchepieds de son essor.

« Toute ville assiégée par Vauban, ville prise. Toute ville défendue par Vauban, ville imprenable ».

Si on ne sait à qui attribuer cet adage, il fait figure de vérité incontestable tant l’œuvre de Vauban a marqué son époque. Parce qu’elle modifie en profondeur l’approche de la cybersécurité, l’automatisation crée, elle aussi, un point de bascule.

La machine est-elle en passe de devenir l’architecte de référence des stratégies de défense du numérique ?

Au cœur de la réflexion de Vauban, l’analyse de la défense du territoire était fondamentalement multifactorielle. Au-delà des prouesses en matière d’ingénierie, c’est vraisemblablement ce concept qui est à l’origine du si profond bouleversement de ses travaux.

Intégrant les dimensions humaines, techniques, matérielles, la défense devient avec lui une stratégie collective plus qu’une discipline individuelle avec un horizon limité. L’automatisation de la cyberdéfense suit le même chemin.

L’ingénieur révolutionnaire

Lorsque l’on mentionne l’architecte en chef du Roi Soleil, l’emploi du terme révolutionnaire a presque quelque chose d’anachronique. En regardant son œuvre et l’impact que ses travaux ont eu sur le système de défense du territoire de Louis XIV, il prend cependant tout son sens.

L’influence de l’automatisation des cyberdéfenses est sans doute aussi importante que celle de Vauban sur ses premières œuvres.

Les innovations techniques sont nombreuses et emportent avec elles presque autant de bénéfices dans la protection du territoire numérique. Les IPS (Intrusion Prevention System) peuvent par exemple bloquer automatiquement certaines adresses IP suspectes, ou identifier et neutraliser certains comportements jugés malveillants.

Les outils d’analyse automatisés peuvent quant à eux scanner les réseaux et les applications pour détecter les failles de sécurité et les points faibles. Les systèmes d’automatisation surveillent en permanence les activités du réseau et pointent les comportements anormaux.

De son côté, quand le SOAR (Security Orchestration, Automation and Response) identifie un comportement suspect, ou un dispositif exposé à un risque de faille, il peut isoler l’élément dangereux de l’ensemble du réseau. L’humain peut alors vérifier le degré d’exposition au risque ou l’étendue des dommages, sans que le réseau soit perturbé.

Le penseur sans limites

Dire « sans limites » pour quelqu’un dont l’œuvre est essentiellement reconnue pour les bâtiments de défense et les fortifications militaires imprenables peut paraître paradoxal. Ce serait oublier que la carrière militaire de Vauban n’est qu’une partie de son héritage. Sa réflexion s’inscrivant dans le contexte effervescent du 17ᵉ siècle, elle est un produit de son époque.

À ce titre, elle s’affranchit des frontières et s’intéresse à la société dans son ensemble. De la même façon, la sécurité informatique s’inscrit dans un environnement tout aussi foisonnant, en perpétuelle mutation, avec notamment l’arrivée progressive de l’Intelligence Artificielle et des progrès technologiques.

Parce que l’humain est souvent la faille des systèmes de sécurité informatique, les attaques dites de Social Engineering sont de plus en plus courantes. Loin d’être une innovation technologique, la prise en compte de ce facteur, y compris dans les démarches d’automatisation de cybersécurité, est une nécessité. C’est par exemple le cas des méthodes qui appliquent le principe du moindre privilège.

En réorganisant les accès en fonction des usages et des besoins des équipes ou en instaurant des principes d’authentification multiples, les stratégies de défense complètent la protection technique par une approche plus sensible des risques réels.

Vauban s’était intéressé à l’organisation de la société et avait ainsi, à la fin de sa vie, proposé une révision de l’impôt. Rien à voir, a priori, avec la fortification des limites de l’Hexagone. Pourtant dans son esprit, cela suivait une même logique, celle d’un autre rapport au territoire et à ses composantes. Le parallèle avec l’évolution des pratiques et des innovations de la sécurité informatique se situe sur cet élément que les sportifs appelleraient le “dépassement de fonction”.

En permettant la considération du facteur risque numéro un – l’humain – dans le système de sécurité informatique, l’automatisation repousse les limites du champ d’action de la cyberdéfense et en définit ainsi une nouvelle frontière. Ce n’est d’ailleurs pas un hasard si elle incombe désormais plus souvent aux services de management du risque qu’à la DSI.

De l’ingénieur au chef d’orchestre

Sa stratégie de défense et son regard sur la société en général n’ont valu que des hommages, de son vivant du moins, à Vauban. Mais il apportait une vision, défendait une approche qui allait bien plus loin que l’architecture. L’automatisation de la cybersécurité propose le même déplacement de ses propres frontières : la sécurité informatique s’ouvre au reste du monde pour mieux s’en protéger.

Elle débute avec la veille et l’audit. Elle se poursuit avec la maintenance et la surveillance, elle reçoit, analyse et alerte les failles potentielles, propose les modalités de réponse dans les meilleurs délais en cas d’attaque.

Enfin, elle organise le retour à la normale et la récupération des données le cas échéant, le tout avec une intervention minimale de l’humain. L’automatisation et l’orchestration, toutes deux intégrées à des SOC (Security Operation Centers) sont ainsi complémentaires pour aider les équipes IT à protéger le Système d’Information.

Globale, cette stratégie d’ensemble génère ainsi un gain de temps et de coûts pour l’entreprise tout en permettant une analyse plus fine. L’humain peut ainsi se polariser sur les points « non automatisables ».

Prudence cependant. Au même titre que Vauban n’a jamais construit deux fois la même citadelle, la cybersécurité automatisée ne doit pas être standardisée, ni standardisable. Les process varient toujours d’une entreprise à l’autre, d’un environnement à l’autre, et c’est tant mieux.

Car automatisation et standardisation ne sont que de lointains cousins. Le pilier le plus fondamental de l’adéquation entre les processus d’automatisation et une stratégie de cyberdéfense reste encore et toujours l’adaptation de l’approche à l’environnement qu’elle vise à protéger.

Comme l’a si bien résumé Vauban : « Quiconque voudra faire bâtir doit premièrement se proposer de faire la cage pour l’oiseau. C’est-à-dire proportionner son bâtiment au revenu de sa terre, à sa condition, à ses besoins ».