Jump to content
AIR-DEFENSE.NET

Cyberwarfare


wielingen1991
 Share

Recommended Posts

Posted (edited)

Pour changer un peu :

Le célèbre bureau d'étude russe Rubin (spécialiste des sous-marins et drones UUV) aurait récemment été la cible d'une tentative de piratage via phishing (document RTF vérolé envoyé au PDG de la société ... ).
 

liens

Mes commentaires.

  1. Aucune certitude sur l'attribution du hack, mais le malware utilisé nom de code Royal Road est souvent utilisé par des APT chinois.
    (et la backdoor Portdoor est intéressante...).
    EDIT: Et souvent, quand le hack vient des SR occidentaux,  les firmes de cyberdef occidentales ne donnent pas d'attribution (voire les passent parfois sous silence... ).
    Exception récente qui a fait scandale : https://www.technologyreview.com/2021/03/26/1021318/google-security-shut-down-counter-terrorist-us-ally/
     
  2. Le document de phishing est aussi notable, parce qu'il présente des informations crédibles (non confirmées) sur un UUV russe baptisé Cephalopode.
    La suite sur les fils de soum russe.
     
  3. il n'y a aucune certitude sur l'attribution, mais en terme d'espionnage et de défense, il n'y a pas d'ami, il n'y a que les intérêts nationaux qui comptent.
    Vu que la Chine et la Russie ont de fortes convergences d'intérêts (pour s'opposer aux USA), il n'y aura pas de conséquences visibles publiquement...
    (cf les reproches russes sur la version chinoise des Flanker pas vraiment licensée J-11B )

 

Edited by rogue0
  • Upvote 1
Link to comment
Share on other sites

  • 1 month later...
Quote

Positions of Two NATO Ships Were Falsified Near Russian Black Sea Naval Base

The tracking data of two NATO warships was faked off the coast of a Russian controlled naval base in the Black Sea while the actual ships were moored 180 miles away, USNI News has learned.

The U.K. Royal Navy’s HMS Defender, a Type-45 Daring-class destroyer, and the Royal Netherlands Navy’s HNLMS Evertsen, a De Zeven Provinciën-class frigate, pulled into Odessa in Ukraine on June 18. The group had been monitored by Russian warships while exercising in the Black Sea, according to U.S. Navy photos dated on June 17.

According to an automatic identification system (AIS) signal, which transmits position details to improve maritime safety, the pair left Odessa just before midnight on June 18. The data shows that they sailed directly to Sevastopol, approaching to within two nautical miles of the harbor entrance. The strategic port houses the headquarters of Russia’s Black Sea fleet.

Despite the AIS track, there is clear evidence that the two warships did not leave Odessa. Live webcam feeds show that they did not leave Odessa, however. This was anyway the known situation in defense circles, and local media. Anyone in Odessa can see that they did not leave. The webcams are broadcast live on YouTube by Odessa Online. Screenshots archived by third party weather sites like Windy.com show the two warships present in Odessa overnight.

Positioning two NATO warships at the entrance at the entrance of a major Russian naval base would be widely seen as a provocative action, based on conflicting claims of sovereignty . Most of the international community, including the U.S, Britain and the Netherlands, do not recognize Crimea as part of Russia.

U.K. Royal Navy destroyer HMS Defender, USS Laboon and Dutch frigate HMNLS Evertsen take station for close proximity sailing as a Russian warship watches from afar (rear of picture) in the Black Sea on June 17, 2021. US Navy Photo

While the motives for the deception are unclear, the move raises questions about the efficacy of open-source intelligence data, such as AIS, which is becoming more common in both defense and by journalists. There is compelling evidence that the AIS tracks were faked. NATO representatives did not immediately respond to requests for comment and the tracks were confirmed as false by Dutch naval warfare news site Marineschepen.nl.

The AIS positions were shared with AIS aggregator MarineTraffic.com by a receiver station in Chornomorsk, close to Odessa. Other AIS aggregators also reported the false positions. HMS Defender was shown under the credentials that she is currently using, IMO 4907878. HNLMS Evertsen was reported as “Netherlands Warship,” MMSI 244942000. It is unclear how the false AIS data was introduced to the feed.

Both Defender and Evertsen are part of CSG21, the carrier strike group centered around HMS Queen Elizabeth (R08). The main body of CSG21 has remained in the Mediterranean, while the two warships temporarily deployed to the Black Sea, where they have been performing freedom of navigation missions and exercising with allies. They have visited Turkey and Ukraine and will also exercise with Romania and Georgia. They have also met with the U.S. Navy’s Arleigh Burke-class destroyer USS Laboon (DDG-58).

https://news.usni.org/2021/06/21/positions-of-two-nato-ships-were-falsified-near-russian-black-sea-naval-base

  • Thanks 2
  • Upvote 1
Link to comment
Share on other sites

Un acteur malveillant soupçonné d'avoir des liens avec le Pakistan a infiltré des organisations gouvernementales et énergétiques (services publics, production et transport d'électricité) d'Inde et Afghanistan pour déployer un système d'accès à distance non autorisé. L'opération aurait commencé au moins en janvier 2021.

Pour rappel, ce type de stratégie s’insère dans un cadre géopolitique visant à rendre persistant un accès dans le système d'information contrôlant un composant vital pour la nation, en l'occurrence l'accès à l'électricité pour une population.

La cyberwarfare est l'exemple type de la lutte non conventionnelle moderne : pas de mort directe, un moyen de dissuasion digne d'une bombe nucléaire, l'aspect immoral en moins.

Pour rappel, la France a, via l'ANSSI, déclaré que les attaques étatiques cyber contre ses infrastructures vitales étaient la menace n°1 identifiée pour le pays en cas de conflit important, et que depuis quelques années, la France dispose d'une doctrine offensive pour répondre à une agression (dans le cas où l'acteur serait identifié). En effet, la surface à défendre demandant des moyens humains et financiers démesurés, il est établi qu'aucun pays ne peut et pourra prétendre pouvoir se protéger de telles attaques. La réponse offensive cyber devient donc, au même titre que le nucléaire avec les SNLE et leur capacité de frappe a posteriori, un élément important du système de défense. Seul problème : cela ne fonctionne que contre les acteurs étatiques, mais pas les groupes criminels.

  • Thanks 1
Link to comment
Share on other sites

Il y a 4 heures, Nemo123 a dit :

Un acteur malveillant soupçonné d'avoir des liens avec le Pakistan a infiltré des organisations gouvernementales et énergétiques (services publics, production et transport d'électricité) d'Inde et Afghanistan pour déployer un système d'accès à distance non autorisé. L'opération aurait commencé au moins en janvier 2021.

Pour rappel, ce type de stratégie s’insère dans un cadre géopolitique visant à rendre persistant un accès dans le système d'information contrôlant un composant vital pour la nation, en l'occurrence l'accès à l'électricité pour une population.

La cyberwarfare est l'exemple type de la lutte non conventionnelle moderne : pas de mort directe, un moyen de dissuasion digne d'une bombe nucléaire, l'aspect immoral en moins.

Pour rappel, la France a, via l'ANSSI, déclaré que les attaques étatiques cyber contre ses infrastructures vitales étaient la menace n°1 identifiée pour le pays en cas de conflit important, et que depuis quelques années, la France dispose d'une doctrine offensive pour répondre à une agression (dans le cas où l'acteur serait identifié). En effet, la surface à défendre demandant des moyens humains et financiers démesurés, il est établi qu'aucun pays ne peut et pourra prétendre pouvoir se protéger de telles attaques. La réponse offensive cyber devient donc, au même titre que le nucléaire avec les SNLE et leur capacité de frappe a posteriori, un élément important du système de défense. Seul problème : cela ne fonctionne que contre les acteurs étatiques, mais pas les groupes criminels.

sauf que les groupes criminels, et surtout les techniciens capables de faire ça, ils ont un coeur et un cerveau ; ce sont aussi des cibles qu'il est possible d'éliminer

Link to comment
Share on other sites

40 minutes ago, christophe 38 said:

sauf que les groupes criminels, et surtout les techniciens capables de faire ça, ils ont un cœur et un cerveau ; ce sont aussi des cibles qu'il est possible d'éliminer

Il est souvent difficile de savoir individuellement de qui il s'agit ...

L'autre souci c'est quand ils sont protégé par un état ...

Le dernier souci c'est que ce n'est pas si simple d'éliminer quelqu'un discrètement ... dans notre monde de surveillance ... on laisse beaucoup de trace.

S'il faut le faire ouvertement on ne pas le faire n'importe ou n'importe comment ... dans les pays terroristes c'est faisable ... drone terroriste boom à l'américaine. Mais s'il sont dans des pays un peu plus propre sur eux ... ca va rapidement finir en drame.

En pratique c'est une forme de "guerre viable" ...

  • Upvote 2
Link to comment
Share on other sites

il y a 1 minute, g4lly a dit :

Il est souvent difficile de savoir individuellement de qui il s'agit ...

L'autre souci c'est quand ils sont protégé par un état ...

Le dernier souci c'est que ce n'est pas si simple d'éliminer quelqu'un discrètement ... dans notre monde de surveillance ... on laisse beaucoup de trace.

mais, parfois, laisser des traces, signer, c'est aussi montrer à l'autre qui l'a découvert

ça participe à la dissuasion

Link to comment
Share on other sites

5 minutes ago, christophe 38 said:

mais, parfois, laisser des traces, signer, c'est aussi montrer à l'autre qui l'a découvert

ça participe à la dissuasion

Tu penses qu'en France on va accepter d'avoir tuer publiquement des petits puceaux d'informaticiens du bout du monde ... qui peut etre on participé à ?!!!

Ils sont pas cons les "hackers" il pratique la dilution maximale ... et le déni plausible ... le partage du travail etc.

  • Upvote 1
Link to comment
Share on other sites

il y a 5 minutes, g4lly a dit :

Tu penses qu'en France on va accepter d'avoir tuer publiquement des petits puceaux d'informaticiens du bout du monde ... qui peut etre on participé à ?!!!

Ils sont pas cons les "hackers" il pratique la dilution maximale ... et le déni plausible ... le partage du travail etc.

et tu crois que la population va accepter de voir hacker des hopitaux ou que des lignes electriques/centrales soient isolées des semaines par des petits puceaux ??

juste en passant, tous les hopitaux ne se sont pas encore remis des attaques de la fin de l'hiver...

le puceau qui fait une connerie doit le savoir.

 

je suis désolé, mais, pour moi, la repression fait partie de la prévention : si tu déconnes, tu prends un coup de pied au cul, les droits vs les devoirs, toussa, une question d'équilibre

Link to comment
Share on other sites

il y a 28 minutes, christophe 38 a dit :

et tu crois que la population va accepter de voir hacker des hopitaux ou que des lignes electriques/centrales soient isolées des semaines par des petits puceaux ??

Non, mais elle blâmera plus le gouvernement que les hackers pour ça, parce qu'elle peut identifier le gouvernement comme responsable partiel, ou supposé tel.

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

31 minutes ago, christophe 38 said:

et tu crois que la population va accepter de voir hacker des hopitaux ou que des lignes electriques/centrales soient isolées des semaines par des petits puceaux??

Ils n'en savent rien ... il n'ont pas les effets directement ... en plus rien ne garantit que tuer untel ou untel y change quelques chose ... c'est juste une forme de vengeance pas une solution.

Pire tu vas avoir bien du mal a vendre politiquement des assassinats ciblé en Europe ...

Link to comment
Share on other sites

il y a 9 minutes, g4lly a dit :

Ils n'en savent rien ... il n'ont pas les effets directement ... en plus rien ne garantit que tuer untel ou untel y change quelques chose ... c'est juste une forme de vengeance pas une solution.

Pire tu vas avoir bien du mal a vendre politiquement des assassinats ciblé en Europe ...

parce que tu penses qu'il va y avoir de la publicité sur la chose ??? les interessés sauront, les autres n'auront pas à le savoir..

coté Europe, je ne pense pas que le PR annonce aux autres présidents et élus qu'il a mis un contrat sur untel ou unautre...

Link to comment
Share on other sites

3 minutes ago, christophe 38 said:

parce que tu penses qu'il va y avoir de la publicité sur la chose ??? les interessés sauront, les autres n'auront pas à le savoir...

Rien ne passe plus inaperçu dans notre monde ... il y a forcément quelqu'un qui a intérêt à médiatiser ... que ce soit pour nuire à la victime ou à l'auteur ... ou pour se mettre en avant.

3 minutes ago, christophe 38 said:

Coté Europe, je ne pense pas que le PR annonce aux autres présidents et élus qu'il a mis un contrat sur untel ou un autre...

Je pensais pas liquider des ressortissant communautaire ... mais à l'avis des habitant d'Europe sur les assassinats ciblés en général. Quand ce sont les américains qui liquide des terroriste pakistanais à coup de drone ... c'est très mal vu de la part des habitants communautaire.

Link to comment
Share on other sites

Christophe, je pense que tu sous estimes complètement la difficulté qu'il y a à identifier l'origine d'un hack à peu près bien effectué.

La grande majorité des attaques ne laissent juste absolument aucune preuve derrière elle. Sans revendication, tu peux juste t'appuyer sur un contexte géopolitique pour faire ton attribution.

C'est dans l'immense majorité des cas non identifiable pour la NSA itself, qui est à des années lumières devant tout le monde en forensic. Tout le monde sait attaquer, mais peu savent à peu près défendre.

Edited by Nemo123
  • Thanks 1
Link to comment
Share on other sites

il y a 1 minute, Nemo123 a dit :

Christophe, je pense que tu sous estimes complètement la difficulté qu'il y a à identifier l'origine d'un hack à peu près bien effectué.

La grande majorité des attaques ne laissent juste absolument aucune preuve derrière elle. Sans revendication, tu peux juste t'appuyer sur un contexte géopolitique pour faire ton attribution.

C'est dans l'immense majorité des cas non identifiable pour la NSA itself.

j'avoue que ce n'est pas mon domaine ; mais, à la base, je pars d'un principe simplet (comme mon raisonnement ??) : à qui profite le crime ?

quand les centrifugeuses iraniennes se font hacker, qui peut etre derriere ???

quand l'election americaine est polluée par des votes electroniques suspects, de qui cela peut il bien venir ??

Link to comment
Share on other sites

Nous sommes donc d'accord, il s'agit de corrélation d'indices, mais pas de preuves.

Donc quand tu fais face à une nation ou un groupe bien identifié, c'est facile, mais quand tu fais face à des hacktivistes ou un groupe cybercriminel, ou même un groupe cybercriminel patriote, comme ça se fait beaucoup en Russie (freelance avec la bénédiction de l'état hôte), comment tu attribues ? On aurait envie d'attribuer à l'état hôte, pourtant il n'a rien à voir avec ça.

Le gros problème de ne pas avoir de preuve est que ça encourage les attaques sous faux drapeau. Rien de plus facile en informatique pour voir tranquillement s'écharper 2 concurrents.

Edited by Nemo123
  • Thanks 1
Link to comment
Share on other sites

il y a 4 minutes, christophe 38 a dit :

j'avoue que ce n'est pas mon domaine ; mais, à la base, je pars d'un principe simplet (comme mon raisonnement ??) : à qui profite le crime ?

Pourquoi pas à des gens qui ont intérêt à ce que d'autres se posent cette question quand existe déjà un contentieux entre une partie XYZ et la cible visée?

Voilà, je viens de te démontrer pourquoi on ne peut pas directement répondre aux attaques cyber. Et pourquoi on est dans un flou encore pire qu'en matière de dissuasion face à l'utilisation de l'atome ou d'une simple "bombe sale" par des terroristes.

Link to comment
Share on other sites

Pour continuer sur la difficulté de la défense des réseaux, les pays développés, dont la France, font face à au moins deux problèmes :

1. La porosité des infrastructures réseaux, qu'elles soient étatiques ou industrielles. Même si c'est de moins en moins vrai dans les dernières, il y a souvent un passif en terme de conception qui rend tout projet de sécurisation quasiment impossible tant d'un point de vue financier que technique. Il faut alors repartir d'une feuille blanche, avec toutes les contraintes que ça impose en termes de disponibilité du service lors de la migration, le tout avec une main d'œuvre à former sur les nouvelles technologies. 

2. Un déficit hallucinant de main d'œuvre qualifiée dans la détection  et la réaction sur incident (sans parler de forensic). Quand je vois des bac+2/3, certes avec un peu d'expérience, être embauchés à plus de 3000€ net hors prime dans des boîte spécialisées juste pour faire du niveau 1 (détection et qualification), le tout en province, ça laisse songeur. Et que dire sur les ingénieurs cyber qui tapent directement à 5k sans négociation. Ça en dit long sur la tension du marché dans ce secteur.

Et je ne parle même pas du monde militaire où la sécurité des réseaux repose sur une poignée de personnes, certes qualifiées et motivées, mais en nombre totalement insuffisant...

Edited by Soho
  • Thanks 2
Link to comment
Share on other sites

Le 26/06/2021 à 11:00, Soho a dit :

Pour continuer sur la difficulté de la défense des réseaux, les pays développés, dont la France, font face à au moins deux problèmes :

1. La porosité des infrastructures réseaux, qu'elles soient étatiques ou industrielles. Même si c'est de moins en moins vrai dans les dernières, il y a souvent un passif en terme de conception qui rend tout projet de sécurisation quasiment impossible tant d'un point de vue financier que technique. Il faut alors repartir d'une feuille blanche, avec toutes les contraintes que ça impose en termes de disponibilité du service lors de la migration, le tout avec une main d'œuvre à former sur les nouvelles technologies. 

2. Un déficit hallucinant de main d'œuvre qualifiée dans la détection  et la réaction sur incident (sans parler de forensic). Quand je vois des bac+2/3, certes avec un peu d'expérience, être embauchés à plus de 3000€ net hors prime dans des boîte spécialisées juste pour faire du niveau 1 (détection et qualification), le tout en province, ça laisse songeur. Et que dire sur les ingénieurs cyber qui tapent directement à 5k sans négociation. Ça en dit long sur la tension du marché dans ce secteur.

Et je ne parle même pas du monde militaire où la sécurité des réseaux repose sur une poignée de personnes, certes qualifiées et motivées, mais en nombre totalement insuffisant...

Pour faire à la fois de l'infra sec et du SOC pour des boites du CAC 40 et des ETI, c'est très vrai pour les deux (quant aux PME, elles ne font pas de sécu :chirolp_iei: ). L'avantage pour les grosses boites est d'avoir un budget cyber plus important et donc permettre au RSSI de pouvoir adresser plus facilement les sujets importants et/ou urgents. Alors que les ETI doivent faire le tri entre les projets tous plus important les uns que les autres.

Concernant la pénurie de main d’œuvre... C'est à mon avis le sujet n°1. Les facs et les écoles d'ingés sortent des mecs à plein régime (des promos de 20-25 mecs max), mais la moitié finissent chefs de projet / commerciaux / SDM à faire du fonctionnel et pas de la technique. Et faire de la technique dans ce domaine, c'est quand même être un gros geek et y passer une partie raisonnable de sa vie perso (du moins pour le SOC et le pentest, mais moins pour l'infra). Bref, c'est pas demain que le problème va se résoudre, tous les pays du monde sont concernés, et la fuite des cerveaux vers les US est flagrante (~ salaire x3 pour un profil technique).

Link to comment
Share on other sites

Il y a 1 heure, Nemo123 a dit :

Pour faire à la fois de l'infra sec et du SOC pour des boites du CAC 40 et des ETI, c'est très vrai pour les deux (quant aux PME, elles ne font pas de sécu :chirolp_iei: ). L'avantage pour les grosses boites est d'avoir un budget cyber plus important et donc permettre au RSSI de pouvoir adresser plus facilement les sujets importants et/ou urgents. Alors que les ETI doivent faire le tri entre les projets tous plus important les uns que les autres.

Concernant la pénurie de main d’œuvre... C'est à mon avis le sujet n°1. Les facs et les écoles d'ingés sortent des mecs à plein régime (des promos de 20-25 mecs max), mais la moitié finissent chefs de projet / commerciaux / SDM à faire du fonctionnel et pas de la technique. Et faire de la technique dans ce domaine, c'est quand même être un gros geek et y passer une partie raisonnable de sa vie perso (du moins pour le SOC et le pentest, mais moins pour l'infra). Bref, c'est pas demain que le problème va se résoudre, tous les pays du monde sont concernés, et la fuite des cerveaux vers les US est flagrante (~ salaire x3 pour un profil technique).

Le passage sur la technique et le fonctionnel est juste. Même si de mon point de vue un bon ingénieur cyber doit pouvoir jouer sur les deux tableaux, les boîtes et les institutions se contentent trop souvent de recruter le premier type qui connaît un peu le sujet en se disant qu'elles ont coché la case et que leur infra est sécurisée. Sauf que le type en question sera incapable de monter une solution de supervision pour un SOC. Ou alors il achètera à grand frais un Splunk avec collecte des logs du Firewall d'entrée de site en scandant "on surveille tout ce qui rentre et ce qui sort :cool:"...

Bref comme tu dis, on est pas sorti de l'auberge !

  • Upvote 1
Link to comment
Share on other sites

il y a une heure, Soho a dit :

Le passage sur la technique et le fonctionnel est juste. Même si de mon point de vue un bon ingénieur cyber doit pouvoir jouer sur les deux tableaux, les boîtes et les institutions se contentent trop souvent de recruter le premier type qui connaît un peu le sujet en se disant qu'elles ont coché la case et que leur infra est sécurisée. Sauf que le type en question sera incapable de monter une solution de supervision pour un SOC. Ou alors il achètera à grand frais un Splunk avec collecte des logs du Firewall d'entrée de site en scandant "on surveille tout ce qui rentre et ce qui sort :cool:"...

Bref comme tu dis, on est pas sorti de l'auberge !

Si vous voulez du Splunk (ou ELK, Graylog, QRadar, Qualys, Sentinel, je ne suis pas raciste), intégration, run ou service managé, France ou international, mes DM sont ouverts :bloblaugh:

Plus sérieusement, avoir juste un mec fonctionnel qui pilote un SOC en service managé (outsourcé chez un prestataire de service), c'est pas forcément déconnant. Ça coûte (le plus) cher, mais ça me semble le plus efficace aujourd'hui, de mon humble REX. C'est pas un métier qui s'apprend en quelques mois, donc quand c'est pas ton métier, faut avoir l'humilité (et les finances) de passer la main. Et faut pas forcément être un ouf en technique pour être simplement le mec en interne qui fait l'interface avec le service managé chez un prestataire.

Et faudrait juste que les RSSI arrêtent de croire que parce qu'on a coché la case "j'ai un SOC" alors on va tout détecter. Aujourd'hui, l'immense majorité des SOC en France sont complètement à la ramasse face à des APT, mais plutôt tout juste bon pour détecter des scripts kiddies, des employés malveillants, ou des attaquants pas vraiment professionnel. Mais ça filtre déjà 99% des attaques, alors c'est mieux que rien. Après, ça coûte super cher un SOC (et encore plus un bon).

Link to comment
Share on other sites

Il y a 1 heure, Nemo123 a dit :

Si vous voulez du Splunk (ou ELK, Graylog, QRadar, Qualys, Sentinel, je ne suis pas raciste), intégration, run ou service managé, France ou international, mes DM sont ouverts :bloblaugh:

Plus sérieusement, avoir juste un mec fonctionnel qui pilote un SOC en service managé (outsourcé chez un prestataire de service), c'est pas forcément déconnant. Ça coûte (le plus) cher, mais ça me semble le plus efficace aujourd'hui, de mon humble REX. C'est pas un métier qui s'apprend en quelques mois, donc quand c'est pas ton métier, faut avoir l'humilité (et les finances) de passer la main. Et faut pas forcément être un ouf en technique pour être simplement le mec en interne qui fait l'interface avec le service managé chez un prestataire.

Et faudrait juste que les RSSI arrêtent de croire que parce qu'on a coché la case "j'ai un SOC" alors on va tout détecter. Aujourd'hui, l'immense majorité des SOC en France sont complètement à la ramasse face à des APT, mais plutôt tout juste bon pour détecter des scripts kiddies, des employés malveillants, ou des attaquants pas vraiment professionnel. Mais ça filtre déjà 99% des attaques, alors c'est mieux que rien. Après, ça coûte super cher un SOC (et encore plus un bon).

Malheureusement j'ai l'impression que beaucoup de boîtes qui proposent des SOC externalisés prennent surtout leurs clients pour des pigeons. Pour avoir eu à faire l'interface avec un de ces prestataires (bien connu et qui se targue d'être un des leaders français), la qualité du services tant en détection qu'en conseil était juste désastreuse. Au point que notre "client" à décidé de mettre la main au portefeuille pour tout réinternaliser sur nos conseils. Il y aurait pourtant un énorme avantage à ce que ces prestataires fassent un bon boulot, mais ils sont également touchés par la pénurie de main d'œuvre.

Link to comment
Share on other sites

Il y a 16 heures, Soho a dit :

Malheureusement j'ai l'impression que beaucoup de boîtes qui proposent des SOC externalisés prennent surtout leurs clients pour des pigeons. Pour avoir eu à faire l'interface avec un de ces prestataires (bien connu et qui se targue d'être un des leaders français), la qualité du services tant en détection qu'en conseil était juste désastreuse. Au point que notre "client" à décidé de mettre la main au portefeuille pour tout réinternaliser sur nos conseils. Il y aurait pourtant un énorme avantage à ce que ces prestataires fassent un bon boulot, mais ils sont également touchés par la pénurie de main d'œuvre.

En ce qui concerne les SOC, c'est sûr que l’appât du gain doit encourager certaines structures à ne pas beaucoup plus implémenter que les règles de détections de base. De là à dire qu'elles sont majoritaires, ça m'étonnerait beaucoup, car le milieu est si petit (tout le monde se connaît) que si tu te grilles, c'est juste fini pour toi et ta boite. Les quelques uns qui vendent du SOC cheap le revendiquent et présentent une facture cohérente.

  1. Toute la force d'un SOC (d'un niveau de maturité moindre, mais c'est déjà beaucoup) réside dans sa capacité à contextualiser ses règles à la vie du SI de son client pour augmenter le taux de détection. Mais corollaire, il y a plus de faux positifs à traiter, et il faut donc une plus grande équipe, ce qui coûte plus cher.
  2. Après, pour les SOC évolués ++ qui mettent les moyens, on met en place : de l'orchestration (automatisation) avec du SOAR, l'implémentation des Mitre Attack et Defend, & standards NIST, et des activités de purple team, (liste non exhaustive). Mais je ne sais pas s'il y en a plus de 5 en France qui le font correctement (teasing : ça m'étonnerait qu'il y en ait au moins un).

Donc à défaut de bien faire de la contextualisation, certains boutiques à la taille conséquente, comme dans le secteur bancaire, internalisent leur SOC. Je ne sais pas combien il y a de clients finaux (hors monde de l'IT) qui ont leur propre SOC en pur interne en France, mais je suppose ça doit tourner autour de 10.

  • Upvote 1
Link to comment
Share on other sites

Un rapport d’un Institut international classe les quinze premières puissances en cyberguerre en trois catégories. Les États-Unis sont seuls en première catégorie, loin devant la Chine, et la France seul pays de l’UE de la liste.

Citation

 

Il ne se passe pas un jour sans qu’on apprenne qu’une cyber-attaque, ou une opération de cyber-espionnage, a été menée quelque part dans le monde. Ce nouveau champ de bataille, pas si virtuel que ça, est encore entouré de beaucoup d’inconnues, à commencer par l’évaluation des capacités des États.

Pour la première fois, une étude approfondie nous aide à y voir plus clair. Pendant deux ans, l’Institut international des études stratégiques (IISS), basé à Londres, a étudié les moyens, les stratégies, les environnements éducatifs, scientifiques et militaires des États, pour arriver à produire une hiérarchie mondiale de la cyberguerre.

L’Institut a classé les quinze principaux acteurs de ce champ de conflictualité en trois catégories, avec une surprise : il n’y a qu’un seul État dans la première catégorie, et ce n’est ni la Chine, ni la Russie, les suspects habituels dès qu’une opération est révélée : non, le pays le plus avancé, ce sont les États-Unis, qui ont, selon l’étude, quelque dix ans d’avance sur les Chinois.

Si les États-Unis sont les seuls à cocher toutes les cases de la première catégorie, il y en a plus en deuxième catégorie : la Chine et la Russie, mais aussi la France, seul pays de l’Union européenne dans cette liste. On y trouve aussi Israël, le plus petit des pays de son groupe, mais dont on connait les capacités cyber et qui n’hésite pas à les utiliser, notamment contre l’Iran.

L’Iran quant à lui se retrouve en troisième catégorie, loin derrière donc. Les autres pays de la catégorie sont tous en Asie : Japon, Inde, Corée du nord, Vietnam, Indonésie et Malaisie.

On trouve là un état du monde contrasté entre les pays qui ont naturellement les capacités technologiques et militaires pour occuper ce nouveau terrain, et ceux qui n’en ont pas nécessairement les moyens mais ont fait ce choix stratégique. Le meilleur exemple est la Corée du nord, faiblement numérisé et économiquement en retard, mais qui, dans le nucléaire ou le cyber, a développé des capacités bien au-dessus de ses moyens.

Mais les capacités ne signifient pas nécessairement l’usage. Les États-Unis sont ainsi les plus avancés, mais pas nécessairement les plus actifs sur un plan offensif, même si on sait qu’ils ont mené des actions contre l’Iran ou la Corée du nord.

Mais ce que montre cette étude, c’est que lorsque Joe Biden, lors de sa récente rencontre avec Vladimir Poutine, l’a mis en garde de ne pas mener de cyber-attaques contre des objectifs sensibles sous peine de représailles identiques, il a les moyens de ses menaces.

C’est le propre de la dissuasion de pouvoir infliger à son adversaire ce qu’il tente de vous faire. C’est ce qu’on a appelé à l’ère nucléaire « l’équilibre de la terreur », lorsque Américains et Soviétiques avaient chacun la capacité de détruire l’autre.

Dans l’univers cyber, on n’en est pas encore là. Mais il était important de pouvoir évaluer correctement les capacités des acteurs de cette cyber-planète pour pouvoir espérer, un jour, fixer des règles du jeu, comme dans d’autres types d’armements. Cette étude de l’IISS y contribue, et en donnant une telle avancée aux Américains, elle peut aider à calmer bien des ardeurs de leurs adversaires.

 

Source : https://www.iiss.org/blogs/research-paper/2021/06/cyber-capabilities-national-power

  • Thanks 2
  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Member Statistics

    5,644
    Total Members
    1,550
    Most Online
    Mehdi2909
    Newest Member
    Mehdi2909
    Joined
  • Forum Statistics

    21.3k
    Total Topics
    1.5m
    Total Posts
  • Blog Statistics

    4
    Total Blogs
    3
    Total Entries
×
×
  • Create New...