L’essor numérique – et plus particulièrement de la cyberdéfense – doit à l’heure actuelle relever le défi de l’accroissement exponentiel des données. Comment exploiter et analyser cette masse de données ? Le contrôle du bigdata passe par sa compréhension donnant un avantage stratégique sur d’autres acteurs.

Les données techniques permettent, par exemple, de recouper divers éléments suspects lors d’une attaque informatique. Il s’en dégage une meilleure compréhension du mode opératoire d’un attaquant ou la mise en évidence de constantes ou relations entre événements supposés en premier lieu indépendants ; le mode opératoire facilite la détection des attaques.

A l’inverse, l’analyse du bigdata peut servir à mener des attaques contre de potentiels agresseurs et développer une force de dissuasion.  La conduite des opérations d’analyse, de défense ou d’attaque crée de nouvelles données enrichissant le bigdata de base, cercle vertueux provoquant un accroissement exponentiel des données à traiter.

Face à cet enjeu de gestion du bigdata, la qualification de chaque donnée permet une première structuration. Certaines données sont techniques (signature électronique), contextuelles (nom d’une opération numérique, identité des victimes), comportementales (heure de travail des hackers, langue de codage…). Ces données sont complétées par diverses informations ; lieu de collecte, date, degré de fiabilité…Enfin, l’étape suivante consiste à établir ou identifier les liens entre chacune des données.

Pour l’heure, aucun des modèles développés n’a suscité pleine et entière satisfaction. Cependant quatre grandes fonctionnalités permettent d’utiliser efficacement le bigdata : l’alimentation, la visualisation, l’extraction et le traitement.

L’alimentation en données de la base est permise par des solutions semi-automatiques permettant une certaine souplesse. En effet, l’apport automatique conduit souvent à la redondance ou l’omission de certaines données.

La visualisation, par des utilisateurs aux objectifs et aux droits variés, constitue à l’heure actuelle un champ d’exploration à part entière. Qu’il s’agisse d’un décideur cherchant à acquérir une vue d’ensemble d’une campagne d’espionnage numérique ou un responsable SSI souhaitant s’assurer qu’une victime s’est bien vue communiquée les données relatives à un incident, la multiplicité et la spécificité des besoins rendent le développement de solution de visualisation automatique complexe.

S’il est plus aisé de pratiquer l’extraction de données pour procéder à un partage vers un tiers, le phénomène soulève des questions d’habilitation et de marchandisation des données. En effet, comme dans tout service de renseignement, des degrés d’accréditations restent à développer et les processus d’accès à mettre en œuvre. La valeur ajoutée, par l’usage des modèles d’analyse du bigdata, pourrait conduire à une marchandisation des données et à l’apparition d’un marché de la cyberdéfense.

Enfin, le traitement des données ou Data Mining représente un défi élevé. L’hétérogénéité des données, la nature des mécanismes en jeu et les caractéristiques du cyberespace sont autant de défis à franchir pour produire des modèles d’analyse et de compréhension pertinents.

Axel Le Poupon, auteur de l’étude, propose la mise en place d’un socle commun de travail entre les différents acteurs de la cyberdéfense française, coordination qui permettrait de développer une capacité d’innovation forte et répondant à la montée des cybersmenaces. Face à elles, l’affirmation de la souveraineté numérique de la France doit s’opérer, par l’intermédiaire d’un investissement massif et à la mise en place de structure de coopération.

 

Source : Revue 254 de la Gendarmerie Nationale, Data security and privacy, Axel LE POUPON, Données en cyberdéfense, le big data par excellence.

 

aloysia biessy