Gévaudan Adrien

La cybersécurité, désormais bien (mieux) installée dans le paysage institutionnel de nos sociétés développées, n’échappe pas au morcellement de la pensée et des pratiques qui est le devenir de tout domaine un tant soit peu dynamique. À ce titre, quelque néophyte qui tenterait de comprendre le quotidien d’une équipe de cybersécurité relativement pluridisciplinaire serait très vite abasourdi devant la masse de termes obscurs, expressions anglicisantes et autres néologismes qui peuplent nos journées. Si on ajoute à cela l’incroyable fertilité de la pensée marketing, jamais avare de nouveaux concepts (pseudo-)révolutionnaires, il y a de quoi frôler l’overdose sémantique.

Aujourd’hui, que vous travailliez dans une équipe de Cyber Threat Intelligence (CTI), un Security Operations Center (SOC), un Computer Security Incident Response Team (CSIRT), ou même comme pentester, il y a fort à parier que nous ne pouviez faire l’économie d’utiliser, peut-être même au quotidien, la matrice MITRE ATT&CK. Un tel succès appelle une analyse critique de ses causes, l’examen de ses éventuelles limites, ainsi que la définition de quelques bonnes pratiques d’utilisation.

Effectuer des recherches en prévision d’un entretien d’embauche ; analyser des documents numériques afin de mieux cerner une problématique ; parcourir des forums dans le but de résoudre un bug ; autant d’exemples illustrant le fait que, sans même le savoir, nous exploitons, tous les jours, l’accès libre aux réseaux et aux sources dont nous disposons dans nos sociétés développées à des fins multiples, l’« Open Source Intelligence », ou OSINT pour les intimes. Toutefois cette pratique, comme tant d’autres, n’est pas sans être plus efficiente dès lors qu’elle suit un certain nombre de bonnes pratiques et exploite de bons outils.

« Attention, nouveau virus ! » Nombreux sont les articles à nous alerter régulièrement, par cette métonymie, sur l’émergence d’un nouveau malware. Pourtant, le terme de virus a-t-il encore un sens aujourd’hui ? Wannacry était-il un ver, ou un ransomware ? NotPetya, un wiper, ou bien un ver ? Et plus encore, au-delà de l’utilisation de termes et expressions se pose la question de la nécessaire catégorisation des incidents de cybersécurité ; pourquoi, comment, à quelles fins ? Essai (critique) de réponse.