Cette année, C&ESAR (Computer & Electronics Security Applications Rendez-vous) a pour thématique la lutte contre les cyber-attaques, couvrant deux aspects spécifiques, les problèmes de la détection de ces cyber-attaques d’une part, et de la réaction d’autre part.
La détection, dite historiquement « détection d’intrusions », est un domaine de recherche actif depuis le début des années 1980, et les sondes de détection sont des technologies déployées opérationnellement depuis la fin des années 1990. Ces sondes font aujourd’hui partie de la panoplie des outils des professionnels de la sécurité.
Dans la continuité de ces développements sont apparus au début des années 2000 les plates-formes de gestion de la sécurité, puis les centres opérationnels de sécurité permettant d’externaliser détection et réaction. Depuis le milieu des années 2000, une activité de recherche se développe également autour de l’automatisation des contre-mesures.
Cette expérience opérationnelle d’une vingtaine d’années permet de dresser le panorama suivant :
- Les sondes permettent de détecter des attaques, mais il demeure toujours une part d’attaques non détectées, qui sont perçues comme les plus dangereuses.
- Même lorsqu’elles sont détectées par les sondes, certaines attaques donnent lieu à compromission car les alertes ne sont pas ou mal traitées.
- Les opérationnels demeurent très réticents par rapport au concept de réaction automatisée, alors qu’ils continuent à se plaindre du nombre d’alertes à traiter.
- Il apparaît donc nécessaire de faire le point sur les technologies existantes pour détecter et réagir face aux cyber-attaques, et de proposer des usages et de nouveaux développements afin de les améliorer.