May 07, 2025

Teknik - Cyberdéfense en profondeur - Naviguer dans les défis de cybersécurité des technologies multi-environnements - Parce que... c'est l'épisode 0x584!

27 minutes

Parce que… c’est l’épisode 0x584!

Shameless plug

10 au 18 mai 2025 - NorthSec

03 au 05 juin 2025 - Infosecurity Europe

27 et 29 juin 2025 - LeHACK

12 au 17 octobre 2025 - Objective by the sea v8

10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec

17 au 20 novembre 2025 - European Cyber Week

25 et 26 février 2026 - SéQCure 2065

Description

Dans ce podcast, Omar Abdul-Wahab, professeur adjoint à Polytechnique Montréal spécialisé en cybersécurité et cyberdéfense, présente le concept crucial de la défense en profondeur dans un contexte technologique moderne et complexe.

La défense en profondeur à l’ère des technologies convergentes

Omar souligne que le concept de défense en profondeur n’est plus un luxe mais une nécessité absolue dans un environnement où les entreprises utilisent simultanément des infrastructures TI traditionnelles, des services cloud, des objets connectés (IoT) et l’intelligence artificielle. La complexité croissante de ces environnements multitechnologiques exige une approche de sécurité qui prend en compte les spécificités de chaque couche et leurs interactions.

Les défis par couche technologique

1. Infrastructure TI traditionnelle

Omar identifie trois défis majeurs :

Les mécanismes d’évasion de détection : Les attaquants exploitent désormais la confiance en utilisant des applications légitimes pour mener leurs attaques. Il cite l’exemple d’applications légitimes appelant des DLL malveillantes, échappant ainsi aux systèmes de détection traditionnels qui se fient à la légitimité de l’application parent.

La fatigue face aux alertes (alert fatigue) : Les professionnels de la cybersécurité sont submergés par un volume excessif d’alertes, dont la majorité sont des faux positifs, ce qui les épuise avant qu’une véritable attaque ne survienne.

Le besoin d’automatisation dans le triage des alertes et la génération de playbooks pour les réponses aux incidents.

Pour répondre à ces défis, Omar suggère :

Développer des systèmes de détection capables de faire des corrélations plus complexes, analysant non seulement la légitimité des applications mais aussi les séquences d’appels API et d’autres indicateurs contextuels.

Utiliser le machine learning pour améliorer l’automatisation du triage des alertes et la contextualisation des menaces.

2. Environnement Cloud

Le cloud présente des défis spécifiques qui diffèrent de l’infrastructure TI traditionnelle :

L’élasticité : La capacité de créer et supprimer rapidement des ressources (containers, machines virtuelles) complique le suivi des logs et la détection d’activités malveillantes.

L’architecture basée sur les API : Omar cite l’attaque de Capital One en 2019, où les attaquants ont exploité les API cloud sans avoir besoin de déployer un malware traditionnel.

Les infrastructures définies par code (Infrastructure as Code) qui évoluent constamment.

Solutions proposées :

Développer des modèles de menaces spécifiques au cloud qui tiennent compte de son caractère dynamique.

Automatiser la modélisation des menaces pour s’adapter aux changements constants de l’environnement cloud.

Concevoir des systèmes de détection et des playbooks de réponse adaptés aux spécificités du cloud.

3. Internet des Objets (IoT)

L’IoT présente des défis encore plus distincts :

L’hétérogénéité extrême des appareils et des données qu’ils échangent, rendant difficile l’application de solutions de sécurité uniformes.

La faible sécurisation native de nombreux appareils IoT (mots de passe par défaut, etc.).

La vulnérabilité aux attaques physiques due à l’accessibilité des appareils.

Le manque de renseignements sur les menaces (threat intelligence) spécifiques à l’IoT.

Omar suggère de combiner des approches mathématiques et de machine learning pour développer des solutions plus généralisables et adaptables à l’hétérogénéité de l’IoT.

4. Intelligence Artificielle (IA)

L’IA, tout en étant un outil de défense, présente elle-même des risques de sécurité, notamment :

Les attaques furtives (stealthy) comme l’injection de backdoors dans les modèles, difficiles à détecter car elles ne s’activent que sous certaines conditions spécifiques (triggers).

Ces attaques peuvent passer inaperçues pendant l’entraînement et les tests, ne se manifestant qu’en production.

Face à la difficulté de détecter ces attaques, Omar recommande de se concentrer sur la résilience : entraîner les modèles à résister aux attaques en injectant délibérément des backdoors simulés pendant l’entraînement pour renforcer leur robustesse.

Conclusion

Omar Abdul-Wahab conclut en insistant sur l’importance d’une véritable architecture de cyberdéfense en profondeur intégrant les spécificités de chaque couche technologique et leurs interactions. Dans un monde où les organisations utilisent nécessairement plusieurs de ces couches simultanément, comprendre leurs vulnérabilités particulières et développer des stratégies de défense adaptées est crucial pour une cybersécurité efficace.

Collaborateurs

Nicolas-Loïc Fortin

Omar Abdel Wahab

Crédits

Montage par Intrasecure inc

Locaux réels par Cybereco

...more

View all episodes

By Nicolas-Loïc Fortin et le Polysecure crew