π Numérique

S’inspirer de l’épidémiologie pour lutter contre les cybermenaces

Christophe Gaie

chef de division ingénierie et innovation numérique au sein des services du Premier ministre

Jean Langlois-Berthelot

docteur en mathématiques appliquées et chef de division au sein de l'armée de Terre

Jean-Fabrice Lebraty

professeur des universités en Sciences de gestion à l’iaelyon

En bref

L’avènement du numérique a fait proliférer les cybermenaces et s’en protéger devient un enjeu actuel majeur.
Identifier les risques potentiels, détecter les menaces, déterminer les mécanismes de propagation… le champ d’action de la cybersécurité est vaste.
Pour lutter contre la propagation des virus informatiques, des experts s’inspirent de l’épidémiologie.
En effet, les virus informatiques (à l’instar des virus infectieux) disposent d’une signature-type qui permet de les identifier.
Le modèle SEIR a notamment été optimisé pour caractériser le degré de sensibilité d’un matériel informatique à la contamination.
Ce système semble prometteur pour améliorer la sécurité des systèmes informatiques, en particulier au sein de l’administration.

Le monde contemporain s’est construit autour du numérique qui est désormais au cœur de l’activité des entreprises, des associations et de l’État. Parallèlement, cette nouvelle configuration a engendré la prolifération d’acteurs malveillants. En tirant parti de cette nouvelle opportunité, ils tentent d’atteindre des buts politiques, financiers ou même mafieux. L’un des enjeux les plus prégnants devient la mise en place de stratégies de sécurité informatique permettant de se protéger de ces cybermenaces.

Anticiper et surveiller en temps réel pour réduire les risques

La réaction naturelle face à une menace est souvent de fuir ou d’essayer de se protéger. Il s’agit d’un mécanisme naturel qui vise à écarter une menace qui vient d’être détectée. Cette réaction permet aux êtres vivants de survivre face à leurs prédateurs et à se protéger de leurs ennemis. Pour autant, une stratégie plus pertinente dans la nature, comme pour tout système numérique, est plutôt d’anticiper les menaces afin de ne pas s’y exposer¹.

Dans le domaine de la cybersécurité, il est donc préconisé d’identifier les risques potentiels dans le cadre d’une démarche de protection. C’est ce que permet la démarche d’analyse des risques EBIOS², préconisée par l’ANSSI. D’autre part, il faut s’appuyer sur des mécanismes de détection en temps réel tels que les mécanismes de « Dynamic Forecasting »³.

S’inspirer de l’épidémiologie pour lutter contre la propagation des virus informatiques

Durant ces recherches⁴, les chercheurs se sont inspirés des mécanismes épidémiologiques afin d’identifier les virus informatiques. Cette idée est très similaire au fait de confondre un criminel avec ses empreintes digitales ou son ADN : le cybercriminel laisse, lui aussi, des empreintes numériques.En effet, les virus informatiques disposent d’une signature-type qui permet de les identifier (exemples : MyDoom.A, Psyb0t, Tchernobyl, Conficker, Cryptolocker…). C’est d’ailleurs très souvent le mécanisme qu’utilisent les antivirus pour les détecter. Par exemple, depuis août 2016, un malware nommé Mirai et spécialisé sur les objets connectés évolue pour infecter des systèmes informatiques. Ce comportement pourrait faire penser à celui d’un virus comme la COVID-19.

Par ailleurs, notre objectif dépasse la simple identification d’un virus. Nous souhaitons déterminer ses mécanismes de propagation pour mieux protéger les systèmes d’information interconnectés. Les systèmes d’information de l’État peuvent être particulièrement soumis à des interactions avec les usagers, avec des partenaires économiques ainsi qu’avec d’autres administrations. Dès lors, un virus peut non seulement provenir d’une attaque, mais également d’une propagation provenant d’un partenaire infecté.

Le modèle SEIR

Le modèle SEIR (Sensible, Exposé, Infecté et Rétabli) est un outil épidémiologique bien établi. Il est utilisé dans la lutte contre les pandémies⁵, mais également dans le domaine de la cybersécurité⁶.

Adapté à notre contexte, ce modèle permet de catégoriser les matériels informatiques dans différents stades vis-à-vis de la contamination par le virus étudié. Ainsi, un matériel est considéré « sensible » s’il est vulnérable aux attaques, « exposé » s’il a été en contact avec le virus, « infecté » s’il a été compromis et « rétabli » s’il a été infecté et a fait l’objet de mesure de remise en état lui conférant une immunité contre ce virus.

Ce modèle est également maîtrisé par les épidémiologistes depuis longtemps⁷. Dans le contexte des environnements numériques, il correspond à la situation ou un écosystème atteint un niveau de protection suffisant lorsqu’il a été suffisamment exposé et protégé par des contre-mesures. Il acquiert alors une forme d’immunité qui contrecarre les cyberattaques reposant sur le virus considéré.

Un modèle d’immunité collective multi-niveau avec optimisation des ressources

Au cours de nos recherches, nous avons identifié des limites des approches initiales du modèle SEIR. Tout en offrant un cadre précieux, il ne tient pas compte des complexités telles que la variation des vulnérabilités des systèmes ou l’évolution des types d’attaques. Par ailleurs, le modèle d’immunité collective est conceptuellement puissant, mais il manque d’une méthode concrète pour parvenir à cette immunité. Et cela présente des risques en cas d’infection massive du système.

Ainsi, nous avons proposé un modèle SEIR multi-niveau avec optimisation des ressources. Ce modèle raffiné intègre deux aspects clés :

Multi-niveau : il tient compte des différents niveaux de maturité et de protection de la sécurité entre les différentes parties prenantes, telles que les gouvernements, les entreprises privées et les utilisateurs individuels.
Menaces différenciées : il différencie les cybermenaces en fonction de leur probabilité et de leur impact potentiel.

Le modèle utilise des paramètres tels que le taux de transmission, la période de latence et le taux de récupération pour décrire la propagation des cyberattaques à travers différents systèmes. Il souligne l’importance de fortifier la cybersécurité dans l’ensemble de l’écosystème, car le maillon le plus faible représente le plus grand risque.

Enfin, un avantage significatif de l’utilisation de ce type de modèle, provient de la capacité à prédire, au moins à court terme, le comportement du virus. D’une part, des seuils peuvent être déterminés et d’autre part, la résolution d’équations différentielles permettent de prévoir le comportement et de déclencher des alertes ou des réponses automatisés via des mécanismes EDR (Endpoint Detection and Response).

Optimiser la protection des systèmes critiques avec des moyens contraints

Un aspect fondamental de cette nouvelle proposition consiste à mettre l’accent sur l’optimisation des ressources dans un contexte de moyens financiers limités. Ce modèle tient compte des budgets limités alloués à la cybersécurité et concentre les efforts sur les risques majeurs. Cette approche permet de mettre en place une stratégie spécifique à chaque système, en se concentrant sur la dimension qui réduira le plus possible l’infection globale. L’optimisation convexe, une méthode mathématique très répandue⁸ est recommandée pour résoudre ce problème d’allocation des ressources.

Les propositions formulées semblent prometteuses pour améliorer la sécurité des systèmes informatiques, en particulier au sein de l’administration. Elles s’inspirent des méthodes épidémiologistes très adaptées au suivi et à la lutte contre la propagation des virus. Des travaux sont actuellement envisagés pour confronter ses propositions à la réalité, les implémenter dans des systèmes opérationnels et continuer à accroître la cybersécurité des systèmes critiques.

Clause de non-responsabilité : Le contenu de cet article n’engage que ses auteurs et n’a pas de portée autre que celle de l’information et de la recherche académique.

1Camp, L.J., Grobler, M., Jang-Jaccard, J., Probst, C., Renaud, K., &amp ; Watters, P. (2019) Measuring Human Resilience in the Face of the Global Epidemiology of Cyber Attacks. Proceedings of the 52nd Hawaii International Conference on System Sciences, MAUI United States, 8 January 2019, 4763–4772. https://doi.org/10.24251/HICSS.2019.574↑

2EBIOS (Expression des besoins et identification des objectifs de sécurité), https://cyber.gouv.fr/la-methode-ebios-risk-manager↑

3Moradzadeh, A., Mohammadpourfard, M., Genc, I., Şeker, Ş.S. and Mohammadi-Ivatloo, B., 2022. Deep learning-based cyber resilient dynamic line rating forecasting. International Journal of Electrical Power & Energy Systems, 142, p.108257.↑

4Langlois J., Gaie C., Lebraty J‑F., Epidemiology inspired Cybersecurity Threats Forecasting Models applied to e‑Government, in : Gaie, C., Mehta, M. (eds.) Transforming Public Services – Combining Data and Algorithms to Fulfil Citizen’s Expectations. Intelligent Systems Reference Library, vol 252. Springer, Cham. https://link.springer.com/book/9783031555749↑

5Christophe Gaie, Markus Mueck, An artificial intelligence framework to ensure a trade-off between sanitary and economic perspectives during the COVID-19 pandemic, Deep Learning for Medical Applications with Unique Data, Academic Press, 2022, Pages 197–217, ISBN 9780128241455, https://doi.org/10.1016/B978‑0–12-824145–5.00008–3↑

6Batista, F.K., Martín del Rey, Á., Quintero-Bonilla, S., Queiruga-Dios, A. (2018). A SEIR Model for Computer Virus Spreading Based on Cellular Automata. In : Pérez García, H., Alfonso-Cendón, J., Sánchez González, L., Quintián, H., Corchado, E. (eds) International Joint Conference SOCO’17-CISIS’17-ICEUTE’17 León, Spain, September 6–8, 2017, Proceeding. SOCO ICEUTE CISIS 2017 2017 2017. Advances in Intelligent Systems and Computing, vol 649. Springer, Cham. https://doi.org/10.1007/978–3‑319–67180-2_62↑

7Hethcote, H.W. (1989). Three Basic Epidemiological Models. In : Levin, S.A., Hallam, T.G., Gross, L.J. (eds) Applied Mathematical Ecology. Biomathematics, vol 18. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978–3‑642–61317-3_5↑

8Boyd, S. P., & Vandenberghe, L. (2004). Convex optimization. Cambridge university press.↑