S'inspirer des cyber-commandos israéliens

le 10/11/2020, par Nick Booth, IDG NS (adapté par Jean Elyan), Sécurité, 1240 mots

Tous les pays essayent de préparer leurs habitants à la citoyenneté numérique. Avec ses cyber-commandos, Israël excelle en la matière. Quels enseignements pouvons-nous en tirer ?

S'inspirer des cyber-commandos israéliens

Il y a beaucoup à apprendre d'un pays comme Israël, particulièrement performant dans la gestion des ressources rares, humaines ou autres. Sa minuscule population de 8,6 millions d'habitants est si bien instruite dans les technologies de l'information qu'elle attire un cinquième de la « Smart Money » mondiale, indicateur d'un soutien financier parmi les plus authentiques. Selon YL Ventures, en 2019, les cyber-entreprises israéliennes ont reçu 1,8 milliard de dollars de capital-risque, et sa base de compétences en matière de fintec a attiré 1,4 milliard de dollars. Comparativement, si tous les autres pays occidentaux s'efforcent de susciter l'intérêt pour les carrières dans l'IT, selon le Centre américain pour la cybersécurité et l'éducation (U.S. Center for Cyber Security and Education)1,8 million d'emplois dans le domaine de la cybersécurité ne seront pas pourvus d'ici 2022. C'est déroutant, étant donné les avantages et le caractère très critique de ce type d'emplois.

Pourquoi payer cher pour une application de type « shoot 'em up » alors que vous pouvez piéger les pirates et contrer leurs campagnes de phishing à longueur de journée et être largement récompensé ? Vous ne pouvez qu'en conclure que notre recrutement et notre formation échouent lamentablement. En Grande-Bretagne, il y a beaucoup de « souffleurs de feuilles » dans la vie publique : ils soufflent de l'air et font beaucoup de bruit, mais ils ne font rien d'autre que déplacer le problème. En témoigne cette tentative de recrutement maladroite typique, qui n'a réussi qu'à contrarier la population qu'elle cherchait à conquérir.

Quelles leçons pratiques pouvons-nous apprendre d'Israël ?

En Israël, les enfants apprennent à coder dès l'école primaire. Ensuite, les adolescents technophiles peuvent entrer dans des internats spécialisés - mais c'est l'exception. Tous les Israéliens interrogés ci-dessous attribuent leur réussite à un évènement : leur temps passé au service militaire. Certes, l'exemple de la conscription obligatoire dans les forces armées israéliennes n'est pas une option pour la plupart des occidentaux, et l'on ne peut pas dire qu'elle soit universellement populaire (ma fille serait furieuse). Mais une incursion discrète dans le camp israélien nous permettrait peut-être de connaître leurs secrets et d'adopter leurs méthodes.

Les tactiques de défense

Dans les forces armées israéliennes, qu'il s'agisse de divisions aériennes, navales ou de combat, chacune dispose de sa propre unité de renseignement. Cette organisation peut-elle nous inspirer et devrions nous faire en sorte que chaque département d'entreprise, ou chaque université, dispose d'un service de renseignement ? Voici le modèle sur lequel nous pourrions baser notre stratégie : chaque année, un contingent de jeunes quittant l'école est affecté à une division israélienne. Les plus brillants rejoignent l'Unité centrale 8200 des forces de défense israéliennes (IDF) ou l'Unité 81, plus secrète, de la direction du renseignement militaire (AMAN) qui fournit les technologies les plus récentes aux soldats de combat israéliens. On attribue à l'Unité 8200 la désactivation des défenses aériennes syriennes, le piratage de l'entreprise de sécurité Kaspersky Lab pour espionner les Russes et la création de vers informatiques comme Stuxnet et de logiciels malveillants comme Duqu. Les diplômés de la seule Unité 8200 ont créé un tas d'entreprises, depuis Adallom jusqu'à Zoom Info. Mis à part ces actes d'agression, n'est-ce pas une façon amusante d'apprendre ? Ne pourrait-on pas adapter et adopter ce modèle au niveau national ?

En Grande-Bretagne, nous nous efforçons de démystifier l'intelligence artificielle (IA), mais les Forces de Défense Israéliennes (IDF) montrent comment y parvenir. Dans l'armée, on dit que la supposition est la mère de toutes les erreurs. Pour éviter le doute, on apprend à traiter les gens comme des robots, en leur donnant des instructions parfaites qui ne laissent rien au hasard. C'est en adoptant cette même logique que le vétéran de l'IDF, Guy Caspi, a créé Deep Instinct, dont il est le CEO. Cette entreprise détient aujourd'hui quatre brevets en intelligence artificielle et en assimilation de l'apprentissage profond dans le domaine du big data et de la cybersécurité. La formation militaire prépare également aux responsabilités d'administrateurs. Selon M. Caspi, la formation extrêmement rigoureuse des officiers les pousse aux limites physiques et mentales de leur endurance. Ce genre de stress test est une préparation parfaite pour la vie dans la sécurité informatique d'entreprise, où certains des défis les plus hostiles à relever se situent à l'intérieur de l'entreprise.

La tactique de la tromperie

Selon Ori Bach, CEO de TrapX Security, pionnier d'une technologie de leurre pour mettre des cyber-escrocs hors d'état de nuire, « la ruse est une autre tactique militaire employée pour défendre notre environnement numérique ». Selon M. Bach « la tromperie est une tactique qui fait partie intégrante du combat ». Il a transposé cette tactique dans l'environnement d'entreprise et exploité ces compétences inestimables pour piéger les cyber-criminels. Les jeunes conscrits commencent rapidement à comprendre que la guerre cybernétique est une guerre réelle et ils affrontent les cyber-attaquants comme si c'était des « soldats avec une expertise d'ingénierie » », a expliqué Ori Bach. « Pour eux, ce n'est pas une expérience scientifique. Nous avons appris rapidement ».

L'initiative est un autre talent cultivé dans l'armée, mais brisé par les entreprises. Voilà une autre leçon que nous, civils, pourrions apprendre. Les armées sont toujours à la recherche éperdue d'équipements et le manque de ressources apprend aux gens à être inventifs. Pour Yossi Naar, co-fondateur de Cybereason, la nécessité de construire et de maintenir constamment des systèmes informatiques pour l'armée a été un apport considérable pour sa carrière. La nécessité de faire beaucoup avec peu de ressources l'a obligé très tôt à prendre des responsabilités, et lui a donné la confiance nécessaire pour diriger et inventer. « L'armée est une machine brillante », a déclaré Yossi Naar. « Elle prend des jeunes gens talentueux, les forme pendant trois à cinq ans et les préparent en leur permettant de vivre des expériences incomparables ».

Le libéralisme appliqué à la cyber-sécurité

Selon Ofrey Ziv, vice-président de la recherche sur le cyberespace chez Guardicore Labs, « l'IDF est aussi une école de commerce exceptionnelle ». Au sein de l'armée, M. Ziv était responsable du programme de formation des meilleurs éléments de l'IDF en matière de cybersécurité et il dirigeait des groupes de chercheurs en sécurité. « L'ambiance est toujours celle d'une course qui vient de commencer, mais c'est une course qui ne laisse personne sur le bord du chemin », a-t-il déclaré. « Même si vous pouvez créer une culture de start-up et attirer des fonds de capital-risque, cela ne suffit pas », a ajouté Ofrey Ziv. Il y a aussi un sentiment d'unité et de connexion entre les personnes qui ont servi les uns à côtés des autres et qui ont fait attention les uns aux autres. C'est cette capacité à établir des liens avec les gens et à s'occuper les uns des autres qui a conduit à la libéralisation des lois de non-concurrence en Israël et à l'esprit d'encouragement mutuel entre les entrepreneurs.

Selon Liron Barak, CEO de BitDam, une entreprise qu'elle a cofondée juste après avoir quitté la cyber-unité de l'IDF, « ce serait difficile de recréer cette combinaison de jeunes gens passionnés, ayant les connaissances et l'expertise appropriées dans une culture qui soutient l'invention ». C'est une expérience à laquelle « seuls quelques-uns peuvent avoir accès », a-t-elle ajouté. C'est probablement vrai, mais il y a beaucoup de choses dont on pourrait s'inspirer. Certes, on ne pourra pas surpasser cet apprentissage authentique, mais en savons-nous assez maintenant pour l'ignorer ?

Crédit illustration Pixabay

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...