Une Psy dans le CERT !

Le titre peut sembler un tantinet racoleur, mais évidemment il n’en est rien.renseignement

Je voudrais simplement décrire au travers de ces quelques lignes le parcours d’une Psychologue au sein d’une équipe CERT, et plus particulièrement au sein de l’équipe de Cyber Threat Intelligence (CTI).

Quel lien, me direz-vous, entre la psychologie et la Threat Intelligence ?

Nombreux psychologues se sont intéressés au monde virtuel, en particulier sur les sujets de la cyberdépendance, de l’intelligence artificielle, … mais très peu se sont intéressés au domaine du renseignement, ou de la CTI.

Commençons tout d’abord par définir ce qu’est, de mon point de vue, la Cyber Threat Intelligence, puis essayons de décrire les imbrications possibles entre le métier de psychologue et celui du chasseur de pirates.

La Threat Intelligence en Cyber

Si je dois résumer, il s’agit d’une activité à part entière, basée sur les techniques du renseignement militaire, et dont l’objectif est de collecter, qualifier, organiser et orchestrer la distribution de toutes les informations qui peuvent être liées, de près ou de loin, à une cyber-menace. De par cette activité pleinement opérationnelle, nous pourrons alors définir des profils d’attaquants, leurs outils, leurs modes opératoires, etc…

Au quotidien, il s’agit d’analyser les milliers de renseignements collectés en temps réel par la Threat Intelligence Plateform (ou TIP), et de les enrichir avant de les redistribuer aux équipes de détection, de protection et de réponse à incident.

Mais avant de pouvoir faire tout ça, un travail colossal est à réaliser : la mise en œuvre du modèle de données. Pour y avoir participé de très près, je peux vous garantir que c’est un chantier complexe et très long. Plusieurs mois parfois pour définir le meilleur modèle possible afin de traiter l’information exactement comme on souhaite qu’elle le soit. Parce qu’au final, ce qui est important, c’est ce que l’on va pouvoir faire de ces renseignements, à quelle vitesse va-t-on pouvoir les transmettre, et avec quelle richesse seront-ils qualifiés. Pour paraphraser mon ancien chef, « On fait de la Threat Intel. Pas du Threat Management ! Si c’est juste pour empiler les bouquins dans la bibliothèque et me dire qu’il faut 3 jours pour en retrouver un, laissez tomber ! ».

La Threat Intelligence, c’est réellement l’art de collecter de l’information, de tout ordre, de la faire passer dans le prisme de notre « Data Model », et de créer tous les liens qu’elle peut avoir avec les autres informations pour pouvoir l’utiliser au plus vite, et avec le plus d’efficacité possible, dans l’adaptation de la cyberdéfense.

Mais moi là-dedans ?

Psychologue de formation, passionnée entre autre par la psychologie du groupe, les biais cognitifs et l’ingénierie sociale, j’ai découvert la Cybersécurité au détour de mon parcours professionnel dans une ESN. Passée par plusieurs métiers, j’ai été particulièrement attirée par ce monde très spécial. Avant d’y entrer, je l’imaginais noir, violent peut-être, peuplé d’hurluberlus qui parlent un langage abscons.

Et puis en fait non. Enfin disons plutôt « pas que » !

J’ai découvert tellement de métiers différents que ça en devenait vertigineux. De l’analyste SOC au spécialiste de la réglementation nationale, en passant par les experts de la sécurisation de la chaîne industrielle, quel monde !

Mais quelle richesse aussi ! On rencontre de tout. On parle de tout. On découvre de tout.

On m’a confié alors 2 missions : une liée à la gouvernance de contrats SOC, et une autre plus opérationnelle, liée à la CTI.

Je vais évidemment faire le focus sur cette dernière.

A l’époque, mon chef pensait que c’était un sujet sur lequel il fallait vraiment se pencher. Convaincu que le monde du renseignement (qu’il affectionne particulièrement) était applicable aux activités Cyber, il avait décidé de créer une équipe dédiée à la Cyber Threat Intel. Et toujours en avance sur de nombreux sujets, il décide de faire de cette équipe un modèle de mixité culturelle, sociale et professionnelle. Il y avait de tout : un expert forensic, un analyste de détection, un mathématicien, un docteur, et moi, la Psy !

La première chose à laquelle j’ai dû faire face était la problématique technique… Comprendre ce qui se passait, le vocabulaire, l’univers, a été assez compliqué. Il m’a fallu quelques semaines pour me faire au jargon si spécifique de l’univers Cybersécurité : ransomware, attaque par force brute, APT, reverse de malware… tout autant de contenus si éloignés de mon vocabulaire.

Et puis, petit à petit, des notions familières sont apparues. « Adversaires », « Comportement », « Signature »… Plus j’avançais, plus j’entrevoyais mon rôle qui se dessinait, et surtout la valeur que j’allais apporter à l’équipe : faire le profiling de nos adversaires et de ceux de nos clients, expliquer les liens possibles entre certains comportements et des motivations connues, etc.

Ma première vraie mission !

Je vous passe évidemment les détails techniques sur la mise en œuvre de la plateforme, pour aller directement à la première mission qui m’a été confiée : faire du profilage d’adversaire !

Mais c’est quoi le profilage ?

Le profilage criminel est né en Grande Bretagne et existe depuis 1880. En 1972, le FBI créa « La Behavioral Science Unit » (BSU) qui contribuera à l’essor de la discipline dès 1974.

Si l’on devait définir le profilage criminel on pourrait avancer la définition suivante : science de la collecte de toutes les informations permettant d’établir un profil d’auteur criminel.

Si c’est une réalité aux Etats-Unis (jusqu’à faire des séries télévisées), la notion de Profiler n’existe pas vraiment en France. La discipline est associée à celle d’un officier de police judiciaire qui fait une enquête de terrain et qui est placé sous l’autorité et le contrôle des magistrats.

Jusqu’ici le profilage criminel était appréhendé dans le milieu dit « physique », que l’on appelle au sein des équipes CTI « l’univers IRL » (In Real Life).

Et s’oppose à cet univers IRL un autre univers, un nouveau monde virtuel que l’on qualifiera « d’univers ICL » (In Cyber Life).

Autant chacun d’entre nous sait voir ce qui se cache derrière la criminalité IRL, autant la cybercriminalité reste un peu (beaucoup) abstraite. D’ailleurs, en parlant un peu autour de moi de certains cas concrets, la plupart des gens me répondent « oui, mais ça ne m’arrivera jamais »…

Je me souviens d’une phrase que mon ancien chef répétait souvent : « la question n’est pas de savoir si je vais me faire attaquer ou non… la question est de savoir quand je vais me faire attaquer. » Il faudrait la répéter à chaque fois qu’une personne pense que ça n’arrive qu’aux autres.

Bref, pour en revenir au profilage, on commence à le découvrir ICL, et certains experts considèrent d’ores et déjà que c’est une technique indispensable à avoir dans son arsenal de cyberdéfense pour améliorer ses capacités de protection.

Un petit peu d’histoire. Il y a près de 15 ans, en 2004 aux USA, quelques chercheurs ont commencé à travailler sur un projet très spécifique, le HPP : Hackers’s Profiling Project (projet de profilage du pirate informatique). L’objectif du HPP était d’analyser le phénomène de piratage technologique, social et économique sous tous ses aspects, en utilisant à la fois une approche technique et une approche psychologique. Nous y sommes ! Le lien est tracé ! Psy et Cyber… 2 univers pas si éloignés !

Ma conviction que la compréhension du comportement en cybercriminalité n’est pas une option mais doit devenir une réalité au quotidien ne fait que se renforcer.

Ma place, je l’ai !

Désormais, ma légitimité n’est plus à faire. J’apporte autant que l’on m’apporte, et c’est une réelle satisfaction.

Dire que ça été simple serait mentir… L’arrière-garde managériale des entreprises de services se demandent encore pourquoi j’ai fait ça, à quoi je servais, et combien j’ai rapporté, mais peu importe. La preuve était faite de l’importance de mixer les profils dans l’équipe, et de l’importance d’apporter une vision très psy de certains sujets pour les adresser tout de suite avec le bon niveau.

Mon quotidien devient alors rythmé par l’analyse. La lecture. La création de dizaines de cartes heuristiques, de cartes cognitives.

Mes analyses psychologiques vont être de plus en plus importantes car elles vont permettre de repérer les différents comportements adoptés par les cybercriminels. Et les associations que je vais créer au sein des outils de l’équipe vont avoir des impacts immédiats sur leurs choix de réponses.

Notre modèle de données a été un cadre important pour la mise en place de notre CTI, mais mon savoir-faire de Psy m’a permis de structurer mes activités en, si je devais schématiser, 3 actions essentielles :

  • Observer, être attentive aux mots, aux expressions, aux pseudos utilisés, être en capacités de reconnaître les procédures utilisées, d’identifier leur fréquence d’utilisation, leur ordonnancement…
  • Prendre le temps de connaitre nos ennemis, et d’apprendre leur mode de pensée.
  • Repérer les points faibles de nos ennemis, les inventorier, et les utiliser au bon moment.

Autant l’analyste cybersécurité va détecter, au travers d’un certain nombre d’outils techniques et technologiques, les outils et techniques utilisés pour mener une attaque : malware, RAT, RootShell, WebShell, phishing, espionnage…

Autant le psychologue, lui, va mettre en place une analyse statistique, va essayer de comprendre le quand, le pourquoi, le qui, pour remonter à l’origine de l’attaque. Il va apporter sa contribution dans la définition du profil de l’attaquant, ou du groupe d’attaquants. Il met en relief les traits de personnalité de l’attaquant ou du groupe et les met en lien avec une attaque, une campagne, une signature.

Ce travail nécessite évidemment beaucoup de patience. Il faut une capacité très forte à l’échange, au sens de l’observation et de l’analyse. L’analyste en comportement doit avoir des connaissances en psychologie, en sociologie (science des comportements, des groupes et des individus en situation intra et inter groupale). Mais cela ne suffit pas car il faut aussi avoir une connaissance du terrain, du milieu cyber. Il faut comprendre les techniques, l’univers de la cybercriminalité.

L’attention du Cyber Profiler se porte beaucoup sur l’attaquant et son attaque, mais pas seulement. Il va être vigilant quant au contexte politique, économique, et social, qui peut avoir une influence sur l’attaque et sur son auteur.

Il m’est parfois demandé d’expliquer techniquement ce que je fais. Même si mon rôle n’est pas du tout technique, je peux essayer de rapprocher mon travail des 4 objets du modèle STIX que l’on utilise en Threat Intelligence. En effet, mes activités quotidiennes de Psy dans une équipe de CTI sont d’étudier « à fond » les adversaires, les victimes, les TTP, et les campagnes (en m’appuyant parfois sur les IoC, mais qui restent trop souvent techniques).

Je dois comprendre les liens entre ces objets, les trouver, les marquer, les qualifier et les argumenter même.

Je dois également mettre en regard de ces objets les notions très abstraites de contexte, économique, politique ou social, et essayer de faire un lien aussi vrai que possible entre tout ce qui est identifié.

Le psychologue, au travers de cette activité à plein temps, apporte une autre vision à l’analyste du SOC ou du CERT. Et parfois, lorsque la détection technique ne permet pas d’avancer, c’est à travers la méthodologie et les techniques du psychologue que l’investigation va se faire.

On le comprend aisément, pour mener une investigation complète, il est nécessaire de comprendre les aspects technologiques et il est tout autant essentiel de posséder des connaissances en psychologie et Cyber Profiling psychologique.

Les experts à Toulouse !

Vous l’avez compris, une des méthodologies que j’utilise et qui est issue de l’analyse comportementale IRL est le profiling.

Cette méthode appliquée à la cybercriminalité peut sembler être un défi gigantesque, mais qui reste surmontable si l’on s’astreint à la rigueur et à la patience.

Le rôle de l’expert psycho-crimino-analyste est de modéliser des profils de cybercriminels. Pour cela il doit collecter un maximum de données sur les cyberattaques, relier les types de profils, les types d’attaques, etc.

Le profilage psychologique implique l’utilisation d’une méthode pour cartographier la description psychologique de l’attaquant, en créant dans un premier temps son profil concis et dynamique, qui va décrire les éléments prédominants du comportement et des caractéristiques de l’auteur anonyme caché derrière un écran.

Puis petit à petit, je vais définir et mettre en œuvre la corrélation entre l’acte commis et la personnalité de son auteur, en ajoutant au profil toutes les informations de plus en plus détaillées que j’ai pu obtenir au travers de mes recherches : son histoire, son présent, son entourage, sa famille, etc.

Le profilage criminel est beaucoup plus qu’une supposition éclairée et nécessite une méthodologie scientifique, ce qui soulève parfois beaucoup de critiques.

Mon propos n’est pas de débattre de ce point et je dirai simplement que l’idée qu’un attaquant correspond à tel type de profil peut sembler réducteur, mais il y a toujours des caractéristiques, des éléments assez distinctifs entre chaque cybercriminel, et que ces éléments les rendent le plus souvent uniques.

2 types de profilage

Les deux grandes méthodes que j’applique en profilage sont directement issues du monde IRL, et que j’ai essayé d’adapter au monde ICL.

Il s’agit du profilage inductif et du profilage déductif.

Profilage Inductif :

Il s’agit d’analyses qui induisent des généralisations, des prédictions, des estimations, de statistiques à partir de données initiales. Les profils criminels inductifs sont élaborés en étudiant des données statistiques sur les comportements connus et les caractéristiques démographiques communes aux criminels. Ainsi les statistiques relatives à la Cybersécurité peuvent donner des informations sur les tendances à identifier en matière d’attaque.

Profilage Déductif :

Le profilage déductif utilise un éventail de données, notamment les preuves médico-légales, les preuves relatives à la scène du crime, la victimologie et les caractéristiques du délinquant.

Cette méthode s’appuie sur l’analyse et l’interprétation des preuves (photos, rapports, analyses forensics, reverse d’outils malicieux, etc…)

Le profilage déductif n’en est encore qu’à ses débuts, car sa transcription dans le monde ICL n’est pas simple. Mais il est indispensable à toute bonne analyse.

Je ne vais pas rentrer dans le détail des 4 grandes phases de création du profil d’un cybercriminel (ce sera pour un prochain article, qui sait…), mais il s’agit de travailler autour d’axes très précis : la victimologie, le motif et les motivations, les caractéristiques de l’attaquant et la création de sa signature.

Faut bien finir…

De prime abord, le profil non technique que je suis dans un environnement aussi technique que peut l’être le monde cyber pouvait sembler une idée saugrenue. Et ça a d’ailleurs suscité beaucoup de discussions, plus ou moins bienveillantes d’ailleurs.

Et pourtant…

Mon ancien chef avait raison : il y a de la place pour tout le monde, et en Cybersécurité plus qu’ailleurs !

« Les profils atypiques peuvent être persona non grata dans l’entreprise. Alors qu’en étant les reflets de personne, ils peuvent eux-mêmes devenir un modèle inspirant ! » Sylvain DORGET.

J’ai trouvé ma voie.

Je suis CyberPsy, spécialisée en Cyber Profiling et en Cyber Threat Intelligence.

Nathalie GRANIER

Write a comment