Les menaces qui pèsent sur les entreprises sont de plus en plus sophistiquées et entrainent des impacts métiers toujours plus importants. Face à ce constat, certaines entreprises tentent de maitriser les risques via la mise en place d’une organisation collaborative appelée Cyber Fusion Center.
La fraude, facilitée par des attaques cyber, représente une part significative de ces menaces. Cependant les risques opérationnels redoutés par les métiers incluent également des menaces comme la perte de disponibilité d’une activité métier ou la divulgation de la liste des tarifs commerciaux d’assurance.
Ce Cyber Fusion Center vise l’enrichissement des données d’intelligence ainsi que l’amélioration de la détection et de la réponse aux incidents par le regroupement de compétences de l’entreprise qui classiquement travaillent trop peu ensemble : la lutte anti-fraude ; le risque opérationnel, la cyber sécurité ; l’IT ; la continuité d’activité ainsi que la sécurité physique.
Les origines du « Fusion Center »
Aux Etats-Unis, suite à l’attaque terroriste du 11 Septembre 2001, de nombreux enjeux ont été identifiés associés avec la collecte, l’analyse, le partage, et l’usage opérationnel de données d’intelligence entre les différentes agences gouvernementales.
Après avoir mis en lumière plusieurs manquements, le rapport de la Commission du 9/11 (1) a proposé un certain nombre d’améliorations focalisées sur « comment combiner l’analyse d’information provenant de toutes les sources d’intelligence avec le planning consolidé des opérations qui les utilisent (2) ». Ces initiatives incluent:
- L’utilisation d’une plus grande diversité de sources de données – maximiser la possibilité de développer des produits d’intelligence à valeur ajoutée, en ligne avec les objectifs et les risques couverts par le Fusion Center.
- Le partage de l’information et de l’intelligence générés – systématiser les échanges avec l’écosystème afin de favoriser la collaboration.
- La production d’artefacts d’intelligence – le simple partage d’information n’étant pas suffisant ; il est essentiel de produire des artéfacts d’intelligence à valeur ajoutée ce qui soit pertinents et facilement consommables.
- Des équipes multidisciplinaires – combiner des ressources humaines aux horizons et expertises variés afin de favoriser des analyses poussées au travers de plusieurs points de vue.
- La co-localisation des équipes – favoriser l’échange et la collaboration entre les membres du Fusion Center.
- Un leadership commun – identifier un lead pour l’analyse stratégique d’intelligence afin de coordonner l’investigation des cas de menaces une fois identifiées toutes les organisations gouvernementales concernées.
Face à ces recommandations, le concept de « Fusion Center » a été défini avec pour objectifs d’améliorer la collecte, l’analyse, et le partage d’intelligence. Cette collecte et partage d’information est effectué entre différents niveaux et secteurs gouvernementaux ainsi que le secteur privé.
Entre 2003 et 2014, le nombre de Fusion Center déployés aux États-Unis a rapidement augmenté, passant de neuf à soixante-dix-huit, onze ans plus tard (3).
Une définition de « Fusion Center » est donnée dans le guide américain « Fusion Center Guideline » développé par Le Département de la Justice et le Département de la sécurité intérieure (Homeland Security) :
« A fusion center is an effective and efficient mechanism to exchange information and intelligence, maximize resources, streamline operations, and improve the ability to fight crime and terrorism by analyzing data from a variety of sources » (4).
En conséquence, le « Fusion Center » ne doit surtout pas être considéré comme un système ou une simple base de données mais comme un processus intégral. Ce processus de Fusion a pour objectif de produire des données d’Intelligence à partir d’information collectées, de manière à ce qu’elles puissent être exploitées opérationnellement dans la prévention et la réponse aux menaces.
Objectif du document
Ce document a pour objectif d’étudier le concept de « Cyber Fusion Center », ses origines et sa proposition de valeur, afin d’identifier ce qu’il peut apporter à la lutte contre la fraude facilitée par des cyber-attaques. Pour identifier, comprendre et évaluer les atouts éventuels de ce modèle, notre approche consiste à illustrer son fonctionnement au travers de trois typologies d’attaque cyber rencontrées au sein d’institutions financières :
- D’abord, nous considèrerons les cas de fraude perpétrés directement vers les clients finaux de l’organisation;
- Ensuite, la fraude menée en interne à travers le système d’information;
- Enfin, une attaque de type déni de service visant le métier.
De plus, un modèle de Cyber SOC traditionnel sera présenté et utilisé comme base avec le Fusion Center afin de comparer les modes opératoires.