Research: Groundhog Principle in Cyber Security – Threat Intelligence & Information Sharing

Alain Mermoud PhD Thesis Cyber Defence
Dr. Alain Mermoud defended his PhD thesis on the 5th of April, 2019 at the Faculty of Business and Economics (HEC Lausanne)

This PhD thesis presents a behavioral economics contribution to the security of information systems. It focuses on security information sharing (SIS) between operators of critical infrastructures, such as systemic banks, power grids, or telecommunications. SIS is an activity by which these operators exchange cybersecurity-relevant information, for instance on vulnerabilities, malwares, data breaches, etc. Such information sharing is a low-cost and efficient way by which the defenders of such infrastructures can enhance cybersecurity. However, despite this advantage, economic (dis)incentives, such as the free-rider problem, often reduce the extent to which SIS is actually used in practice.

This thesis responds to this problem with three published articles. The first article sets out a theoretical framework that proposes an association between human behavior and SIS outcomes. The second article further develops and empirically tests this proposed association, using data from a self-developed psychometric survey among all participants of the Swiss Reporting and Analysis Centre for Information Assurance (MELANI). SIS is measured by a dual approach (intensity and frequency), and hypotheses on five salient factors that are likely associated with SIS outcomes (attitude, reciprocity, executional cost, reputation, trust) are tested. In the third article, policy recommendations are presented in order to reduce executional costs, which is found to be significantly and negatively associated with SIS.

In conclusion, this thesis proposes multiple scientific and practical contributions. It extends the scientific literature on the economics of cybersecurity with three contributions on the human factor in SIS. In addition, regulators will find many recommendations, particularly in the area of governance, to support SIS at the legislative level. This thesis also offers many avenues for practitioners to improve the efficiency of SIS, particularly within Information Sharing and Analysis Centers (ISACs) in charge of producing Cyber Threat Intelligence in order to anticipate and prevent cyberrisks.

Download PhD Thesis here

Le principe de la marmotte dans la cyberdéfense

Les cyberattaques sont un phénomène quotidien. Pour les États, les entreprises et les particuliers, la question essentielle n’est pas de savoir s’ils seront effectivement victimes d’une attaque dans le cyberespace, mais avec quel niveau de professionnalisme et quelle intensité cette attaque sera menée. L’échange d’informations au sujet des agresseurs constitue une méthode efficace pour se protéger contre les cyberattaques. Alain Mermoud, collaborateur scientifique à l’Académie militaire de l’EPF de Zurich, a fait des recherches à ce sujet pour sa thèse de doctorat.

Alain Mermoud Jury PhD Thesis Cyber Defence

La première marmotte qui repère un ennemi avertit les autres avec un sifflement caractéristique pour que tout le groupe puisse se mettre à l’abri à temps. Cette méthode peut également être appliquée dans la cyberdéfense. Un membre d’un réseau peut diffuser rapidement et de manière transparente des informations sur l’agresseur et le type d’attaque sur une plateforme réservée à cet effet, ce qui permet aux autres membres de prendre immédiatement les mesures nécessaires. 

Partager ses informations ou non

Pour les exploitants d’infrastructures critiques, cette manière de procéder n’est pas dépourvue de risques. D’une part, ils ne désirent pas partager avec d’autres des informations acquises à des coûts élevés, et d’autre part, il n’est pas toujours facile d’évaluer le degré de confiance que l’on peut accorder aux autres partenaires. En revanche, le partage des informations permet d’améliorer la capacité technique de résistance de l’ensemble du cyberespace, et les frais d’acquisition des informations peuvent être répartis entre tous les utilisateurs, ce qui entraîne une réduction appréciable des coûts.

Dans le cadre de sa thèse de doctorat, Alain Mermoud a procédé à un sondage auprès des utilisateurs de la Centrale d’enregistrement et d’analyse pour la sécurité de l’information de l’administration fédérale (MELANI). Le point le plus important était de déterminer les critères à remplir pour inciter les utilisateurs à accepter un échange d’informations. Une analyse empirique en a révélé cinq, à savoir la réciprocité de l’échange, la valeur des informations, les obstacles institutionnels existants, la réputation de la plateforme et la confiance vis-à-vis des autres partenaires. En résumé, on peut dire que des institutions acceptent d’échanger leurs informations au sujet de cyberattaques si la plateforme est fiable et bien protégée, si elle est gérée par des règles claires et si les institutions tirent un profit de cette forme d’échange. 

Partage obligatoire ou facultatif ?   

En été 2018, le Parlement a reçu une interpellation  qui exige l’introduction d’une obligation d’annoncer les cyberattaques et de procéder à un échange d’informations. Toutefois, l’analyse des données faite par Alain Mermoud conclut qu’une communication adéquate, une plateforme fiable et incitative et un bénéfice approprié peuvent davantage convaincre qu’une obligation prononcée par l’Etat. 

Reconnaissance scientifique et utilité pratique

La thèse d’Alain Mermoud a reçu le soutien de l’Académie militaire de l’EPF de Zurich et de l’université de Lausanne. Elle constitue un bon exemple du niveau de qualité élevé des publications scientifiques de l’ACAMIL ainsi que de l’utilité pratique de ces travaux pour l’armée comme pour la société en général. Grâce à son activité d’officier de renseignements de milice, Alain Mermoud a pu mettre ses connaissances au service de la recherche, et l’armée à son tour tire profit des résultats obtenus.

Source : Admin.ch

Télécharger la thèse de doctorat ici

Murmeltierprinzip in der Cyberabwehr

Alain Mermoud Public Defence PhD Thesis Cyber Defence

Cyberangriffe geschehen täglich. Für Staaten, Unternehmen und Individuen stellt sich nicht länger die Frage, ob sie tatsächlich im Cyberraum angegriffen werden, sondern nur noch, wie professionell und in welcher Intensität. Ein bewährtes Prinzip für einen effizienten Schutz vor Cyberangriffen ist der Austausch über Informationen zu den Angreifern, über welchen Alain Mermoud, wissenschaftlicher Mitarbeiter an der Militärakademie an der ETH Zürich, in seiner Dissertation geforscht hat.

Das erste Murmeltier, das einen Feind erspäht, warnt durch das unverkennbare Pfeifen seine Artgenossen, damit diese sich vor der Gefahr in Sicherheit bringen können. Dasselbe Prinzip ist in der Cyberabwehr anwendbar, in dem ein Netzwerkmitglied auf einer Plattform für Informationsaustausch möglichst rasch und transparent Informationen über den Angreifer und die Art des Angriffs verbreitet. So können die übrigen Mitglieder entsprechende Massnahmen treffen.

Teilen oder nicht

Diese Vorgehensweise führt bei den Betreibern kritischer Infrastrukturen zu einem Dilemma. Zum einen wollen Betreiber die kostenintensiv gewonnenen Informationen nicht mit anderen teilen. Zudem können sie die Vertrauenswürdigkeit der anderen Partner nicht immer einschätzen. Zum anderen verbessert sich jedoch durch die Informationsteilung die technische Widerstandsfähigkeit des gesamten Cyberraums, und die Kosten der Informationsbeschaffung können auf alle aufgeteilt und damit signifikant reduziert werden.

Alain Mermoud hat für seine Dissertation eine Umfrage bei den Benutzern der Melde- und Analysestelle Informationssicherung der Bundesverwaltung (MELANI) durchgeführt. Im Zentrum stand die Frage, welche Faktoren gegeben sein müssen, damit die Benutzer bei einem Informationsaustausch mitwirken würden. Nach der empirischen Analyse haben sich fünf Faktoren herauskristallisiert, die eine Zusammenarbeit beeinflussen: die Gegenseitigkeit des Austausches, der Informationsgehalt, vorhandene institutionelle Hindernisse, die Reputation der Plattform sowie das Vertrauen in die anderen Partner.

Zusammengefasst tauschen Institutionen dann ihre Informationen zu Cyberangriffen freiwillig aus, wenn die Plattform gut geschützt und vertrauenswürdig ist, klare Regeln hat und sie sich davon einen Nutzen versprechen.

Obligatorisch oder freiwillig?

Im Sommer 2018 wurden im Parlament eine Interpellation eingegeben. Sie fordert die Einführung einer Meldepflicht bei Cyberangriffen und damit einen Informationsaustausch. Doch Mermouds Analyse der Daten lässt darauf schliessen, dass eine hinreichende Sinnvermittlung, eine vertrauensvolle Plattform mit Anreizen sowie ein angemessener Nutzen zielführender sind als ein staatliches Obligatorium.

Wissenschaftlich anerkannt und praktisch relevant

Die Dissertation von Alain Mermoud wurde die von der Militärakademie an der ETH Zürich und der Universität Lausanne betreut. Sie dient als gutes Beispiel für die einerseits hohe akademische Qualität der wissenschaftlichen Publikationen an der MILAK und andererseits für den praktischen Nutzen der Arbeiten für die Armee und Gesellschaft im weiteren Sinne. Mermoud konnte aus seiner Miliztätigkeit als Nachrichtenoffizier Wissen in die Forschung einbringen, und die Armee profitiert wiederum von den Ergebnissen.

Source : Admin.ch

Doktorarbeit hier heruntarladen

Intelligence artificielle et guerre de l’information

Cette éthique dans le développement de l’intelligence artificielle est-elle une notion partagée par toutes les entreprises, et tous les pays ?

Soyons lucides : une éthique toute relative qui n’en oublie jamais pour autant le sens émérite des affaires… Ces passes d’armes « éthiques »  par médias interposés le laissent à penser très fortement, dès lors que l’on se penche un petit peu sérieusement, et en profondeur, sur le contexte d’apparition de ses débats « sociétaux ». Un timing toujours bien réglé, et souvent opportun en deuxième rideau, se fait souvent jour. Car nos industriels ont aussi des agendas chargés que promeuvent et « portent » bien souvent au-devant de la scène dans l’espace public, des associations d’apparence « philanthropiques », afin de relayer en réalité certaines visées commerciales du moment, se jouant elles en coulisses. Les contrats militaires de grande envergure se gagnent aussi à travers les « médias-caisses de résonances ». La guerre de l’information et les actions d’influence y font souvent rage entre nations. Mais aussi entre industriels eux-mêmes, avides de gains institutionnels : question de survie économique ! 

En guise d’illustration, rappelons-nous à ce propos des fuites très opportunes de documents confidentiels dans le quotidien « The Australian », en lien avec la vente des sous-marins du constructeur français de défense DCNS… « Guerre économique oblige » avait-on conclu à l’époque dans le milieu des spécialistes de l’intelligence économique. Il y a encore peu, c’était plutôt les intelligences artificielles « stupides » qui focalisaient les attentions inquiètes de nos gentils savants californiens philanthropes, comme le relayait Toby Walshsur la chaîne américaine ABC en 2017, à gorge déployée. Si les armes autonomes n’en sont pour la plupart qu’au stade de prototypes, il est certain qu’elles arriveront sur le marché de la guerre d’ici à très peu de temps, prédisait le chercheur. Idem pour les IA génératrices de textualités intelligentes automatiques qui nous occupent dans cette tribune… Pour preuve, la publication opportune de son livre sur la question la même année au titre tapageur : « It’s Alive !- Artificial Intelligence from the Logic Piano to Killer Robots ».

Et tout naturellement, elles attisent les convoitises stratégiques des militaires, et pécuniaires des industriels… Pour DCNS, la lecture la plus simple est que cette fuite constituait des représailles à son succès économique. « Mais dans ce genre d’affaires, il y a toujours un jeu de brouillage de cartes » avait indiqué dans les colonnes de l’Express Christian Harbulot, directeur de l’Ecole de guerre économique (EGE) à Paris. On se rappela également pour mémoire les paroles d’Alain Mermoud, expert Suisse en sécurité et membre de l’armée helvète, « ce n’est pas la volumétrie des documents qui ont fuité qui compte, mais le timing. Il y a eu des jalousies sur cette vente de sous-marins, et vu le niveau de sécurité dans l’armement, l’humain est souvent le maillon faible ».

Faut-il encore le rappeler sempiternellement : dans la guerre économique, l’important n’est jamais de jouer, mais de l’emporter. L’éthique et le beau geste entre compétiteurs ne sont que de peu de poids, seul compte la victoire pour les belligérants.

Source : Franck DeCloquement pour Atlantico

Soirée “Bureau des légendes” avec Alain Mermoud

Les renseignements français, dont la série raconte les tribulations fictives, s’inquiétaient de menaces pesant sur l’équipe. «J’étais sidéré», raconte Alex Berger: «Ils nous ont briefés pour un protocole de sécurité. Il fallait tout anonymiser. Je devais changer tous les noms, mettre des pseudonymes sur tous les plans de service, ne laisser aucun nom réel… On nous expliquait que certains pouvaient vouloir s’en prendre à la DGSE, et pour l’atteindre, ils pourraient s’en prendre au Bureau des légendes…»

Bureau des légendes

Le télescopage avec le réel est vertigineux. La série devient une cible comparable à l’institution qu’elle conte. Son réalisme l’identifierait presque à son modèle. Autre invité, Alain Mermoud, collaborateur scientifique à l’Académie militaire de l’EPFZ et président de l’association Swissintell, apporte son expertise: «La série est d’un très grand réalisme, notamment parce qu’elle ne s’intéresse pas seulement aux gens de terrain, mais aussi à toute la dimension de bureau, devant des écrans, pour l’analyse de données, ainsi que l’attente dans le cas de certaines surveillances… Le côté ennuyeux du domaine, en fait.» Questionné sur d’éventuels décalages face au réel, il n’en voit pas, «hormis peut-être la durée des missions, qui semblent plus longues qu’en réalité».

Bureau des légendes - Alain Mermoud

Alex Berger relate la précision du protocole établi avec la DGSE, laquelle relit tous les scénarios à leur état final, dans le cadre d’une procédure précise: indiquer ce qui ne serait pas plausible, et signaler s’il y a un point problématique – «ce cas-là ne s’est produit qu’une seule fois, à propos du nom d’un personnage». Les coulisses complexes de ce grand feuilleton, réellement aux prises avec sa matière.

Bureau des légendes - Alain Mermoud

Source : Le Temps