Le point de vue des dirigeants

L’importance du contexte : une Threat Intelligence complète pour une sécurité efficace

| by James Graham
Security Strategy
Threat Intelligence
CTI

Pour rééquilibrer le rapport de force entre les entreprises et des adversaires aussi invisibles que richement dotés, les RSSI doivent constamment réévaluer chaque aspect de leur programme de sécurité. Utilisateurs, processus, technologies... tout doit être examiné pour assurer une protection optimale contre les menaces émergentes. Mais sur quoi les décisions se basent-elles ? Et celles-ci sont-elles fiables à 100 % ?

La Cyber Threat Intelligence (CTI) est un élément essentiel du programme de sécurité d'une entreprise. Bien exploitée, elle permet de prendre des décisions plus avisées, tant au niveau de la sécurité que des métiers. Au final, elle aide les entreprises à agir de manière proactive pour protéger leurs utilisateurs, leurs données et leur réputation face à des attaquants déterminés. Malheureusement, le terme « Threat Intelligence » est parfois employé à tort et à travers au sein de la communauté de la cybersécurité. 

Information vs. « Intelligence »

À force d'être galvaudé et utilisé à mauvais escient, le terme "Cyber Threat Intelligence" finit par ne plus dire grand-chose aux yeux des responsables sécurité. Difficile dans ces conditions de choisir sereinement parmi la multitude d'options disponibles pour améliorer l'efficacité de leur sécurité. Au mieux, une entreprise reçoit de vrais flux de CTI qui lui permettent de prendre des décisions proactives et efficaces. Au pire, elle obtient des informations brutes et inexploitables :

Information sur les menaces...

Cyber Threat Intelligence...
  • Flux non filtrés de données brutes
  • Données non évaluées
  • Sources peu voire non discriminées
  • Véracité, exhaustivité et pertinence non garanties
  • Données non exploitables en tant que telles
  • Information traitée et triée
  • Évaluation et traitement par des analystes formés
  • Sources fiables et données corrélées pour plus de précision
  • Information précise, actualisée, exhaustive (dans la mesure du possible) et jugée pertinente
  • Données exploitables

Informations sur les menaces : posture plus réactive que proactive

Communément appelées flux de données, les informations sur les menaces peuvent être classées en deux catégories :

  • Flux de données de signature et de réputation –Fournissent généralement des informations sur les signatures des malwares (hachages de fichiers), des scores de réputation d’URL et des indicateurs d’intrusion, le tout étant parfois accompagné de statistiques de base.
  • Flux de données sur les menaces – Offrent parfois un niveau basique d'analyse humaine d'où ressortent généralement des informations sur la fréquence, la provenance et les cibles des malwares et autres activités malveillantes.

Le principal intérêt des flux de données de signature et de réputation est de renforcer l’efficacité des pare-feux nouvelle génération, des systèmes de prévention des intrusions (IPS), des passerelles web sécurisées (SWG), des logiciels anti-spam et anti-malware, et de toute autre technologie de blocage. Les flux de données sur les menaces s’avèrent utiles aux équipes SOC et de réponse à incident dans la mesure où ils leur permettent d’identifier des schémas d'attaque, et non uniquement des marqueurs isolés. Ces équipes sont ainsi mieux armées pour neutraliser l’attaque sur les systèmes compromis.

eBook : Atouts de la véritable Cyber Threat Intelligence

Limites

L'une des principales lacunes des flux de données vient du fait qu'ils ne concernent que des attaques ayant déjà eu lieu.  Certes, ils contribuent ainsi à stopper la plupart des attaques connues, mais ils ne permettent généralement pas de détecter des menaces ciblées ou émergentes pour lesquelles aucune signature n'existe. Les analyses disponibles sont pour la plupart rétrospectives et manquent de contexte pour identifier les attaques en gestation, ni déceler les nouveaux modes opératoires.

Difficiles à exploiter et à analyser, les flux de données sont de qualité variable selon les compétences, les ressources et les capacités d'analyse du fournisseur. Sans contextualisation, une entreprise peut recevoir jusqu'à plusieurs milliers d'alertes par jour, sans pouvoir trier les vraies menaces des faux positifs. Résultat : elle adopte une posture essentiellement réactive face aux attaques.

Atouts de la véritable Cyber Threat Intelligence

Une Threat Intelligence digne de ce nom intègre généralement les flux de données de signature, de réputation et de menaces, mais elle couvre également plusieurs autres volets essentiels :

  • Collecte permanente d’informations humaines et techniques au niveau mondial
  • Acquisition de données contextuelles sur les attaquants et les risques futurs
  • Personnalisation des données collectées en fonction de l'entreprise

En effet, la CTI permet aux entreprises de prendre les devants pour se préparer aux attaquants et menaces de demain, plutôt que de réagir aux incidents d’hier. Sans évaluation des risques et des options qui s'offrent à eux, les professionnels de la cybersécurité ne sont pas en mesure de prendre des décisions à la hauteur des enjeux pour leur entreprise. 

Parmi les avantages de la Cyber Threat Intelligence :

  • Contextualisation et analyses pertinentes – Informations détaillées sur les cibles de menaces les plus probables au sein d'une entreprise ou d'un secteur, et indicateurs visant à prévenir et détecter de nouvelles attaques
  • Accélération des réponses à incident – Priorisation des alertes pour répondre plus rapidement aux menaces réelles et limiter le préjudice subi
  • Optimisation de la planification, de la communication et des investissements – Les équipes de sécurité peuvent communiquer les risques réels aux opérationnels et se concentrer sur la protection des cibles à haut risque par différents leviers (planification, investissements, etc.)

La CTI non seulement réduit le risque de compromission de sécurité coûteuse, mais permet aussi aux entreprises d’aligner leurs dépenses de sécurité sur les impératifs qui leur sont propres.

Évaluer les options disponibles

Dès lors qu'une entreprise sait ce qu'elle recherche, tout devient plus clair : le type de CTI dont elle a besoin, la valeur potentielle de son adoption et les possibles enjeux pour les équipes.

Une Threat Intelligence digne de ce nom doit fournir aux entreprises des données contextualisées sur les menaces réelles pour les aider à renforcer leur écosystème de sécurité. Avant toute décision d'achat, il est donc essentiel de peser le pour et le contre de chacune des solutions identifiées pour en saisir tous les risques et avantages. 

Les flux de données sur les signatures, la réputation et les menaces peuvent renforcer l'efficacité des technologies de blocage. Toutefois, ces informations sont basées sur des événements antérieurs et ne suffisent pas pour identifier les attaques ciblées ou émergentes. Une CTI complète fusionne une grande diversité de sources de données, de nature technique et humaine, de façon à constituer un fonds d’informations directement exploitables pour la gestion stratégique, opérationnelle et technique des risques.

Téléchargez notre eBook pour saisir l'importance du contexte et d'une véritable Cyber Threat Intelligence, et rendez-vous sur notre page CTI pour découvrir comment améliorer votre programme de sécurité.

Article précédent
Article suivant