Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude SANS / ThreatQuotient : des équipes de threat hunting mal utilisées

mars 2020 par SANS / ThreatQuotient

ThreatQuotient™ présente les résultats d’une étude conjointe avec SANS, portant sur le Threat Hunting. Cette étude repose sur des données recueillies auprès de 575 entreprises participantes, possédant ou travaillant en collaboration avec des équipes de threat hunting.

Les missions peu connues d’un threat hunter

Contrairement aux personnes travaillant dans un SOC (Security Operations Center), et aux équipes de réponse aux incidents, chargées de répondre aux menaces qui se présentent, les threat hunter les recherchent de manière proactive. Leur mission : formuler des hypothèses sur la présence de menaces potentielles, qui sont ensuite confirmées ou infirmées sur la base des données collectées.

Cyrille Badeau, VP Europe ThreatQuotient explique : « Cependant, la réalité au sein du département informatique des entreprises est souvent différente. Dans de nombreuses équipes, la distinction entre SOC, réponse aux incidents et threat hunting est trop floue, et les threat hunters sont cantonnés à des processus réactifs qui ne correspondent pas à leur véritable rôle ».

Un poste rarement bien défini

Les résultats de l’étude SANS confirment que la plupart des threat hunters réagissent aux alertes (40 %) ou à des informations telles que les indicateurs de compromission remontés par le SIEM (57 %). Seuls 35 % des participants disent s’appuyer sur des hypothèses lors de la phase d’investigations sur des menaces », un processus qui devrait pourtant faire partie intégrante de l’arsenal de tout threat hunter.

Cyrille Badeau ajoute : « La réponse aux menaces est un aspect important de la sécurité, mais ne constitue pas la mission première des threat hunter. Ils doivent avant tout rechercher celles qui parviennent à contourner les défenses et ne déclenchent jamais d’alerte ».

Dans 71% des cas, la technologie est le 1er ou le 2ème poste de dépense, consacrée au threat hunting

Mathias Fuchs, formateur certifié chez SANS et coauteur de l’étude détaille : « De nombreuses entreprises en sont seulement à la phase d’implémentation. Elles sont davantage disposées à investir dans des outils qu’à recruter des spécialistes qualifiés ou à former le personnel en place au threat hunting. Une fois celui-ci mis en œuvre, il s’agit plus d’une approche ad hoc, que d’un programme planifié, doté d’un budget et de ressources. »
La priorisation sous-optimale des ressources montre clairement que le threat hunting en est encore à ses débuts. Seulement 47 % des entreprises, considérant la technologie comme poste essentiel de cette « traque », mettent l’accent sur le recrutement de personnel et 41% sur la formation des employés.

Même si les entreprises peinent à mesurer précisément les avantages économiques de ces mesures de sécurité car les spécialistes sont en effet censés intervenir en amont afin que les menaces ne se transforment pas en problème critique, 61% des entreprises reconnaissent que le threat hunting améliore (d’au moins 11%) leur cybersécurité. La recherche ciblée des menaces et l’investissement dans des équipes de threat hunting se traduisant par un renforcement quantifiable de la cybersécurité de l’entreprise.


Voir les articles précédents

    

Voir les articles suivants