Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La Threat Intelligence piquée au sérum de vérité

octobre 2015 par Emmanuelle Lamandé

La Threat Intelligence est devenue LE buzz word de la cybersécurité, mais que cache ce terme que chacun s’approprie ? Ou s’arrête l’information ? Où commence véritablement la Threat Intelligence ? Jérôme Robert, Directeur Marketing de Lexsi, dresse un état des lieux du domaine et de son utilité, à l’occasion de la 15ème édition des Assises de la Sécurité.

Nous évoluons aujourd’hui dans une société où le numérique laisse souvent place à la peur. On observe une mercantilisation du cybercrime, au travers un écosystème d’acteurs spécialisés qui en ont fait leur business, explique-t-il. Il s’agit, en effet, d’un véritable système économique de personnes qui louent leurs services pour mener à bien leurs attaques. C’est un milieu dans lequel l’innovation est prépondérante. Les services et l’argent circulent massivement sur ce marché noir, et on constate une forte réutilisation des meilleures attaques. Cela suppose aussi, selon lui, que nous pouvons espérer des jours meilleurs du côté de la défense. Effectivement, puisque les cybercriminels sont organisés, cela veut dire qu’ils ont leurs habitudes, qu’ils réutilisent des techniques déjà connues, ou encore qu’ils opèrent sur des places de marchés que l’on peut analyser.

Dans l’un de ses discours sur l’intelligence en 2002, Donald Rumsfeld parlait de la difficulté à lutter notamment contre les attaques « inconnues inconnues », c’est-à-dire quand on ne sait ni que l’on va être attaqué, ni de quelle manière. L’objectif de l’intelligence est, dans ce cas précis, de savoir a minima que l’on va être attaqué, même si on ne sait pas toujours quand ni comment. Cette intelligence donne aux entreprises des informations d’aide à la décision. La Threat Intelligence fournit, quant à elle, des informations d’aide aux décisions permettant de réduire le temps de détection et de réponse aux incidents de sécurité.

Pour faire de la Threat Intelligence, on récupère toute une montagne de données concernant l’entreprise souhaitée (via les sources ouvertes, forums, sites, réseaux sociaux…). On fait également appel à des partenaires pour obtenir de l’information ; on peut même en acheter. Chez Lexsi, la Threat Intelligence s’effectue en moyenne grâce à 50% d’informations produites par le groupe, 40% par des partenaires et 10% achetée. De nombreuses places de marché sont également accessibles par de la cooptation. L’infiltration s’avère souvent compliquée et soumise à réglementation, mais indispensable pour avoir une bonne visualisation des attaques d’aujourd’hui et de demain. Il faut donc souvent montrer sa « patte blanche » cybercriminelle pour y accéder.

Une fois cette montagne de données récupérée, l’entreprise va devoir isoler le signal du bruit, et se focaliser uniquement sur les informations qui sont valables et intéressantes. La phase d’analyse de l’information est celle qui requiert le plus de ressources humaines, du moins si elle se veut efficiente et pertinente.

Que trouve-t-on aujourd’hui sur le marché de la Threat Intelligence ?

- Des renseignements opérationnels : il s’agit principalement de données techniques à effet immédiat, consommées directement par des machines. C’est souvent le résultat d’observations passées, très peu interprétées avec le client final afin de déterminer le contexte, et pas toujours vérifiées… Ce renseignement opérationnel correspond à ce que propose en moyenne 90% des offreurs, fournisseurs proposant de la CTI (Cyber Threat Intelligence) sur le marché aujourd’hui. Toutefois, ce n’est pas de la véritable Threat Intelligence, et si les informations ne sont pas interprétées, vérifiées, mises à jour, cela peut entraîner de nombreux faux positifs. Si c’est bien fait, cela permet de réduire la surface d’attaque et la détection a posteriori, sinon on retombe à un degré de protection non suffisant.

- Des renseignements tactiques : ce sont principalement des prévisions méthodologiques à 6 mois, souvent consommées par les RSSI et les SOC. Il faut une intelligence humaine pour les transformer en actions. Ce type de renseignements est plutôt rare, même chez les spécialistes de la CTI. Il nécessite, de plus, une interprétation par les utilisateurs finaux pour mener à bien des actions, car sans interprétation il s’avère inutile. Le principal objectif de ce genre de renseignements est d’être en mesure de positionner ses ressources aux endroits les plus critiques pour protéger son business. Si c’est bien fait, les renseignements tactiques diminuent de manière drastique la surface d’attaques et aboutissent à une meilleure priorisation des incidents à traiter. Cependant, dans le cas contraire, l’entreprise se concentrera sur de fausses informations et donc de mauvaises actions, augmentant par là même la perte de temps et la surface d’attaques.

- Des renseignements stratégiques : qui reposent sur des prévisions d’impact business à deux ans environ pour une entreprise si elle prend telle ou telle décision. Il s’agit ici des résultats d’observation, de futurologie, d’aide aux décisions business vu de la fenêtre sécurité. Par exemple, quel sera l’impact pour une entreprise quant aux risques d’attaque si elle crée une joint-venture en Chine ? Ce type de renseignements reste peu fréquent chez les spécialistes de la CTI, et est effleuré par les cabinets d’intelligence économique. Il nécessite une interprétation par l’utilisateur final avant toute action. S’il est bien fait, il réduit le risque pour le business, sinon l’entreprise risque d’être induite en erreur.

Toutefois, de manière générale, quand elle est effectuée dans les règles de l’art, la Threat Intelligence présente plusieurs bénéfices pour les entreprises, constate-t-il. Parmi eux :
- Mieux détecter les opérations en cours, en approche ou déjà réalisées ;
- Adapter les techniques de défense en fonction de la réalité des attaques ;
- Obtenir un support opérationnel dans la réponse à incident ;
- Mieux orienter les investissements en produits et services de sécurité ;
- Enfin, communiquer efficacement avec les directions générales sur les risques business liés à la cyber-insécurité…


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants