Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Étude de l’institut SANS Sponsorisée par ThreatQuotient : +7% - La pandémie voit les entreprises de toutes tailles et de tous secteurs investir dans la Threat Intelligence

mars 2021 par SANS iNSTITUTE Sponsorisée par ThreatQuotient

La recrudescence des compromissions au cours de l’année écoulée, amplifiée par les attaques liées à la COVID, n’a fait que renforcer l’importance de la Threat Intelligence. L’étude menée en 2021 sur la Threat Intelligence par le SANS Institute, sur un panel de 419 personnes dans le monde entier, sponsorisée par ThreatQuotient fait l’état des lieux de l’utilisation du renseignement sur la menace dans le monde et explique pourquoi les difficultés de l’année dernière ont contribué au développement et à la maturation continus de celui-ci.

D’après l’étude 2021, le nombre de personnes interrogées ayant déclaré produire ou consommer des données de Threat Intelligence a augmenté de 7 %. Plus particulièrement, c’est la première fois que le nombre de personnes interrogées ne prévoyant pas de consommer ou de produire des données de Threat Intelligence est de 0 %, contre 5,5 % en 2020. L’analyse du renseignement permet aux entreprises de comprendre les capacités, les opportunités et les intentions des adversaires menant des cyber activités malveillantes. Cette compréhension permet ensuite de déterminer comment les acteurs malveillants ciblent les systèmes, les informations et les collaborateurs d’une entreprise. Ce sont ces informations contextuelles qui permettent aux entreprises et aux personnes de réagir face aux menaces, de comprendre les risques, de concevoir de meilleures cyber défenses et de renforcer leur protection.

La threat intelligence dans un monde transformé par la pandémie Près de 20 % des personnes interrogées ont indiqué que leur implémentation de la Threat Intelligence avait changé en raison de la pandémie et du fait que les attaquants avaient profité de ce bouleversement, comme en atteste la forte augmentation des attaques de phishing et de ransomware liées à la COVID ciblant les entreprises tous secteurs confondus. En obligeant les employés à sortir du périmètre de cyberprotection de l’entreprise, l’adoption généralisée du télétravail a élargi la surface d’attaque des entreprises. Les personnes interrogées dans le cadre de l’étude estiment que les menaces liées au télétravail (phishing, équipements perdus ou volés, équipements réseau domestiques, malwares, diffusion accidentelle d’informations sensibles ou accès non autorisé des employés aux ressources de l’entreprise) ont joué un rôle important dans l’évolution de leur implémentation du renseignement sur la menace.

Les résultats indiquent que le télétravail a changé la façon dont les équipes de Threat Intelligence, de réponse à incident et SOC communiquent, entraînant à la fois des effets positifs et négatifs. Les réponses ont démontré que le télétravail renforçait la concentration et la collaboration des équipes, tandis que l’utilisation d’applications de chat facilite la communication. Cependant, certaines personnes interrogées estiment que la perte des conversations en face à face entrave le partage entre les équipes. Les entreprises ont également témoigné d’une prise de conscience accrue de l’impact de la crise sur leurs employés, qui a permis de comprendre que si un grand nombre d’entre eux appréciaient le télétravail, les analystes en Threat Intelligence avaient du mal à « déconnecter » et à prendre des pauses lorsque leur « bureau » était leur domicile.

Quels résultats pour quelles utilisations ?

Le renseignement n’est plus perçu comme étant réservé au 1 % des entreprises les plus importantes, mais comme offrant de la valeur aux entreprises de taille moyenne à grande dans toute une série de secteurs, notamment la cybersécurité, le secteur bancaire et financier, le secteur public et le secteur des nouvelles technologies, particulièrement bien représentés dans les réponses à l’étude.

En réponse aux questions sur l’utilisation, la valeur et les inhibiteurs de la Threat Intelligence, 77 % des personnes interrogées ont déclaré que le renseignement sur la menace avait amélioré leurs capacités de détection et de réponse à incident et 78 % ont indiqué que les données et les informations de Threat Intelligence étaient utilisées pour détecter les menaces et les attaques. 70 % des personnes interrogées utilisent la Threat Intelligence pour bloquer les menaces et 66 % pour optimiser la réponse à incident.

La progression de l’utilisation de la Threat Intelligence dans les entreprises de toutes tailles est démontrée par le fait que 85 % des personnes interrogées ont déclaré utiliser le renseignement sur la menace tandis que 15 % d’entre elles « ne l’utilisent pas encore mais prévoient de le faire ». Précision utile, 24 % des personnes interrogées travaillent dans des entreprises de moins de 500 employés et 47 % dans des entreprises de moins de 5 000 employés. Ces chiffres démontrent une adoption et une utilisation de la Threat Intelligence incroyablement prometteuses de la part des entreprises, qui semblent considérer la Threat Intelligence comme un élément essentiel de leur sécurité, indépendamment du niveau de maturité de leur programme de sécurité. En outre, les entreprises s’intéressent désormais bien davantage à la mesure de l’efficacité de leur implémentation de la Threat Intelligence, comme en atteste le bond en avant réalisé dans ce domaine entre 2020 et 2021 : 38 % des répondants mesurent aujourd’hui l’efficacité de leur implémentation, contre 4 % en 2020.

L’automatisation, synonyme de gain de temps et de ressources

Les analystes en renseignement sur la menace sont plus sollicités que jamais pour intégrer ou traiter davantage d’informations provenant de sources gouvernementales dans leurs analyses. Par ailleurs, le traitement est souvent la tâche la plus adaptée à l’automatisation. Les entreprises ont donc besoin d’outils et processus de Threat Intelligence plus sophistiqués qui facilitent l’analyse et permettent d’identifier les informations trompeuses susceptibles de fausser l’analyse d’impact. Bien que 65 % des personnes interrogées aient déclaré être globalement satisfaites de l’automatisation et de l’intégration des données de Threat Intelligence dans les systèmes de détection et de réponse à incident, soit une progression par rapport aux 62 % de l’étude réalisée en 2020, près de la moitié des personnes interrogées (45 %) ont indiqué que le manque d’automatisation ou les problèmes d’interopérabilité entravent une implémentation efficace du renseignement sur la menace dans l’entreprise. L’importance de l’automatisation est encore accentuée par la pénurie de personnel qualifié, qui reste l’un des principaux obstacles à l’implémentation de la Threat Intelligence, selon 53 % des personnes interrogées. Cela souligne la nécessité pour une entreprise de disposer d’analystes en Threat Intelligence formés et compétents pour adapter le renseignement sur la menace aux besoins spécifiques de leur entreprise, que ceux-ci produisent ou consomment des données de Threat Intelligence. L’étude a également révélé que la tendance aux équipes hybrides apparue au cours des 5 dernières années s’est inversée. Les entreprises prennent aujourd’hui davantage en charge la gestion de leurs fonctions de Threat Intelligence, comme en témoigne l’augmentation de 5 % des équipes internes par rapport à 2020 pour atteindre 37 % en 2021, et le recul des modèles hybrides de 5 % par rapport à 2020, aujourd’hui adoptés par 56 % des personnes interrogées.

Démocratisation du partage d’informations

Les professionnels de la sécurité reconnaissent que l’appartenance à un centre d’analyse et de partage d’informations (ISAC) ou à un groupe gouvernemental de partage d’informations apporte une valeur considérable. En 2021, le nombre de personnes interrogées ayant déclaré faire partie d’un ISAC ou d’un groupe gouvernemental de partage d’informations a augmenté de près de 50 % par rapport à 2020. Le rapport a révélé que les professionnels de la sécurité des informations voient un réel intérêt dans les ISAC. En effet, 69 % des personnes interrogées ont déclaré que le renseignement sur la menace leur avait fourni des informations pertinentes et opportunes sur les menaces. Toutefois, l’étude a surtout révélé des augmentations dans trois domaines spécifiques du partage d’informations : la promotion de la sécurité au sein de la communauté (50 %), les réunions et événements réservés aux membres (50 %), et la formation et les conférences (47 %). Ces résultats révèlent que le rôle des ISAC et des groupes gouvernementaux de partage d’informations s’est généralisé, augmentant la nécessité pour les entreprises d’utiliser une plateforme de Threat Intelligence pour gérer et donner un sens à ces flux d’informations. Cette tendance consistant à favoriser les relations interpersonnelles ainsi que le soutien et la mobilisation à distance au sein de la communauté de la Threat Intelligence est à encourager à l’avenir.

Cyrille Badeau, VP Europe ThreatQuotient conclut : « La valeur que les entreprises accordent au renseignement sur la menace et à son implémentation ne fait que croître et mûrir. D’ailleurs, ces entreprises considèrent la CTI comme un élément essentiel de leur sécurité et en reconnaissent son efficacité. »




Voir les articles précédents

    

Voir les articles suivants