Intégrer la threat intelligence à sa stratégie de sécurité
Deux années de travail à distance et l'explosion de la transformation numérique ont augmenté la surface d'attaque des organisations. La threat intelligence offre une occasion de rétablir l'équilibre.
La threat intelligence ou le renseignement sur les menaces consiste à utiliser des données, traitées sous forme d'informations, puis interrogées pour raconter une histoire qui améliore la prise de décision. Plutôt que de répondre directement à de simples questions, elle donne une vision qu’exploite les analystes pour répondre à des questions plus complexes. Aujourd’hui, les entreprises disposent de tonnes de données provenant de multiples logs, des contrôles de sécurité traditionnels (pare-feu, antivirus, passerelles de messagerie et d'accès au Web, etc.), d’informations techniques (listes de menaces, spam et logiciels malveillants), des réseaux sociaux, des forums par industrie, des sites du dark web et des médias. Mais sans contexte, tous ces flux d’informations submergent les équipes de sécurité, même s'ils sont ingérés directement dans les outils et les workflows de sécurité. Il en résulte une fatigue liée aux alertes, qui expose à de mauvais résultats voire à un burnout. Pour y remédier, les plateformes de threat intelligence sont capables de traiter ces énormes sources de données sur les menaces, pour ne produire que des renseignements pertinents et exploitables, et ainsi favoriser une prise de décision proactive en matière de sécurité.
Les trois piliers d’une stratégie de threat intelleigence
Pour définir sa stratégie de threat intelligence et soutenir une analyse proactive du renseignement, une entreprise dispose rarement de l'expertise, du temps ou des ressources nécessaires. Toutefois, recueillir et monitorer diverses sources d’informations permet d’y déceler des indicateurs de menace pertinents. Il peut s'agir d'éléments tels que de la divulgation d’informations d'identification de l’entreprise, de mentions de ses produits sur le dark web ou de la recherche de typosquats de ses marques dans les enregistrements de noms de domaine. Ce type de renseignement contribue à informer le service informatique en matière de réinitialisation des mots de passe, de campagnes de phishing par email ciblant les employés, et à accélérer la vérification des incidents de sécurité potentiels.
L'intégration de la Threat Intelligence aux technologies de contrôle de la sécurité existantes permet de réduire la fatigue liée aux alertes, d'enrichir automatiquement les indicateurs et d'accélérer la réponse aux incidents. Un bon renseignement permet de hiérarchiser plus rapidement les alertes importantes, d'enrichir depuis l'extérieur les indicateurs provenant de sources internes et d'ajouter du contexte pour comprendre les points de vue tactiques, opérationnels et stratégiques. Cela sous-entend que le renseignement soit contextualisé, fourni en temps réel via une API et lisible par une machine avec laquelle les API peuvent travailler.
L’analyse est ensuite nécessaire pour identifier de manière proactive les menaces émergentes et examiner de plus près les risques pour l’entreprise, son secteur d’activité et ses fournisseurs. Les RSSI doivent être capables d'aller au-delà de la découverte de nouvelles menaces et d'apporter une valeur stratégique. Ils passent alors d’un mode constamment réactif dans la gestion des incendies à une proactivité plus sereine dans l’identification, la chasse et la prévention des menaces. Ils sont ainsi armés pour écarter les menaces avant qu'elles n'aient un impact sur l’entreprise.
Une stratégie de threat intelligence efficace intègre et améliore les contrôles de sécurité existants. Elle s’appuie sur la collecte et l’analyse les sources techniques sur l'ensemble du web ouvert et du dark web, voire sur la conversion de contenu en langue étrangère dans un format utilisable. De plus, l’implication d’un partenaire technologique expert de la threat intelligence contribue à enrichir au fil du temps une stratégie initiale en identifiant de nouveaux cas d'usage critiques pour l’entreprise. C’est ainsi que se bâtit la mise en œuvre de mesures proactives pour dérouter les adversaires et assurer la sécurité des personnes, des systèmes et des infrastructures.