Cap sur la cyber-intelligence

Les cyber-attaques contemporaines sont le fruit d’une concertation et d’un travail d’équipe. Sans moyens défensifs d’envergure ni stratégie de cyber-intelligence, l’entreprise peut devenir une proie facile.

Actuellement, lorsqu’un poste de travail est piraté, les données collectées ne sont, en règle générale, ni analysées ni partagées avec le reste de l’entreprise. Si bien que les systèmes appartenant à d’autres services ne peuvent pas être protégés et que l’entreprise reste vulnérable face à une réplique d’attaque. En exploitant ces informations, l’entreprise peut mieux se préparer à détecter et à gérer des menaces du même type. Mais dans la mesure où ces informations sont rarement collectées ou partagées au sein même de l’entreprise, il est peu probable qu’elles soient partagées en dehors de l’entreprise. Or, le partage d'expérience peut s'avérer salvateur.

Savoir rime avec pouvoir

De récents événements ont montré que des entreprises à la pointe de la technologie et dotées de systèmes défensifs importants, peuvent être victimes d’attaques. D’où l’importance pour celles-ci de détecter les menaces de manière précoce et de tirer les leçons des attaques qu’elles essuient.

Même s’il existe des structures qui luttent contre le cyber-crime, les entreprises restent responsables de leur propre sécurité. Elles doivent donc revoir leur stratégie pour combattre les menaces que posent les pirates. Pour ce faire, elles doivent envisager de partager les données relatives aux attaques.

Après tout, les pirates partagent bien des informations sur les tactiques et les vulnérabilités qui fonctionnent. Alors pourquoi pas les entreprises ciblées ?

Malheureusement, par crainte de compromettre des informations concurrentielles, ces données ne sont aujourd’hui que rarement partagées. Et lorsqu’elles le sont, c’est uniquement au sein de petites communautés de confiance, notamment à l’occasion d’événements métier. Le peu de données fournies par ces communautés indique déjà que le partage est bénéfique et qu’il peut s’effectuer sans divulguer d’informations confidentielles.

Le paysage contemporain de la cyber-intelligence

Nombreux sont ceux qui estiment que la réglementation est inévitable et que les gouvernements devraient s’impliquer en contrôlant le trafic Internet, notamment identifier tout comportement anormal et fournir des renseignements sur les projets d’attaque. Cependant, l’opinion publique est sensible à la liberté d’expression et à la nature intrinsèquement globale d’Internet si bien que cette option semble peu réaliste.

En attendant, des organisations planchent sur des solutions, à savoir :

1) Des centres ISAC (Centres de partage et d’analyse d’informations) utilisés notamment dans le secteur des services financiers pour permettre aux banques de partager en toute sécurité des informations sur le moment et le lieu des attaques qu’elles ont essuyées. À l’appui de ces renseignements, les établissements bancaires peuvent renforcer les points les plus à risque et neutraliser ainsi plus efficacement les menaces.

2) Les équipes CERT (Centres de réponse et de traitement des attaques informatiques) qui constituent un autre moyen de partager l’information. Ces services mis en place par les entreprises permettent d’analyser les données relatives aux cyber-attaques et de réagir aux problèmes lorsqu’ils surviennent.

3) Des spécialistes de la réponse aux incidents comme Mandiant qui sont sollicités par les entreprises victimes d’attaques. Ces entreprises se concentrent sur les problèmes persistants comme ceux récemment rencontrés par le New York Times. Elles publient ensuite dans un format anonymisé des informations post-incident qui s’avèrent fort utiles.
Quant aux médias de masse, il s’agit d’une précieuse source de renseignements en complément des différentes structures énumérées ci-dessus.
Dénommée « Renseignements sur les menaces publiques », la sensibilisation aux toutes dernières attaques et tendances peut jouer un rôle non négligeable. Ainsi, lorsque Facebook a été victime de pirates en début d’année, des entreprises ont reçu via les médias des informations sur le lieu, la nature et le mode de détection de l’attaque. Les entreprises attentives aux informations publiées ont donc pu se préparer à d’éventuelles attaques et s’informer sur l’actualité de la sécurité.

Aller de l’avant

Un système à plusieurs niveaux accompagné d'une organisation de confiance chargée de diffuser des alertes à partir d’informations reçues de l’ensemble des entreprises, peut être extrêmement précieux. Cependant, il est indispensable que les données soient à la fois détaillées et fiables sous peine de discréditer l’organisme en charge de leur diffusion. La confiance est au cœur de la cyber-sécurité. Sans elle, l’entreprise ne peut pas agir comme l’entité unique qu’elle a besoin d’être pour s’attaquer aux forces unifiées de son ennemi.