Alors que pour certains, le threat hunting représente l’avenir de la cybersécurité, pour un grand nombre d’entreprises, la mise en place d’une politique de chasse aux menaces est un véritable défi. Son principe est simple : faire que les équipes en charge de la cybersécurité ne soient plus uniquement en réaction face aux attaques mais également dans l’anticipation et la prévention. Si cette approche arrive aujourd’hui à maturité, il est intéressant de voir que son déploiement peut être freiné par certaines mauvaises pratiques.
Anticiper pour ne plus subir
Mieux vaut prévenir que guérir, c’est sur la base de ce principe que repose l’action des chasseurs de menaces qui cherchent à identifier les dangers potentiels afin de les isoler et de les neutraliser avant qu’ils ne soient concrets. Une technique qui porte ses fruits selon le récent rapport Global Threat Report 2020 de VMware Carbon Black au sein duquel 88% des personnes interrogées ont répondu que le threat hunting, utilisé dans le cadre d’une stratégie de cybersécurité, s’est avéré efficace, tandis que 86% ont déclaré qu’il a renforcé les défenses de leur entreprise.
Une mise en oeuvre incomplète et pas toujours adéquate qui tend vers l’émergence d’un nouveau marché de service
La mise en œuvre d’une politique de threat hunting se heurte à deux défis majeurs que les entreprises se doivent de maîtriser. Premier défi, sous estimer son déploiement. Alors que certaines organisations se fixent des objectifs précis en termes de threat hunting et déploient des équipes afin de les atteindre, un grand nombre d’entreprises ajoutent cette pratique au cahier des charges des équipes existantes. La chasse aux menaces n’est pas une activité occasionnelle qui peut être réalisée en sus de son agenda opérationnel. Le threat hunting est un des composants majeurs d’une politique de cybersécurité et sa conduite doit être effectuée par des opérationnels dédiés.
Le second défi vient de l’absence de solutions automatisées, le plus souvent embarquant des IA dédiées, pour l’archivage des données liées aux attaques subies. Le volume de ces incidents et la masse des données engagées sont tels que le recourt à une RPA est de plus en plus incontournable. Toujours selon le même rapport, près de la moitié des répondants font encore le choix de méthodes traditionnelles de traitement et de stockage des données via des feuilles de calcul ou des fichiers PDF.
Selon l’analyse Global Cyber Threat Hunting Services Market, le marché mondial des services de threat hunting sera en forte croissance d’ici à 2026. Face à la multiplication des menaces, il est clair que toutes les entreprises n’ont pas les ressources internes nécessaires pour assurer une surveillance et une protection permanente de leur système d’information. Une situation qui peut être dépassée via le recourt à des consultants externes présents pour structurer et organiser une politique de threat hunting.
___________________
Par Jacques Bruno Delaroche, Ingénieur avant vente, Exclusive Networks France