La threat intelligence est aujourd’hui sur toutes les lèvres des professionnels de la sécurité informatique. Les fournisseurs de solutions de sécurité cherchent à s’installer au plus vite sur le marché, alors que les entreprises disposant d ‘un SOC (Security Operations Center) ont, à minima, validé la nécessité d’intégrer les renseignements sur la menace dans leur programme de sécurité. Le Gartner confirme d’ailleurs cette tendance puisque le cabinet estime que le taux de pénétration des solutions de plateforme de threat intelligence dans les SOC sera de 50 % d’ici à fin 2018.

Importé du monde militaire et du renseignement, le concept de la threat intelligence n’est pas nouveau. La grande nouveauté réside dans le partage et l’échange des renseignements sur la menace et les outils permettant l’intégration de ces informations de grande valeur dans les SOC et leurs systèmes de protection.

Or, il existe aujourd’hui plusieurs niveaux de threat intelligence : les « feeds » consistant en un échange simple gratuit ou payant de renseignements, – jusqu’aux plateformes plus abouties qui apportent des sources encore plus complètes. Sachant que les plateformes de threatintelligence offrent un potentiel aux entreprises, au-delà du renseignement sur la menace.

Sensibiliser tous les métiers

La médiatisation de plus en plus importante des attaques fait son effet. Les dirigeants d’entreprise sont ainsi de plus en plus soucieux de la sécurité informatique de leur entreprise. Les RSSI et responsables de SOC se retrouvent donc régulièrement à répondre à des questions auxquelles ils n’ont pas toujours les réponses : que savons-nous des menaces actuelles ? Comment nous affectent-elles ? Que mettons-nous en place pour les contrer ?

Une stratégie solide de threat intelligence apporte des renseignements de premier plan sur la menace ainsi qu’une vraie proactivité en matière de cybersécurité. Les dirigeants ont également besoin de savoir quels sont les impacts financiers de ces menaces potentielles, puis que l’équipe sécurité communique ces informations auprès du management de l’entreprise. Autant d’éléments qu’il est généralement difficile de quantifier. Les outils de threat intelligence permettent justement de transformer l’information en des enseignements et des chiffres accessibles pour tous. Prenons un exemple concret : grâce à la threat intelligence, le discours du SOC va pouvoir passer de « nous avons bloqué un million d’événements ce mois-ci » à « les attaques de ransomware que nous avons bloquées auraient coûter 2 millions d’euros à l’entreprise », au lieu du discours opaque traditionnel.

Faire les bons choix

Sur un réseau, il y a trois éléments principaux avec lesquels les analystes sécurité doivent se battre : le bruit, les nuisances et les menaces. Pour être efficaces, ils doivent donc être capables de filtrer le bruit ambiant sur le réseau (bloquer les bruits dans le périmètre ou les détecter puis les remédier automatiquement) pour pouvoir se concentrer sur les menaces (qui constituent les vrais impacts négatifs pour l’entreprise) et finalement déterminer si une nuisance est en fait un bruit ou une menace, afin d’agir en fonction. Vu l’ampleur des bruits, alertes, etc. sur un réseau de grande taille, la tâche est particulièrement complexe.

Une plateforme de threat intelligence efficace aide à organiser les menaces et fournit l’information nécessaire pour isoler ce qui a vraiment de l’importance. Elle fournit également un moyen de filtrer automatiquement le bruit tout en enrichissant la base d’intelligence et aide ainsi l’analyste à comprendre et traiter les nuisances. En bref, une bonne plateforme de renseignement sur la menace permet d’opérationnaliser l’approche de la cybersécurité de l’entreprise et de son SOC.

Aller plus loin dans la gestion des risques

Une fois que l’entreprise utilise la threat intelligence pour optimiser sa communication et concentrer ses ressources, elle peut commencer à aller plus loin dans la gestion des risques, grâce à une vision plus stratégique : des actifs business critiques à protéger en priorité – des menaces qui ciblent ces actifs et leur mode opératoire – des contremesures déjà en place.

A partir de là, il est possible de mieux apercevoir et comprendre les risques et ainsi de lancer une discussion plus stratégique avec la direction de l’entreprise sur la position à adopter – accepter, transférer ou atténuer le risque – et les investissements de sécurité requis.

La threat intelligence a tout pour devenir un facteur clé dans le succès de nombreuses stratégies de cybersécurité. L’adoption de la threat intelligence va s’accélérer très rapidement dans les prochaines années. Le Gartner a relevé la tendance, et sur le terrain et dans les SOC, les discussions sont déjà largement engagées.

 

_________
Jonathan Couch est VP Stratégie de ThreatQuotient