Le manque de professionnels qualifiés constitue un obstacle majeur à la mise en œuvre de la threat intelligence

0

SANS Institute a publié les résultats de son enquête annuelle sur la Cyber Threat Intelligence (renseignement sur la menace – ou TI) pour 2018. L’étude apporte un éclairage sur l’évolution du renseignement sur les cybermenaces dans la cybersécurité, et montre que la discipline gagne en maturité.

Illustration de l’une des tendances les plus claires constatées par SANS au cours des trois dernières années, les participants sont de plus en plus nombreux à déclarer que la threat intelligence renforce leurs capacités de prévention, de détection et de réaction : 

  • En 2018, 81 % des participants estiment que leurs implémentations de solutions de threat intelligence ont débouché sur des améliorations de leur sécurité, contre 78 % en 2017 et 64 % en 2016. Les professionnels comprennent également mieux le fonctionnement et les apports possibles de la TI.

Par ailleurs, 68 % des participants déclarent qu’ils ont mis en œuvre la threat intelligence cette année, et 22 % supplémentaires prévoient de l’introduire à l’avenir. Seulement 11 % des entreprises ne prévoient pas de mettre en œuvre de la TI, un chiffre en baisse par rapport à l’année dernière (15 %). Globalement, la threat intelligence gagne donc en utilité, en particulier pour les équipes en charge des opérations de sécurité qui s’efforcent d’intégrer le renseignement dans leurs stratégies de prévention, de détection et de réaction.

« Alors que le paysage des menaces continue d’évoluer et que les techniques de piratage ne cessent de gagner en sophistication, les équipes de sécurité ont besoin de toute l’aide possible pour empêcher, détecter et réagir plus efficacement aux menaces », estime Dave Shackleford, analyste et formateur senior chez SANS et auteur de l’enquête.

Une forte demande en compétences de threat intelligence

Toutefois, malgré les tendances démontrant que la TI peut jouer un rôle important dans la stratégie de sécurité des entreprises, le recrutement de personnel qualifié pour mettre en œuvre de la TI devient de plus en plus difficile :

  • Ainsi, 62 % des participants citent le manque de professionnels formés et qualifiés en threat intelligence comme un obstacle majeur, ce qui représente une hausse de près de 10 points par rapport à 2017 (53 %). Il en ressort également que plus la TI est utilisée, plus la demande en compétences correspondantes augmente. Par conséquent, il peut être bien plus difficile de trouver des professionnels expérimentés en matière de configuration et d’exécution de programmes de TI. De la même façon, 39 % des participants citent le manquent de capacité technique à intégrer des outils de TI à l’environnement de l’entreprise.

Visibilité renforcée et opérations de sécurité améliorées

Conséquence de leurs initiatives en matière de programmes de threat intelligence, les participants signalent une visibilité renforcée et des opérations de sécurité améliorées.

  • Par exemple, 71 % se déclarent globalement satisfaits de la visibilité accrue sur les menaces et des indicateurs de compromission.
  • S’agissant de préciser les améliorations obtenues, 70 % signalent de meilleures opérations de sécurité, et 66 % une capacité accrue à détecter des menaces inconnues jusque-là. 

Les réponses fournies dans le cadre de l’enquête de 2018 révèlent que l’accent est de plus en plus mis sur l’exploitation de la TI dans le cadre des opérations de sécurité : détection des menaces (79 %), réponse aux incidents (71 %), blocage des menaces (70 %) et chasse aux menaces (un peu moins citée avec 62 %).

Ces réponses indiquent que le renseignement sur les menaces est essentiel à l’augmentation et à l’amélioration des règles de pare-feu, des listes de contrôle d’accès au réseau et des listes de réputation. Les sites et indicateurs connus associés aux rançongiciels sont ensuite partagés par le biais du renseignement sur les menaces, ce qui permet aux équipes opérationnelles de rechercher rapidement l’historique des compromissions et de bloquer de manière proactive l’accès depuis les clients internes.

« Il est positif de constater que de nombreuses entreprises partagent des informations détaillées au sujet des attaques et des cyberattaquants, et qu’une multitude d’options open-source et payantes existent pour la collecte et l’intégration de ces précieux renseignements. Tout cela a entraîné un renforcement des capacités des entreprises à améliorer les opérations de sécurité et à détecter les attaques précédemment inconnues », poursuit Dave Shackleford. « Ces résultats renforcent les tendances indiquant que la TI est principalement alignée sur le SOC et s’inscrit dans le cadre d’activités opérationnelles comme la veille de sécurité, la chasse aux menaces et la réponse aux incidents. ».

About Author

Globb Security France

Leave A Reply