Threat intelligence : « l’équipe de sécurité d’une entreprise est un groupe de musique qu’il faut faire jouer harmonieusement »

0

Lors de mes années collège, je jouais de la guitare au sein d’un groupe. L’expérience était enrichissante mais loin d’être facile. Apprendre à jouer un morceau peut prendre des heures mais il s’agit ensuite de parvenir à jouer le même morceau de façon harmonieuse au sein du groupe. Cela s’est avéré plus difficile que je ne le pensais.

En théorie, chaque instrument doit venir sublimer l’ensemble. En pratique, lorsque nous nous contentions de jouer simultanément tous ensemble, nous avons vite réalisé que nos partitions issues de plusieurs sources, utilisant différents rythmes et interprétées diversement, se rapprochaient plus de la cacophonie que de la musique. Nous devions procéder à de nombreux arrangements pour obtenir le son que nous souhaitions, perdant ainsi un temps considérable à nous mettre d’accord sur des détails. Heureusement, le leader de notre groupe était suffisamment influent pour prendre des décisions et définir une orientation claire. Grâce à lui, nous sommes parvenus à répéter efficacement pour créer une musique harmonieuse et qui nous ressemble.

Il y a de nombreux points communs entre l’univers du renseignement sur les menaces et celui de la musique. À l’instar de la musique, le renseignement sur les menaces se compose de multiples points de données agrégées sur les menaces (les notes de musique et les partitions) transformés en informations de veille pertinentes (un morceau de musique) pour une entreprise. Ce morceau de musique doit être unique, représentatif de la façon dont l’équipe conçoit et utilise les renseignements sur les menaces pour lutter contre les menaces qui pèsent le plus sur son entreprise, en adoptant une approche à la fois holistique et synchronisée.

Mettre en place une stratégie de threat intelligence, c’est donner les clés au chef d’orchestre

Cela peut paraître simple au premier abord, mais créer son propre morceau de musique est en réalité une tâche des plus ardues. En effet, à l’image des musiciens ayant chacun leur propre partition, les équipes de sécurité sont organisées en silos : le CSIRT (Computer Security Incident Response Team), le centre d’opérations de sécurité (Security Operations Center – SOC), l’équipe de gestion des risques, des vulnérabilités, des endpoints, du périmètre, etc. De plus, chacune de ces équipes s’appuie sur des flux de renseignements sur les menaces spécifiques en fonction de son périmètre de travail. L’envoi direct de tous les renseignements sur les menaces issus de ces différents flux vers votre playbook ou votre grille de détection (pare-feu, IPS/IDS, routeurs, sécurité Web et de la messagerie, endpoint, etc.) peut se révéler contre-productif. La première étape est donc de prendre en charge l’agrégation, l’application de contexte et la hiérarchisation des renseignements, faute de quoi, au lieu d’une musique harmonieuse, nous obtenons surtout du bruit et des faux positifs. À l’instar du chef d’orchestre, le leader du groupe en entreprise est indispensable pour travailler efficacement et retirer la valeur maximale de l’ensemble des flux de renseignements sur les menaces auxquels la plupart des entreprises sont abonnées (sources commerciales, open source, fournisseurs de solutions de sécurité existants et du secteur).

Jouant ce rôle de leader du groupe, une plate-forme de renseignement sur les menaces est conçue pour consolider les notes de musique issues de toutes les sources internes et externes disponibles, exploiter toutes les partitions musicales possibles (quels que soient leur format et leur rythme), puis transformer ces notes brutes en un morceau de musique unique qui sera joué par l’ensemble du groupe. Une plate-forme de renseignements sur les menaces augmente et enrichit ces données sur les menaces en y apportant des informations contextuelles, essentielles pour mieux appréhender le « qui, quoi, quand, comment et pourquoi » d’une menace et ainsi évaluer la pertinence des informations. L’attribution de scores personnalisés sert à définir des priorités pour cibler les renseignements portant sur la menace qui intéresse les analystes au moment opportun et ainsi créer ses propres arrangements, si cela est souhaité. Chaque entreprise étant unique, elle dispose de sa propre musique et de son propre son.

Voilà comment être en mesure de déployer la veille stratégique adéquate vers les bons outils… Le leader du groupe ayant adéquatement préparé le terrain, il ne reste plus qu’à veiller à ce que tous les musiciens reçoivent, en temps réel, la partition spécifique dont ils ont besoin (SIEM, dossiers de réponse à un incident, proxy Web, détection et neutralisation des endpoints, etc.) pour pouvoir, de concert, mettre à jour les stratégies et les règles visant à limiter les risques.

Aucun groupe de musique ne peut se permettre de stagner. Exactement comme la stratégie de renseignement sur les menaces d’une entreprise. Les menaces pertinentes représentent une cible mouvante quotidiennement modifiée par la stratégie de détection et de suivi propre de l’entreprise. Dans ce contexte, la présence d’une plate-forme de renseignements sur les menaces contribue à l’évolution dynamique de son morceau de musique. En réunissant les sources d’inspiration, en intégrant de nouvelles données, du contexte et des apprentissages, cette plate-forme permet de continuer à parfaire ses performances via une évaluation continue des menaces.

Grâce à cette plate-forme de renseignements sur les menaces, le groupe, composé d’analystes de sécurité, de renseignements sur les menaces et de réponse aux incidents, peut jouer une musique harmonieuse, de façon cohérente et efficace, exactement comme notre groupe de musique au collège s’appuyait sur le leader du groupe pour y parvenir.

About Author

Cyrille Badeau

Directeur Europe du Sud de ThreatQuotient

Leave A Reply