“FIC2018”

Threat Intelligence, que se cache-t-il derrière ce mystérieux buzzword ?

0

Apparue en 2011, la Threat Intelligence – (ou « Renseignement sur les menaces » en français) est devenu en quelques années une véritable « tendance », voire un concept incontournable en sécurité informatique : mais si tout le monde en parle, savons-nous exactement ce que cet anglicisme cache ? Existe-t-il une définition précise de ce concept et des cas concrets de mises en pratique ? Comment ce concept pourrait-il améliorer les solutions technologiques existantes et aider les entreprises à repousser les limites de leur sécurité informatique ?

  • Contexte :  

Dans le monde de la cybersécurité, les enjeux augmentent sans cesse à mesure que les entreprises récoltent et conservent de grandes quantités de données sensibles, et cette tendance n’est pas prête de s’arrêter. Si la collecte de ces données améliore considérablement l’efficacité de ces entreprises, elle augmente aussi considérablement les risques de failles de sécurité et fuites de données. La protection de ces données et des équipements de l’entreprise nécessite des technologies sophistiquées de détection des menaces.

Aussi, une véritable course à la rapidité et réactivité est désormais visible (et indispensable) entre les entreprises et les hackeurs tentant de les pirater : si de nombreuses solutions sont mises en place aujourd’hui afin de fournir une protection maximale à ces structures, il est à noter que les hackers gardent souvent un temps d’avance technologique en menant des attaques aux procédés souvent surprenants, adaptant leurs méthodes d’attaques à leurs cibles pour augmenter leur pouvoir de nuisance et augmentant la complexité de celles-ci. Le vrai défi pour les entreprises est d’aujourd’hui s’adapter à l’évolution des attaques et des stratégies menées par les hackers, et donc prévoir les potentielles futures attaques à venir, tout en gardant un œil sur les menaces déjà connues qui pèsent sur leurs structures informatiques.

C’est dans ce contexte de sécurité informatique que la Threat intelligence s’est développée et a trouvé aujourd’hui une place centrale dans les stratégies de sécurité mises en place.

Threat Intelligence… mais encore ?

Dans cette course perpétuelle contre les hackers, les entreprises sont sans cesse à la recherche de nouveaux procédés pour se prémunir des cyberattaques. Elles dégainent aujourd’hui ce qu’elles considèrent être une arme de taille et un véritable nouvel axe stratégique pour leur cybersécurité, la Threat Intelligence. Mais que se cache-t-il derrière cette notion ?

Comme son nom l’indique, il faut savoir que la notion de Threat Intelligence est un dispositif de vigilance et d’intelligence basé sur la récolte de multiples renseignements autour de l’entreprise, de son écosystème et de sa sécurité informatique.

L’objectif principal du renseignement sur les menaces est d’aider les organisations à comprendre les risques des menaces externes les plus courantes et les plus sévères, telles que les menaces 0-day ou encore les menaces persistantes avancées («APT»). Aussi, l’accent sera mis sur les menaces les plus susceptibles d’affecter une organisation en particulier après analyse de son écosystème. En résumé, la Threat Intelligence permet de se prémunir contre de potentielles attaques et d’anticiper au mieux les différents incidents en permettant une détection aux prémices d’une attaque d’envergure.

Ce renseignement sur les menaces informatiques est organisé en différentes grandes parties correspondant à différents besoins : renseignements opérationnels (données techniques liées à des attaques pouvant affecter une entreprise en particulier) , renseignements tactiques (avec pour objectif de fournir aux équipes du SSI des prévisions méthodologiques contextualisées à 6 mois) et des renseignements stratégiques (qui permet aux entreprises de prévoir l’impact de la sécurité sur une partie « business »).

En somme, la collecte de ces renseignements permet aux entreprises de :

  • Visualiser les signaux qui avaient pu être constatés dans des attaques passées pour utiliser ces savoirs afin de détecter et stopper rapidement de potentielles nouvelles attaques. (Détecter des modus opérandi, des stratégies d’attaques, les cibles de prédilection des hackeurs : informations qui aideront à notamment lutter contre l’évolution de la cyber-criminalité).
  • De ce fait, permettre aux entreprises de positionner ses forces face aux attaques futures et de, si sa main d’œuvre n’est pas suffisante face à ce type d’attaques, faire confiance à un prestataire en sécurité informatique pour l’épauler dans ce challenge à travers la mise en place d’un SOC externe. Aussi, ces résultats permettront aux entreprises de mettre en place des scénarios d’attaques pour que – si cette attaque se produit vraiment malgré la protection informatique mise en place – ses salariés puissent faire face avec réactivité à ce problème.
  • De pouvoir prévoir les impacts qu’auraient une possible attaque sur un aspect « business » et d’apprendre à gérer une crise de sécurité informatique avec le plus de réactivité et transparence possible.

Cependant, avec les millions d’indicateurs qui sont contenus dans les données de renseignement sur les menaces, il est important que les analystes puissent filtrer efficacement les informations valables et signifiantes qui pourraient indiquer une fuite de données pour les entreprises qu’ils protègent.  La surveillance permanente de tout le trafic est chronophage et nécessite un travail important : certaines solutions s’appuient d’ailleurs sur l’AI pour faciliter l’analyse de cette quantité de données (comme par exemple, l’outil d’analyse comportementale Reveelium).

Les renseignements sur les cyber-menaces sont nécessaires parce que les pirates utilisent des procédés toujours plus complexes et réfléchis. Là où une simple solution de sécurité était autrefois un moyen suffisant pour empêcher les logiciels malveillants d’accéder à un réseau, l’utilisation de ces seuls outils de sécurité ne suffit plus : il faut analyser, récolter des informations, apprendre des résultats obtenus et être en constante surveillance des réseaux tout en utilisant de bonnes solutions de sécurité informatique pour pouvoir se prémunir au mieux des menaces qui gravitent aujourd’hui autour des entreprises et particuliers.

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply