La défense d’une entreprise et de ses clients contre les cybermenaces suppose en premier lieu de comprendre ce à quoi elle est confrontée. Certes, cela peut paraître évident : étudier son adversaire est une pratique courante.
En sport par exemple, les équipes visionnent leurs futurs adversaires pendant des heures afin d’étudier leurs forces et leurs faiblesses, et élaborer des stratégies et des phases de jeu en conséquence. Les professionnels de la médecine font de même. Pourtant, en cybersécurité, au lieu de se tourner vers l’extérieur, nous sommes habitués aux approches traditionnelles, qui se concentrent sur l’intérieur de l’entreprise. Dans un monde de plus en plus connecté et numérique, il devient pourtant important de regarder aussi, « hors des murs » de l’entreprise.
Comprendre les menaces et les adversaires qui s’intéressent à mon entreprise
Du fait de la mobilité, du Cloud et de l’Internet des objets, le périmètre des attaques informatiques est en pleine expansion. Chaque nouveauté (tablette, application Cloud ou équipement connecté) est une occasion pour l’adversaire de faire appel à de nouvelles techniques et de s’intéresser à de nouvelles cibles au sein de l’entreprise. Pour répondre à ces nouvelles formes d’attaques, l’entreprise ajoute généralement des couches de défense supplémentaires et, lorsque cela est possible, elle crée un périmètre additionnel de sécurité spécifique autour de chaque nouvel appareil. Cette priorité accordée aux frontières de l’entreprise nous maintient focalisés sur l’intérieur, en gérant des dizaines d’outils de sécurité tout en parant au plus pressé, en réaction aux événements de sécurité.
Pour mieux comprendre ses adversaires - qui ils sont, quels sont leurs modes opératoires, par où vont-ils attaquer, etc. ? - le renseignement sur les menaces (en anglais, threat intelligence) s’intéresse à l’univers extérieur au périmètre de l’entreprise. Il passe au crible une multitude de données sur les menaces (issues de nombreuses sources), pour informer l’entreprise des attaques et événements pertinents (présentant des risques), pour lui permettre de les analyser et d’agir rapidement. L’entreprise devient ainsi plus proactive en établissant non seulement, un profil de l’attaque, mais aussi un profil des attaquants, qui modifient rapidement leurs outils, leurs techniques et procédures afin d’échapper aux technologies de défense.
Les entreprises ne peuvent plus se contenter d’attendre d’être victimes
Le renseignement sur les menaces suscite de nombreux débats mais la tendance s’installe progressivement. Nombre d’entreprises sont en train de créer leurs propres centres de supervision de la sécurité (Security Operations Center ou SOC), pour bénéficier de capacités de réaction face aux incidents et se doter de leurs propres équipes de renseignement sur les menaces. À mesure qu’elles développent leurs activités dans ce domaine, elles acquièrent divers flux de données, certains provenant de sources commerciales, d’autres de sources disponibles gratuitement ou bien émanant des fournisseurs de solutions de sécurité. Chacun de ces flux dispose de son propre format. Mais pour disposer de renseignements utiles et concrets, il faut trier automatiquement ces montagnes de données et les regrouper à des fins d’analyse et d’action.
La difficulté réside dans l’incapacité des entreprises à passer de leur posture de défense réactive traditionnelle pour adopter une nouvelle approche de la sécurité reposant sur le renseignement et l’étude de leurs adversaires. Une approche dans laquelle les renseignements peuvent être utilisés à tous les niveaux de l’infrastructure de sécurité pour proposer une défense et une réponse intégrées. Les équipes de sécurité sont encore ralenties par des solutions appliquées de façon rétroactive pour défendre une surface d’attaque en expansion. Avec des technologies et des outils qui n’intègrent ni ne partagent aucune information, elles sont paralysées par la complexité. Or la sécurité reposant sur le renseignement suppose une évolution des méthodes de collecte et de gestion des millions de points de données sur les menaces qui submergent les analystes chaque jour.
Pour établir une base solide reposant sur le renseignement, il est donc nécessaire de regrouper toutes les données sur la menace, de les traduire dans un format uniforme et de les corréler avec les événements et contextes propres à chaque entreprise. En disposant de toutes ces données nouvelles sur les menaces en un seul emplacement et en ayant la possibilité de les exploiter, l’entreprise bénéficiera d’une vision beaucoup plus large sur les menaces qui pèsent sur son écosystème et sur ses adversaires et donc, d’une meilleure défense contre les cybermenaces.