in

Quatre clés pour tirer parti de La Cyber Threat Intelligence (CTI) – Par Julien Champagne, FireEye

De bons renseignements sont essentiels pour défendre les organismes gouvernementaux et entreprises contre les menaces à la cybersécurité. Il est devenu usuel que les dirigeants informatiques s’intéressent à l’établissement de programmes de renseignements sur les cybermenaces. Cependant, pour qu’un programme soit efficace, il faut d’abord savoir ce que signifie avoir une  » bonne Threat Intel « .

Une approche consiste à faire la distinction entre les données et le renseignement. Les SOC, en particulier de nos jours, ont accès à d’énormes quantités de données. Ils ont également accès à des indicateurs de cyber-menace par le biais de la capacité de partage des CSIRT nationaux et internationaux, et d’autres sources.

Mais toutes ces données ne sont pas significatives. Les données nécessitent des analyses qui génèrent des aperçus. En retour, ces connaissances deviennent de l’intelligence. Un bon renseignement se caractérise par des renseignements utiles, opportuns et exacts.

Les programmes efficaces de renseignements sur les cybermenaces génèrent des renseignements utiles, opportuns et exacts pour aider le leadership à gérer le risque global de l’organisme. Voici 4 étapes essentielles à l’élaboration d’un programme qui permet que cela se produise :

Qu’est-ce qui est en jeu ?

Un programme efficace de renseignements sur les cybermenaces ne peut prendre forme qu’une fois que les enjeux sont définis. D’abord, comprendre ce qui est protégé. Qu’est-ce qu’un acteur de la menace voudrait voler ou détruire ? Pour certains, il s’agit de données de carte de crédit. Pour d’autres, il s’agit de dossiers personnels, de dossiers médicaux ou de propriété intellectuelle. Et pour d’autres enfin, il s’agit d’une combinaison d’actifs de données.

Le fait de savoir quelles sont les données les plus précieuses, ainsi que les conséquences si ces données sont violées ou détruites, permet aux organisations et à leurs dirigeants de définir convenablement leurs risques.

Identifier les acteurs de la menace

L’identification des données à risque simplifie la catégorisation des acteurs potentiels de la menace et de leurs moyens d’attaque. En d’autres termes, le fait de savoir quelles données quelqu’un pourrait vouloir obtenir donne une idée de qui pourrait venir après ces données.

Différents acteurs de la menace ayant des objectifs différents déploient différents outils et différentes tactiques, techniques et procédures (TTP) pour violer les organisations et compromettre l’information. Une fois que les organismes ont défini les enjeux et les conséquences d’une atteinte à la sécurité, c’est à ce moment-là que le renseignement sur les menaces cyber devient utile.

Alignement de l’intelligence et de la gestion des risques

Les renseignements sur les cybermenaces sont plus efficaces pour les organismes lorsqu’ils se concentrent sur les acteurs les plus susceptibles d’être à l’origine de la menace et leurs moyens d’attaque probables. Du point de vue du leadership, l’objectif est plutôt la gestion stratégique des risques. Idéalement, le renseignement sur les cyber-menaces permet aux organisations de combattre un plus grand nombre de menaces et les menaces les plus dévastatrices avec les mêmes ressources.

Les programmes de renseignements sur les menaces cyber appuient le mieux cet objectif lorsqu’ils se concentrent sur la protection des données qui ont le plus besoin d’être protégées et qu’ils les protègent de manière à anticiper les outils et les techniques que les acteurs de la menace utiliseront pour attaquer.

Un organisme débordé d’activités pourrait utiliser le renseignement pour classer par ordre de priorité les menaces susceptibles d’avoir les répercussions les plus importantes sur ses opérations. Bien qu’une opération criminelle de marchandises puisse causer beaucoup de dommages à une organisation de sécurité, elle peut être une distraction par rapport à une autre menace d’État-nation plus virulente. Par exemple, une organisation financière que nous connaissons prend des mesures proactives pour se préparer à une menace Iranienne, étant donné les récents développements géopolitiques. La décision de concentrer les ressources sur cette menace est fondée sur le risque historique que posent les acteurs Iraniens et les mesures qui sont prises sont guidées par des renseignements tactiques et opérationnels spécifiques sur les PTT des acteurs.

Creuser dans les opérations

La gestion stratégique des risques, lorsqu’elle s’appuie sur les renseignements sur les cybermenaces, s’étend du board jusqu’au niveau opérationnel. En fait, la fonction et la nécessité d’un bon renseignement sur les cybermenaces est de faciliter les conversations qui peuvent aller de tactiques à stratégiques.

Le fait de savoir quelles menaces sont critiques au niveau opérationnel permet aux organismes de prendre des décisions sur la façon de déployer des cyber-opérations, des outils et des personnes pour s’aligner contre ces menaces.

Une fois les éléments bien définis, les organismes peuvent brancher leurs indicateurs et leurs PTT dans leurs capteurs et examiner les parties de leurs systèmes où les acteurs de la menace vont opérer.

En fin de compte, une bonne threat intel circule en première ligne, de sorte que l’équipe de sécurité informatique dispose des données et de l’orientation dont il a besoin pour neutraliser les acteurs les plus préoccupants pour l’organisme. La meilleure façon d’atteindre ce potentiel est de définir des objectifs organisationnels autour de la CTI.

Plus précisément, les organisations devraient commencer par dresser la liste des intervenants de l’organisation qui sont pertinents. Dans la plupart des organismes, y compris le secrétaire ou le conseil d’administration, jusqu’au SOC et au CERT et aux équipes d’intervention en cas d’incident.

Une fois que les intervenants ont été identifiés, l’étape suivante consiste à recueillir leurs besoins, à déterminer ce qu’ils veulent réaliser, ce qu’ils veulent tirer d’un programme de CTI. Cette information devrait être analysée en fonction de la menace, ce qui permettra aux organismes d’examiner leurs sources actuelles de renseignements bruts, d’identifier les lacunes, et établir une capacité de contextualisation.

À ce stade, ils peuvent également déterminer quelles sources sont lisibles par machine, lesquelles sont faciles à intégrer et à automatiser, et où les humains devront encore agir.

Ce type d’examen systématique, non seulement sur les outils mais aussi sur les ressources humaines, peut mener à un profil de risque plus faible et à une plus grande efficacité, car toutes les ressources se concentrent alors sur les aspects les plus précieux de la mission de cyberdéfense.

Julien Champagne Regional Director, France de FireEye

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.