Cet article fait partie de notre guide: Le défi d'une gestion globale de la sécurité

Le renseignement sur les menaces gagne en maturité

Un analyse du cabinet Forrester a indiqué aux participants à RSA Conference que les programmes de renseignement sur les menaces gagnent en maturité en entreprise. Et ce malgré des obstacles tels que des technologies naissantes et des compétences difficiles à trouver.

Selon Rick Holland, analyste au sein du cabinet Forrester, le renseignement sur les menaces peut aujourd’hui se comparer à l’entraînement d’un enfant à aller sur le pot : c’est risqué et cela peut aisément déboucher sur pas mal de capharnaüm. Mais avec les bonnes ressources en personnel et en technologie, le défi peut être relevé et les résultats en vaudraient la peine.

Lors d’une session consacrée au sujet cette semaine, à la RSA Conference, Rick Holland a utilisé cette analogie pour souligner que le renseignement sur les menaces devient de plus en plus un impératif pour les entreprises. Mais construire un tel programme et le faire progresser au point qu’il puisse soutenir les objectifs stratégiques de l’organisation prend souvent beaucoup plus de temps qu’entrevu initialement.

S’appuyant sur des données issues de l’étude 2014 de Forrester sur la sécurité, Rick Holland estime que, au cours des deux dernières années, plus des trois quarts des entreprises américaines ont indiqué comme prioritaire d’établir ou d’améliorer un programme de renseignement sur les menaces au cours des 12 prochains mois.

L’analyse assure en outre avoir travaillé avec nombre d’entreprises ayant construit ce type de programmes depuis plusieurs années. L’occasion pour lui de développer un modèle de maturité dans le domaine, qui souligne ce dont est capable le programme. Un point important car tous ne se valent pas : « Ce n’est pas parce que vous avez un programme de renseignement sur les menaces que vous allez résoudre tous vos problèmes ».

Différents niveaux de maturité dans le renseignement

Le modèle de maturité de Rick Holland commence donc avec « la tête dans le sable », en mode autruche, pour les entreprises qui n’ont pas encore lancé de programme de renseignement sur les menaces, souvent parce qu’elles pensent ne pas être une cible pour les attaquants.

Vient ensuite le niveau « Pac Man » pour les organisations qui viennent tout juste de commencer, cherchant souvent à consommer autant de sources d’information que possible.

De là, les entreprises passent au niveau « tacticool » du modèle. Là, elles ont restreint le nombre de sources qu’elles utilisent en s’appuyant sur leur profil de menace. Mais elles ne sont pas encore capables de mesurer complètement la valeur de leurs sources, surtout lorsqu’il s’agit de les comparer.

La plupart des organisations sous-estiment le temps nécessaire (jusqu'à 4 ans) pour gagner en maturité dans le renseignement sur les menaces

Rick Holland, Forrester

Vient ensuite le niveau « Tweener » : là, les organisations commencent à faire leurs premiers pas vers un programme stratégique, en découvrant comment augmenter la valeur de leurs sources de renseignement et l’intégrer à un programme de sécurité plus vaste.

L’avant-dernier niveau du modèle, appelé avec ironie « strategerie », concerne les organisations qui utilisent enfin le renseignement pour prendre des décisions métiers informées.

Seules les organisations les plus avancées atteignent le niveau final, « l’illumination », après plusieurs années de travail sur le renseignement sur les menaces et la découverte de moyens spécifiques d’innovation.

Malheureusement, relève Rick Holland, la plupart des organisations sous-estiment le temps nécessaire pour gagner en maturité dans ce domaine. Partant des entretiens qu’il a conduit avec près de deux douzaines d’organisations utilisant le renseignement sur les menaces, l’analyste estime qu’il faut souvent 12 mois pour lancer un programme de base, puis 18 à 24 mois pour adopter une approche plus stratégique. Et pour un programme complet, mûr, il faut compter jusqu’à 4 ans d’efforts.

Dans l’audience, Ryan Eads, directeur en charge de la gestion des incidents et de l’évaluation des menaces chez Navient, a indiqué être surpris que les capacités de renseignement aient gagné en maturité à ce point, alors que la plupart des entreprises ont - au mieux - tout juste commencé à s’en servir.

Le prix du renseignement ? Cher...

Reste que les programmes de renseignement sur les menaces sont coûteux. Pour Holland, le niveau « tacticool » s’atteind moyennent une facture dans la fourchette basse des 7 chiffres. Mais l’analyse assure avoir vu une compagnie d’assurance dépenser 20 M$ en renseignement sur les menaces : « bien sûr, certaines organisations peuvent gagner en maturité bien plus vite, en fonction des ressources dont elles disposent ».

De nombreux autres éléments ajoutent au risque de construire un programme interne de renseignement sur les menaces. En particulier, pour Rick Holland, il y a une réalité : réussir un tel programme demande des effectifs spécifiques, et ces recrues ne doivent pas seulement être hautement formées, elles doivent également être grassement rémunérées.

Et puisque que recruter les bons profils s’avère particulièrement difficile, Rick Holland recommande des mesures spécifiques, comme le développement d’une implantation dans les communautés où sont présentes des unités militaires. Participer là à des groupes industriels et développer des relations avec les personnels militaires et gouvernementaux poserait les bases, selon l’analyste, pour les recruter une fois leurs obligations passées.

Rick Holland recommande également de non se rapprocher des écoles supérieures et des universités locales dotées de cursus en cybersécurité, mais également de rejoindre leur conseil d’administration. Ainsi, il est possible d’avoir une influence directe sur la manière dont ces cursus intègrent des disciplines telles que le renseignement sur les menaces. De quoi construire une source de jeunes recrues prêtes pour un programme de renseignement interne.

Une fois les employés recrutés, Holland recommande de travailler étroitement avec les responsables des ressources humaines pour établir des exceptions aux limites des augmentation : selon lui, ces collaborateurs passeront à la concurrence s’ils ne sont pas augmentés d’au moins 10 % par an.

« Si vous perdez ces collaborateurs, vous retardez votre programme », estime l’analyste. Et d’expliquer avoir discuté avec un client qui avait atteint le stade « tweener » : « mais il a perdu 3 personnes et est redescendu au niveau ‘tacticool’. Il lui a semblé qu’il lui faudrait 12 mois de plus pour retrouver le niveau qu’il avait atteint ».

Quelles sources de renseignement ? Les sources internes pour commencer !

Un autre problème est que le paysage des fournisseurs s’étoffe rapidement, faisant déjà la distinction entre différents types de fournisseurs de renseignements – open source, humain, technique de bas niveau, adversaires, vulnérabilités, sans compter un groupe émergent de fournisseurs plus stratégiques dont Surfwatch Labs et Cytegic – et fournisseurs de plateformes, fournisseurs d’enrichissements de données, et spécialistes de l’intégration.

Rick Holland recommande fortement d’investir dans une véritablement plateforme d’intégration de renseignements sur les menaces pour faciliter, justement, l’intégration : « cela peut être très complexes. C’est plus que de l’administration ; c’est de l’analyse et de l’intégration. Dès lors, avec une plateforme, il est possible d’assurer l’intégration à partir d’un seul point ».

Qui plus est, tous les produits n’offrent pas des données de renseignement standardisées, compliquant encore l’intégration. Heureusement, toutefois, un nombre croissant de fournisseurs commence à utiliser le standard émergent STIX pour améliorer l’interopérabilité.

Et au-delà de tout cela, de nombreuses organisations commettent des erreurs clés qui minent leur programme de renseignement sur les menaces avant même qu’il ne soit opérationnel.

Ainsi, souvent, les organisations ne réalisent pas que leurs propres incidents de sécurité constituent leur meilleure source de renseignement sur les menaces : les entreprises doivent donc commencer par s’attacher à découvrir et analyser leurs propres données sur les menaces avant d’investir dans des sources externes.

En outre, de trop nombreuses organisations cherchent à partager leurs renseignements avec des tiers avant d’avoir été capables d’agir de manière consistante avec les données qu’elles collectent et consomment.

Aller plus vite

Résumant ses recommandations pour les organisations cherchant à se lancer dans le renseignement sur les menaces, Rick Holland explique que les premières étapes consister en une analyse des manques pour déterminer les capacités de collecte de données de sécurité concernant les postes clients, les réseaux, les services Cloud, et les éléments tiers.

Les 6 stades de la maturité du renseignement sur les menaces

Selon Forrester, ces niveaux de maturité sont, dans l'ordre :

  1. La tête dans le sable
  2. Pac Man
  3. Tacticool
  4. Tweener
  5. Strategerie
  6. Illumination

Il conseille également de constituer des dossiers sur les incidents de sécurité passés. L’occasion de relever que de nombreuses organisations utilisent de simples feuilles de calcul ou des sites SharePoint pour cela.

Ensuite, l’analyste relève que les organisations devraient définir leurs besoins en renseignements sur les menaces à partir de leur profil de menace, et cela avant de développer une stratégie pour recruter, former et conserver les équipes dont elles ont besoin.

Enfin, il souligne que des programmes de renseignement mûrs et réussis offrent des résultats impressionnants. Mais que les organisations qui veulent se lancer doivent garder à l’esprit les risques associés.

 

Avec nos confrères de SearchSecurity.com (groupe TechTarget)

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close