Des analystes noyés sous le renseignement sur les menaces

Début novembre, ThreatQuotient dévoilait les résultats d’une étude réalisée par l’institut Ponemon et montrant que les entreprises peinent à retirer de la valeur du renseignement sur les menaces. La faute à « trop » de renseignement ? Oui, répond pour faire court Jonathan Couch, vice-président sénior de ThreatQuotient.

A l’occasion d’un entretien avec la rédaction, il développe : « nous en recevons beaucoup et souvent, il ne s’agit que de données brutes sur les menaces ». Des données techniques, parcellaires, « qui nécessitent beaucoup de travail d’analyse avant de pouvoir accompagner le processus de prise de décision ».

Alors certes, ces flux de renseignements techniques ont vocation à automatiser l’adaptation des mécanismes de protection de l’infrastructure en fonction de la menace. Mais là encore, selon Jonathan Couch, l’échec de l’utilisation opérationnel de ces flux est patent : ils ne font pas l’objet d’un travail de curation suffisant en amont pour qu’il facile et rapide d’identifier « ce qui s’applique à son environnement ».

Mais si les entreprises peinent à valoriser pleinement le renseignement sur les menaces, c’est aussi par manque de travail sur ses consommateurs en interne : « le renseignement doit soutenir la mission de protection et de défense, mais également celle de réponse à incident, et enfin l’activité dans son ensemble ». Et Jonathan Couch de prendre l’exemple d’une banque qui développe des applications mobiles : « il faut connaître les menaces spécifiques » à ce domaine et à ce secteur pour assurer leur adoption.

Dès lors, pour lui, « il est nécessaire d’identifier les consommateurs de renseignement sur les menaces et d’adapter contenus et formats à chacun d’entre eux ». Et cela tout en tenant compte de l’organisation même de l’entreprise : celle qui confie toute sa sécurité à prestataire externe (Managed Security Services Provider, MSSP) n’aura évidemment pas les mêmes besoins que celle qui ne confie à un MSSP que sa supervision et garde en interne une équipe de réponse à incident.

Mais l’effort d’adaptation va plus loin. Certes, le RSSI peut communiquer au conseil d’administration le nombre d’attaques bloquées au cours du dernier trimestre. « Mais cela ne va pas forcément être très parlant ni très convaincant. Alors qu’indiquer que l’on a bloqué une attaque susceptible d’affecter la fabrication d’un produit contribuant fortement au chiffre d’affaires est plus éloquent. Cela permet de montrer que la sécurité informatique contribue à protéger l’activité ». Un point d’autant plus important que, malgré le mantra marketing selon lequel la sécurité est un « enabler », de facto, elle reste majoritairement perçue comme un poste de dépense.

Au-delà, l’intégration avec les outils des analystes spécialistes de la réponse à incident reste limitée : « ils jonglent encore beaucoup avec 21 onglets dans leur navigateur et trois tableurs Excel. Notre travail est de simplifier l’intégration avec leurs outils de travail ».

Reste la question du travail de curation sur les flux de renseignements : l’intelligence artificielle n’a-t-elle pas là un rôle jouer ? Pour Jonathan Couch, la réponse est évidente et positive. Mais pas seule : « il reste nécessaire d’alimenter le système avec des modèles. L’apprentissage machine non supervisé doit encore faire ses preuves ». Ce qui n’empêche pas ThreatQuotient de vouloir participer à l’écosystème du projet Watson for cybersecurity d’IBM. Et cela tombe bien : depuis le mois de mai, Big Blue travaille justement à l’entraînement de son intelligence artificielle aux notions liées à la sécurité informatique avec plusieurs universités. Et il vient tout juste d’ouvrir ce projet en phase beta à 40 de ses clients à travers le monde.