Les entreprises négligent encore renseignement sur les menaces

L’agence européenne pour la sécurité de l’information et des réseaux (Enisa) soulignait encore, début janvier, l’importance du renseignement sur les menaces pour améliorer les postures de sécurité. Elle appelait d’ailleurs à une « simplification du renseignement sur les menaces pour atteindre une adoption plus importante ». Le rapport des McAfee Labs sur la menace informatique au quatrième trimestre 2015 étaye ses propos.

De fait, selon ce rapport basé le sondage de 500 professionnels de la sécurité informatique, en Europe, Amérique du Nord et dans la région Asie-Pacifique, l’adoption du renseignement sur les menaces peut encore largement progresser. Ainsi, seulement 42 % des sondés indiquent utiliser le partage de renseignements sur les menaces. Et pourtant, 97 % de ceux qui y ont recours estiment avoir ainsi amélioré la posture de sécurité de leur organisation.

Mais l’étude met aussi en évidence une forte asymétrie, hélas bien connue : 91 % des professionnels interrogés voudraient recevoir des renseignements sur les menaces, mais ils ne sont que 63 % à être prêts à en partager. Et encore, sous conditions : ils ne le feraient que via un système privé et sécurisé.

Une table ronde organisée à l’occasion de l’édition 2015 du Forum International de la Cybersécurité (FIC) avait déjà permis de mettre en évidence ce phénomène. Les équipements de sécurité de nouvelle génération s’appuient de plus en plus sur le renseignement sur les menaces et sont même capables de remonter à leurs constructeurs des informations collectées chez les clients, sur les menaces détectées. Il s’agit de faire profiter, au plus vite, toute une communauté d’informations pour se protéger. Il y a un peu plus d’un an maintenant, Thibault Signat, chez FireEye, estimait qu’environ 70 % des plateformes du spécialiste de la sécurité déployées dans le monde sont configurées de sorte à autoriser le partage d’informations.

De son côté, Charles Rami, chez ProofPoint, reconnaissait que « le partage d’information avec nos clients n’est pas simple. Ils demandent des garanties, que l’on parvient à démontrer ». Mais cela n’empêche pas ces entreprises utilisatrices de « se poser la question de ce qui est partagé et avec qui, pour en faire quoi ». Charles Rami relevait un « élément fondamental » pour amener des clients à contribuer leurs renseignements sur les menaces : « la confiance vis-à-vis de ceux à qui ils donnent ces informations ». Et d’estimer alors que les organisations d’Europe continentale sont généralement plus frileuses que leurs homologues anglo-saxonnes.

Dans leur étude, les McAfee Labs expliquent que les entreprises sont plus susceptibles de partager des informations relatives au comportement des logiciels malveillants (72 %), qu’à la réputation d’URL (58 %) ou d’adresses IP externes (54 %) et de certificats (43 %) voire de fichiers (37 %).

Pour justifier leur prudence, les professionnels sondés avancent en priorité la politique de l’entreprise (54 %) et les réglementations sectorielles (24 %). Mais près d’un quart des personnes interrogées reconnaissent leur méconnaissance du sujet et 21 % craignent que les informations partagées ne soient susceptibles de permettre d’identifier leur organisation.