Petrovich12 - Fotolia

Renseignement sur les menaces : une démarche jeune mais déjà critique

Le recours au renseignement sur les menaces pour renforcer l’agilité des systèmes de défense est un phénomène encore récent. Sans surprise, l’exercice est encore difficile. Mais il s’avère de plus en plus indispensable.

Le renseignement sur les menaces n’est pas un luxe. C’est l’agence européenne pour la sécurité des réseaux et de l’information (Enisa) qui le soulignait début 2016. Dans son bilan sur l’état de la menace informatique l’année précédente, elle appelait ainsi à une « simplification du renseignement sur les menaces pour atteindre une adoption plus importante », à un « travail sur les modèles d’agents malicieux pour les intégrer au renseignement sur le menaces », ou encore à « créer des informations sur les menaces corrélées, contextualisées, pour les rendre pertinentes plus longtemps ».

Une approche encore jeune

Craig Williams, responsable de l’équipe Talos Outreach de Cisco, soulignait quelques mois plus tard l’enjeu ainsi que les progrès accomplis : « on en parle depuis plusieurs années, mais cela n’avait rien à voir avec ce que l’on observe aujourd’hui. […] Actuellement, lorsque l’on parle renseignement sur les menaces, on parle de quelque chose qui permet de faire le lien entre menaces et acteurs malveillants. Et lorsque l’on sait qui est susceptible d’être à l’origine d’une menace, on est plus à même de savoir ce qu’il cherche et il devient plus facile de bloquer la menace ».

C’est donc la défense contre les attaques qui progresse au passage.

Mais pour en tirer pleinement profit, Craig Williams recommande une approche « orientée sur la menace, en étant capable de faire passer les informations techniques sur la menace d’un équipement à l’autre en quasi-temps réel ».

Pour autant, selon une étude publiée par McAfee en mars l’an passé, seulement 42 % des professionnels de la sécurité mettent à profit le renseignement sur les menaces.

Pourtant, 97 % de ceux qui y ont recours estiment avoir amélioré la posture de sécurité de leur organisation.

Mais le fait est que le renseignement sur les menaces n’est pas simple à exploiter. Une étude réalisée par l’Institut Ponemon pour ThreatQuotient, publiée à l’automne dernier, laissait ainsi à voir des entreprises anglo-saxonnes submergées par une « threat intelligence » difficile à mettre pleinement à profit.

Du renseignement difficile à exploiter

Pour 70 % des sondés, les données relatives aux menaces s’avèrent ainsi trop nombreuses et/ou trop complexes pour fournir des informations effectivement exploitables. Et plus de la moitié des professionnels interrogés estimaient qu’un analyste spécialisé est « essentiel pour maximiser la valeur des renseignements sur les menaces ».

En somme, ces renseignements peuvent fournir des éléments de contexte importants pour la réponse aux incidents (46 %) – ce que soulignaient d’ailleurs des experts dans nos colonnes récemment –, mais des efforts importants sont requis pour cela.

Et peu d’organisations semblent, en définitive, disposer des ressources appropriées : seulement 27 % des sondés estiment que leurs organisations exploitent efficacement les données de renseignement sur les menaces. Pour 69 %, c’est le manque d’expertise qui les pénalise, contre 52 % pour le manque de technologie adéquate.

A noter aussi, 46 % des sondés considèrent que les données ne sont pas suffisamment fiables ou précises pour mettre en évidence des indicateurs de compromission.

Volume croissant, qualité variable

Jonathan Couch, vice-président sénior de ThreatQuotient ne dit pas autre chose. Evoquant le volume des renseignements sur les menaces, il le reconnaît : « nous en recevons beaucoup et souvent, il ne s’agit que de données brutes sur les menaces ». Ces données techniques parcellaires « nécessitent beaucoup de travail d’analyse avant de pouvoir accompagner le processus de prise de décision ».

Alors certes, ces flux de renseignements techniques ont vocation à automatiser l’adaptation des mécanismes de protection de l’infrastructure en fonction de la menace. Mais là encore, selon Jonathan Couch, l’échec de l’utilisation opérationnel de ces flux est patent : ils ne font pas l’objet d’un travail de curation suffisant en amont pour qu’il soit facile et rapide d’identifier « ce qui s’applique à son environnement ».

Une toute récente étude d’ESG pour l’éditeur le confirme : 72 % des sondés estiment que l’analyse des données de renseignement contextuelles sont plus complexes qu’il y a deux ans. Dans un communiqué de presse, ThreatQuotient pointe « un manque cruel de compétences en cybersécurité » et des processus encore largement manuels pour « agréger et analyse les renseignements collectés sur la menace ».

Les plateformes de gestion du renseignement peuvent aider. Mais selon l’étude Ponemon, elles manquaient encore, l’an passé, de maturité.

Chercher l’efficacité

Dans ce contexte, quelques conseils peuvent aider les entreprises en se concentrant sur les indicateurs de compromission les plus pertinents pour détecter et répondre aux menaces.

Cela implique de commencer non par les flux de renseignements externes, mais par les données générées par son infrastructure interne.

Pour James Carder, RSSI de LogRythm, « la meilleure source de renseignement sur les menaces, ce sont vos propres données Il faut donc une infrastructure de surveillance appropriée, pour être capable de collecter des adresses IP, des noms de domaines malicieux, des empreintes de fichiers et autres indicateurs de compromission liés aux attaques au sein de son organisation.

Il faut aussi utiliser ces informations pour rapidement identifier des attaques comparables par la suite. L’objectif est d’avoir les contrôles nécessaires pour identifier menaces attendues et inattendues et corréler ces comportements avec les menaces déjà connues.

Mieux vaut donc se concentrer sur des volumes de données limités, mais qui aideront à répondre à des questions telles que « et donc ? », pour pouvoir identifier les menaces concernant effectivement son organisation.

Une approche centrée sur les risques

Pour réussir, il faut commencer par connaître les cibles potentielles – là où se trouvent les ressources les plus précieuses – et savoir comment elles sont protégées. Quitte à adopter la perspective de l’attaquant.

Car pour que le renseignement sur les menaces porte véritablement ses fruits, il est nécessaire d’avoir une fine compréhension des risques qui concernent l’entreprise. De fait, certaines menaces sont sans intérêt parce qu’elles ne concernent aucun actif de l’organisation.

Et surtout, il convient - pour éviter la surchauffe - de démarrer modestement, sur les éléments et les périmètres les plus critiques en cherchant à retirer quelques premiers succès, comme la capacité à anticiper un événement qui aurait pu survenir, ou simplement de démontrer qu’il aurait pu survenir.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close