Pourquoi disposer d’informations sur les menaces est essentiel

Tout d'abord, ces informations aident les entreprises à mieux définir quels sont leurs actifs pouvant être ciblés par les cybercriminels dans le cadre de tentatives de vol de données ou de diffusion d’informations en ligne. Les cybercriminels qui mènent ce type d’activités peuvent être de profils très différents (de "simples pirates" cherchant à gagner de l’argent en infiltrant les réseaux d’entreprise aux « hacktivistes » qui souhaitent attirer l'attention sur une cause jusqu’aux attaques menées par des États-nations). Les cibles que ces acteurs choisissent peuvent aussi varier selon leurs motivations.

En comprenant mieux la valeur de leurs actifs, puis en cartographiant les contrôles de sécurité et les défenses en corrélation avec les motivations répertoriées et les capacités d’attaque potentielles des cybercriminels, les entreprises font de meilleurs choix en terme d’investissement en sécurité et de déploiement de leurs outils de défenses. En combinant ces informations avec la surveillance des événements externes, la compréhension globale de l’écosystème des menaces n’en devient que meilleure.

L’étude « The Second Annual Study on Exchanging Cyber Threat Intelligence: There Has to Be a Better Way », basée sur une enquête effectuée auprès de 692 spécialistes de la sécurité IT, montre que la plupart des entreprises pensent que la Threat Intelligence  améliore leur capacité à gérer et à atténuer les risques en matière de cybersécurité.

Nous pouvons déduire trois enseignements majeurs de cette recherche :

1) La notion de Threat Intelligence est essentielle pour la mise en place d’une sécurité de haut niveau. 75% des sondés (qui sont impliqués dans les activités ou les processus de renseignements sur la cybersécurité dans leur entreprise) considèrent que la collecte et l'utilisation de informations sur les menaces sont essentielles pour bénéficier d’une sécurité performante.

2) La Threat Intelligence doit être rapide, précise et facile à prioriser. 66% des répondants qui sont peu ou pas satisfaits des approches actuelles en sécurité se plaignent du fait que les informations de sécurité n’arrivent pas en temps voulu et 46% se plaignent du fait qu’elles ne soient pas classées en fonction du type de menace ou d’attaquant.

3) Les entreprises se tournent de plus en plus vers des programmes centralisés, contrôlés par une équipe dédiée. Un énorme obstacle à une collaboration efficace dans l'échange de renseignements sur les menaces est l'existence de silos. La centralisation du contrôle sur l'échange de renseignements sur les menaces est de plus en plus répandue et peut permettre de résoudre ce problème de silos. Savoir que la Threat Intelligence apporte de la valeur est une chose, disposer des ressources nécessaires pour l’utiliser à bon escient en est une autre.

Trois sujets importants viennent compléter cette étude :

Connaître ses actifs et son environnement informatique. Il est indispensable de savoir où se trouvent ses données et systèmes, ainsi que l'infrastructure dont ils dépendent pour fonctionner. Comment les utilisateurs interagissent avec ces systèmes ? Comment sont protégées les données ? Dans quelle mesure ces systèmes sont-ils surveillés pour détecter les intrusions potentielles ?

Connaître les contrôles et les outils de sécurité déployés. Comment sont protégés vos systèmes critiques ? Si votre entreprise n'a pas une bonne vision du rôle des défenses dans la réduction des risques, ni de leur fonctionnement ou de leur niveau d’efficacité, alors votre équipe IT travaille dans le vide. Les entreprises ont besoin d'une évaluation réaliste de la façon dont elles sont protégées contre des attaques spécifiques sur des ressources et des données en particulier. Les entreprises ont besoin de cette compréhension pour savoir non seulement comment elles sont protégées, mais également pour déterminer où elles ont besoin d'investir et de renforcer les défenses existantes.

Construire un système de sécurité immunitaire organisationnel. Que fait le corps humain quand il détecte une menace ? Il fournit une réponse immunitaire appropriée. De la même façon les entreprises doivent non seulement s’informer des menaces mais être en mesure de prendre les bonnes décisions en réaction à celles-ci. C’est un domaine où de nombreuses entreprises échouent. En effet, elles ne développent pas suffisamment leur capacité à répondre aux informations fournies par la Threat Intelligence. C’est pourquoi, pour capitaliser sur ces informations, il est impératif d’investir et de mettre en place des équipes de réponse aux incidents et d’avoir des lignes de communication ouvertes pour être en mesure de déployer rapidement des nouveaux moyens de défense basés sur les nouvelles menaces.