Il est largement admis que les renseignements sur les menaces sont nécessaires pour établir une posture de sécurité solide. Pourtant, alors que de nombreuses entreprises affirment qu’elles développent une image des attaques et des attaquants avant qu’ils ne menacent votre entreprise, leurs flux de données peuvent causer plus de problèmes qu’ils n’en résolvent. Seul un quart des professionnels de la sécurité estiment qu’ils utilisent efficacement les données sur les menaces. Cet article vous explique comment obtenir des informations actualisées et pertinentes sur les menaces que vous pouvez utiliser pour protéger votre entreprise.
5 MIN. LIRE
Gardez vos amis proches, mais vos ennemis encore plus proches. C’est un bon conseil non seulement pour les intrigues de palais, mais aussi pour ceux qui travaillent dans la sécurité des entreprises.
À l’ère des cyberattaques changeantes et omniprésentes, chaque entreprise doit savoir où se situent ses risques. Vous devez comprendre vos ennemis potentiels afin de pouvoir anticiper comment et où ils attaqueront, déterminer votre probabilité d’être piraté et préparer votre réponse lorsque vous deviendrez inévitablement une cible.
Les renseignements sur les menaces sont nécessaires pour développer une image des attaques et des attaquants, avant qu'ils ne menacent votre entreprise, afin que vous puissiez être préparé si et quand ils attaquent. 78 pour cent des professionnels de la sécurité estiment que la veille sur les menaces est nécessaire pour construire une posture de sécurité solide, selon une enquête menée l'année dernière par le Ponemon Institute.
Pourtant, alors que de nombreuses entreprises affirment offrir des renseignements sur les menaces, les flux de données qu’elles fournissent peuvent créer plus de problèmes qu’ils n’en résolvent. 70 % des professionnels de la sécurité ont constaté que les flux de renseignements sur les menaces génèrent trop de données pour qu'elles soient utiles ou exploitables. Seul un quart des professionnels de la sécurité pensaient qu’ils utilisaient les données sur les menaces pour lutter efficacement contre les attaquants.
Soixante-dix-huit pour cent des professionnels de la sécurité estiment que les renseignements sur les menaces sont nécessaires.
Les entreprises ont besoin d’informations actualisées et pertinentes sur les menaces applicables à leurs activités et aux données qu’elles traitent. Voici quelques moyens d’y parvenir :
Les renseignements sur les menaces devraient donner une bonne image globale des tendances d’attaque susceptibles d’affecter votre entreprise. Toutefois, les informations recueillies à partir des données sur les menaces doivent se concentrer sur les risques les plus importants pour votre entreprise ou organisation en particulier.
Les renseignements sur les menaces doivent être filtrés à travers le prisme de la technologie réellement utilisée dans votre entreprise, ce qui signifie que vous devez avoir une idée claire de ce sur quoi votre organisation s'appuie. Une entreprise qui ne s’appuie pas sur les bases de données Oracle, par exemple, peut ignorer en toute sécurité les vulnérabilités affectant ce produit et les menaces qui le ciblent. En outre, les équipes de sécurité doivent évaluer les fournisseurs de la technologie utilisée dans leur entreprise. Si les fournisseurs ou les développeurs de la technologie ne prêtent pas attention aux menaces ciblant leurs logiciels et n’y remédient pas, l’entreprise doit alors faire pression sur eux pour qu’ils le fassent.
Les attaquants se concentrent souvent sur un secteur spécifique. Les entreprises du secteur financier, de la santé et de l’électricité, par exemple, ont toutes été ciblées par des groupes spécifiques. C’est pour cette raison qu’il est important d’être attentif aux menaces qui pèsent sur votre secteur d’activité spécifique.
Les entreprises ont besoin d’informations actualisées et pertinentes sur les menaces, applicables à leurs activités et aux données qu’elles traitent.
Une façon possible de développer ce type de renseignement est de rejoindre un centre de partage et d’analyse d’informations (ISAC) ou une organisation (ISAO) . Les ISAC se concentrent généralement sur les groupes d’infrastructures critiques, tels que l’énergie ou la finance, tandis que les ISAO se concentrent sur des sous-segments spécifiques de l’industrie, tels que les processeurs de cartes de crédit ou les hôpitaux.
Ces groupes comptent toutefois sur vous pour leur fournir des données sur les menaces qui ciblent votre réseau. Bien que de nombreux groupes comptent des membres qui se contentent de recueillir des informations, les groupes les plus solides sont ceux dont les membres partagent également librement des informations sur les menaces qu’ils observent. Bien que ce type de partage puisse déclencher des sonnettes d’alarme chez les dirigeants d’entreprise, les professionnels de la sécurité peuvent développer des réseaux plus petits et plus soudés au sein de leur propre secteur.
La manière la plus utile d’exploiter les renseignements sur les menaces est peut-être de s’inspirer de ses pairs : des renseignements créés par des humains pour des humains. La comparaison des notes avec vos pairs en matière de sécurité vous aide à mieux interpréter les données sur les menaces et fournit le contexte nécessaire pour façonner la conception de votre programme de sécurité afin de faire face aux nouvelles menaces.
Alors que de nombreux fournisseurs se tournent vers des flux de renseignements couplés à des fonctionnalités permettant d'analyser et de réagir aux données lisibles par machine, ces données à elles seules peuvent présenter une image incomplète et fragmentée à moins que vous ne fournissiez le contexte pour les rendre exploitables.
Sara Boddy dirige actuellement F5 Labs, la division de reporting des renseignements sur les menaces de F5 Networks. Elle est arrivée chez F5 après avoir travaillé chez Demand Media où elle était vice-présidente de la sécurité de l'information et de la veille stratégique. Sara a dirigé l'équipe de sécurité chez Demand Media pendant 6 ans. Avant de rejoindre Demand Media, elle a occupé divers postes de conseil en sécurité de l'information pendant 11 ans chez Network Computing Architects et Conjungi Networks.