INFOGÉRANCE DE RENSEIGNEMENT SUR LES MENACES (THREAT INTELLIGENCE)

Tout ce que vous devez savoir
TÉLÉCHARGER LA VERSION PDF
En regardant avec soin les statistiques, il peut sembler que les entreprises sont toujours condamnées à perdre la bataille de la cybersécurité. Bien que les dépenses mondiales en matière de cybersécurité aient atteint 103 milliards de dollars en 2019 et devraient dépasser 133 milliards de dollars d’ici 2022, les coûts mondiaux liés à la cybercriminalité continuent d’augmenter de façon exponentielle. Les analystes prévoient que la cybercriminalité coûtera aux entreprises 6 milliards de dollars d’ici 2021, soit le double des 3 milliards de dollars qu’elle a coûtés en 2015.
Mais les perspectives ne doivent pas être si sombres. Pour combler l’écart en matière de cybersécurité, nous devons passer de processus traditionnellement réactifs à des tactiques et à des stratégies plus proactives.
L’infogérance de renseignement sur les menaces est un moyen de rendre votre stratégie de cybersécurité plus proactive. Mais dans le contexte du marché plus large de la cybersécurité, les services rendus par des infogérants de renseignement sur les menaces sont relativement nouveaux. Attachons-nous, dans ce guide d’introduction, à identifier pour vous de quoi il s’agit, pourquoi c’est indispensable, comment ce service fonctionne et enfin, en quoi il peut s’intégrer dans votre stratégie de cyberdéfense.

QU’EST-CE QUE L’INFOGERANCE DE
RENSEIGNEMENT SUR LES MENACES?

La première étape pour comprendre la valeur des renseignements sur les menaces consiste à bien maîtriser les informations sur les menaces elles-mêmes. Le renseignement sur les menaces en tant que pratique s’est considérablement développée ces dernières années, renforçant les stratégies de cybersécurité contre des attaques de plus en plus sophistiquées. La définition de Gartner donne un aperçu :

blockquote blockquote

Les renseignements sur les menaces sont des connaissances fondées sur des données probantes, y compris le contexte, les mécanismes, les indicateurs, les implications et les conseils exploitables, concernant une menace ou un danger existant ou émergent pour les actifs à protéger et qui peuvent être utilisées pour éclairer les décisions concernant la réponse du sujet à cette menace ou à ce danger.

Cyberproof

Les renseignements sur les menaces sont devenus un élément crucial de la cybersécurité, car ils vous aident à déterminer de manière proactive quelles menaces représentent les plus grands risques pour votre entreprise. Les informations générées par ces pratiques offrent un aperçu des menaces qui ont dans le passé, vont dans l’avenir ou ciblent actuellement l’organisation, ses employés et ses clients. Ces menaces pourraient potentiellement entraîner une perte de revenus, une diminution de la réputation de la marque, la déstabilisation des opérations, etc. Cette connaissance vous permet d’identifier et de hiérarchiser les causes les plus probables de problèmes afin de pouvoir consacrer vos ressources disponibles là où elles seront les plus efficaces.

Le problème pour de nombreuses entreprises est que les professionnels du renseignement sur les menaces peuvent être difficiles à trouver et que les employer en interne peut s’avérer difficile pour un budget de cybersécurité déjà poussé à ses limites. Il est possible d’acheter simplement des données de renseignements sur les menaces, mais qui va fournir l’analyse et la traduire en mesures correctives ?

C’est là que l’infogérance du renseignement sur les menaces comble une lacune. Lorsque vous établissez une partenariat avec un infogérant de services de renseignement sur les menaces, vous vous assurez que la clé la plus importante du succès est prise en compte, à savoir que les informations générées sont exploitables.

Cyberproof

LES ÉTAPES MENANT À L’INFOGÉRANCE DE RENSEIGNEMENT SUR LES MENACES

Une gestion efficace des informations sur les menaces fournira des informations approfondies sur le contexte dont les ingénieurs de sécurité ont besoin pour protéger correctement les actifs et les systèmes critiques de l’entreprise. Cela implique donc de connaître les menaces spécifiques ciblant votre secteur, qui est à leur origine, quelles sont leurs motivations et quels types de systèmes elles exploitent.

Le moyen le plus efficace de mettre en œuvre un partenariat autour du service de renseignement sur les menaces consiste à transmettre des données exploitables directement à votre centre des opérations de sécurité. Mais lorsque vous commencez tout juste avec des informations gérées sur les menaces, la manière dont les informations sont générées peut ne pas être claire. Pour identifier et se préparer aux cybermenaces qui, autrement, tireraient parti de vos ressources et données stratégiques, le partenaire suivra à peu près le cycle de vie du renseignement, selon les 6 étapes suivantes :

Cyberproof

Direction

Qu’il s’agisse d’un système automatisé basé sur l’apprentissage automatique et l’intelligence artificielle ou des services moins sophistiqués, le fournisseur de service doit fixer des objectifs basés sur des éléments d’information essentiels (EIE) qui seront une partie composante importante des informations exploitables sur les menaces. Cela inclut le type de menace, les acteurs impliqués, l’endroit où la menace se produira, etc.

Collection

Le partenaire spécialisé dans ce domaine doit disposer d’un ensemble unique de sources pour collecter des informations sur les menaces. La qualité des données introduites dans le système de renseignement sur les menaces est essentielle à la réussite globale.

Traitement

Les données recueillies à partir de toutes les sources doivent être traitées et préparées pour une analyse plus approfondie. Cela peut impliquer de déchiffrer les informations, de trier les données en fonction de leur pertinence ou de traduire du texte.

Cyberproof

Analyse

Rassembler les données de toutes les sources et les analyser dans leur ensemble est la composante essentielle de la gestion des informations sur les menaces. C’est là que des informations exploitables sur les modèles et les tendances doivent être identifiées.

Dissémination

Les informations sur les menaces ne doivent pas être fournies sous la forme d’un ensemble de données brutes. Attendez-vous à des rapports de votre partenaire intégrant des évaluations et de possibles plans d’action pour rendre votre cybersécurité proactive.

Retour d’information

Les données générées par les infogérants de renseignements sur les menaces doivent être réinjectées dans les bases de données partagés par les acteurs de la cybersécurité de votre entreprise pour enrichir continuellement l’information.

Cyberproof

L’approche adoptée par un infogérant de renseignements gérés sur les menaces pour ces étapes rendra possible ou impactera négativement sa capacité à protéger votre entreprise. C’est pourquoi il est si important de choisir le bon fournisseur et les bonnes solutions. Bien que chaque étape soit importante, l’étape de collecte peut souvent s’avérer être le facteur différenciant majeur.

SOURCES LES PLUS RICHES POUR LE RENSEIGNEMENT SUR LES MENACES

Un infogérant de renseignements sur les menaces est aussi performant que les données qu’il peut collecter. Comme tout système d’analyse de données, l’intelligence sur les menaces suit le principe que si les données intégrées sont pauvres, le résultat sera lui aussi pauvre. C’est pourquoi il est si important d’évaluer les sources qu’un infogérant de renseignements sur les menaces utilise pour générer les informations qui vous seront précieuses.

Bien que chaque service ait son propre ensemble et sa propre combinaison de sources, les catégories principales sont les suivantes :

Partage des IOC

Le partage d'indicateurs de compromission (IOC) dans le secteur est une pratique essentielle pour découvrir davantage d'informations sur les logs système ou tout fichier modifié indiquant une activité malveillante. Lorsque ces IOC sont documentés ouvertement, il est plus facile d'identifier les problèmes concernant les anomalies de trafic réseau, les privilèges utilisateur compromis, les modifications de fichiers suspectes, etc.

Les flux émanant de l’Open Source

Les informations disponibles librement sont une source essentielle pour les plateformes de renseignement sur les menaces. Tout peut être utile : cela va des médias traditionnels aux publications sur les réseaux sociaux, en passant par les forums de cybersécurité, les blogs publics et plus encore. Tout cela peut être exploité à des fins de renseignement. Ces flux alimentent des pratiques telles que la surveillance de la marque et aident à identifier les problèmes de squattage de domaine.

Informations sur les menaces internes à l’infogérant

Lorsque vous travaillez avec un infogérant de renseignement sur les menaces, vous bénéficiez des informations qu'ils fournissent aux autres clients. Plus votre partenaire peut collecter de données auprès d'autres clients, plus ses algorithmes internes et ses analystes de sécurité en apprendront davantage sur l’écosystème des menaces. Cela, à son tour, vous donnera des informations plus exploitables pour protéger votre entreprise.

Intelligence extraite du Web profond et sombre

Il est essentiel que votre fournisseur de renseignements sur les menaces gérés puisse aller au-delà des informations Open Source pour analyser ce qui se passe dans les forums Web profonds et sombres. La collecte d'informations auprès d'éléments tels que les groupes de hackers Telegram, les QQ (Quantile-Quantile), les IRC (Internet Relay Chat) et une variété de places de marchés, de forums et de plates-formes de partage de fichiers fournira l'occasion d'identifier les actifs volés, les vecteurs de menaces émergents, les analyses de kits d'exploitation et d'autres outils et techniques d'attaquants. Ce sont des communautés hautement exclusives, il est donc inestimable de disposer d'un infogérant de renseignements sur les menaces capable de les connaître, les infiltrer et les déjouer.

Il faut s’attendre à ce qu’un infogérant de renseignements sur les menaces soit capable de penser comme un pirate informatique. La première étape consiste à déployer différents robots d’exploration et systèmes automatisés pour collecter des informations à partir d’une grande variété de sources. Plus la saisie des données est bonne, plus vous tirerez d’avantages des services ciblés de renseignements sur les menaces fournis par votre partenaire.

AVANTAGES DE TROUVER LE BON INFOGÉRANT D'INTELLIGENCE SUR LES MENACES

La vérité sur la cybersécurité est qu’il est tout simplement impossible de se défendre contre toutes les menaces potentielles. Vous n’avez ni le temps, l’argent ou les ressources humaines nécessaires pour gérer tous les scénarios d’attaque possibles. En théorie, c’est l’avantage d’intégrer les renseignements sur les menaces à votre stratégie de cybersécurité – pour restreindre les possibilités de menaces et afficher clairement en interne où sont investies les ressources.

Lorsque vous investissez dans le renseignement sur les menaces et que vous trouvez le bon partenaire, il y a des avantages supplémentaires au-delà de la hiérarchisation des ressources. Des services de renseignement sur les menaces ciblés maximiseront la rentabilité tout en vous assurant de rester au fait des dernières menaces, de devenir plus proactif en matière de cybersécurité et de mieux comprendre le cyber-risque global de votre entreprise.

RESTER AU CONTACT
RESTER AU CONTACT

Les attaquants présentent des menaces nouvelles et plus sophistiquées plus rapidement que les éditeurs de logiciels ne peuvent corriger les vulnérabilités. Au cours des trois dernières années, entre 12 000 et 17 000 nouvelles vulnérabilités sont apparues chaque année, permettant aux attaquants de compromettre les réseaux.

Les infogérants de renseignement sur les menaces vous permettent de suivre le volume souvent écrasant de menaces pesant sur votre entreprise. Cela comprend tout, des nouvelles techniques aux vulnérabilités, en passant par les vulnérabilités « zero-day », les cibles potentielles, les cybermenaces internes et les hackers les plus connus. Faire en sorte qu’un fournisseur s’occupe de cela ne libère pas seulement des ressources internes. Cela vous aide à obtenir des informations plus approfondies qu’une équipe interne limitée.

RENDRE LA CYBER-SÉCURITÉ PLUS PROACTIVE

L'ajout de renseignements sur les menaces à une stratégie de cybersécurité existante ne vous rendra pas automatiquement plus proactif dans la gestion des attaques. En fait, consacrer trop de temps et de ressources à l'intelligence des menaces en interne peut en fin de compte nuire à l'entreprise si cela enlève d'autres domaines de la cybersécurité.

Les infogérants de renseignement sur les menaces éliminent les conjectures pour rationaliser la voie vers une cybersécurité proactive. Vous savez que les informations que vous obtenez sont exploitables et précises, qu’elles vous aident à comprendre les objectifs des pirates informatiques, à anticiper les attaques et à réagir en conséquence avant que votre entreprise ne soit attaquée.

COMPRENDRE
LE CYBER RISQUE

La gestion du renseignement sur les menaces ne consiste pas seulement à identifier une plus grande variété de vecteurs d'attaque potentiels. Le bon partenaire doit également fournir des informations plus approfondies, plus subtiles, sur le cyber-risque global auquel votre entreprise est confrontée. Cela signifie tenir les membres du conseil d'administration, les dirigeants de niveau C, les parties prenantes et les utilisateurs les plus centraux informés des dernières menaces et des répercussions qu'elles pourraient avoir sur l'entreprise. Ces informations ne proviennent pas seulement de données internes, mais également des données collectées concernant d'autres entreprises de votre secteur présentant des caractéristiques similaires.

LES TROIS NIVEAUX D’INTELLIGENCE
SUR LES MENACES

Cyberproof

Les renseignements sur les menaces ne peuvent pas être simplement une question de savoir quelles informations sont reçues. Au contraire, les meilleurs fournisseurs de renseignements sur les menaces veilleront à ce que les informations soient utilisées correctement. Pour ce faire, des services de renseignement sur les menaces les plus en pointe s’intègrent pleinement aux opérations de sécurité, combinant un accès complet aux données avec les meilleurs talents analytiques et une plateforme de renseignement sur les menaces dédiée et intuitive.

 

Cependant, les informations exploitables ne sont pas les mêmes pour toutes les parties prenantes du renseignement sur les menaces. Les informations fournies aux responsables exécutifs de votre entreprise ne seront pas les mêmes que celles confiées au personnel plus technique. C’est la raison pour laquelle le renseignement géré sur les menaces est divisé en trois niveaux distincts : stratégique, tactique et opérationnel. Les infogérants de renseignement sur les menaces les plus complets engloberont les trois.

Cyberproof
Niveau 1 INTELLIGENCE SUR LA
MENACE STRATÉGIQUE

Il s’agit de la catégorie la plus large d’informations sur les menaces qui est généralement adaptée à un public non technique, qu’il s’agisse d’utilisateurs professionnels ou de dirigeants qui ont besoin de comprendre le cyber-risque de l’entreprise.

L’objectif principal ici est de fournir une analyse détaillée des risques actuels et futurs pour l’entreprise. De plus, le renseignement stratégique sur les menaces vise à décrire les résultats possibles des menaces individuelles pour aider les dirigeants à hiérarchiser leurs réponses.

Niveau 2 INTELLIGENCE SUR LA
MENACE TACTIQUE

C’est à ce niveau que les infogérants de renseignements sur les menaces commencent à approfondir les analyses TTP (Tactics, Techniques and Procedures). Ces aperçus des tactiques, techniques et procédures des cyber-attaquants sont destinés à un public plus technique, comme une équipe de mise en place de réseau qui a besoin de comprendre les potentielles vulnérabilités de celui-ci en fonction des dernières façons dont les attaquants ont attaqué avec succès des entreprises.

 

Les informations ainsi obtenues au niveau tactique aideront les équipes de sécurité à prévoir les attaques à venir et à les identifier le plus tôt possible. Lorsque les infogérants de renseignements sur les menaces peuvent fournir des rapports détaillés sur la corrélation entre les cibles des attaquants et les vulnérabilités du réseau, les équipes techniques peuvent hiérarchiser leurs ressources plus efficacement.

Niveau 3 INTELLIGENCE SUR LA MENACE
OPÉRATIONNELLE

Le niveau le plus technique de renseignement sur les menaces est opérationnel, où des détails spécifiques sur les attaques et les campagnes individuelles sont partagés. Les informations fournies par les experts du renseignement sur les menaces à ce niveau comprennent la nature, l’intention et le moment des menaces émergentes. Sans fournisseur spécialisé de renseignement sur les menaces, il s’agit du type d’information le plus difficile à obtenir. Le plus souvent, ils sont collectés via des forums Web profonds et sombres auxquels les équipes internes ne peuvent pas accéder.

 

Les informations sur les menaces opérationnelles sont utilisées par les chasseurs de menaces et les équipes de pentest (red team) pour améliorer la situation de sécurité globale d’une organisation. Ce sont les parties prenantes qui utilisent les informations sur les menaces et les utilisent pour passer d’une cybersécurité réactive à une cybersécurité proactive.

OPTIMISER L’INTELLIGENCE SUR LES MENACES
AVEC SEEMO

Ces dernières années, le point focal de l’innovation en matière d’intelligence de données a été la combinaison du big data, de l’apprentissage automatique et de l’intelligence artificielle. Et il n’est pas surprenant d’envisager que ces technologies promettent de transformer la cybersécurité.

La réalité est que des volumes massifs de données brutes provenant de sources internes et externes dépassent la capacité de tout SOC traditionnel à traiter et détecter tous les IOC potentiels. Lorsqu’ils sont combinés à l’intelligence humaine (HUMINT) et à l’intelligence open source (OSINT), les outils d’intelligence des menaces basés sur l’Intelligence Artificielle peuvent accroître l’efficacité et aider les équipes des opérations de sécurité à faire face aux menaces les plus urgentes. C’est pourquoi nos services infogérés de renseignement sur les menaces sont construits autour de SeeMo, notre analyste virtuel.

SeeMo est un BOT d’apprentissage automatique axé sur l’intelligence qui permet d’automatiser et d’améliorer l’efficacité de diverses activités au sein de la plate-forme CDC (CyberProof Defence Center). SeeMo aide à enrichir les données d’événements, interroge de manière proactive les sources externes et répond aux demandes des analystes pour fournir des informations contextualisées et exploitables. Ceci est réalisé en tirant parti des capacités d’intégration native et d’apprentissage automatique du BOT.

SeeMo peut également automatiser de nombreuses activités répétables de niveau 1 et 2, réduire les faux positifs, enrichir les événements et accélérer les temps de réponse. Certaines des fonctionnalités fournies par SeeMo incluent, sans toutefois se limiter à :

Seemo
Extraire automatiquement les données observables et les informations exploitables contenues dans les événements de sécurité
Enrichir les événements en récupérant de manière proactive des informations à partir de sources externes
Activer l'exécution des commandes CLI (Command Line Interface) pour récupérer des informations spécifiques à partir de sources intégrées
Créez automatiquement des incidents en fonction des alertes et de leurs contextes sans intervention humaine
Exécutez automatiquement les étapes non intrusives dans les playbooks numérisés

Les principaux avantages de SeeMo sont la création et le déploiement rapides d’agents d’analyse, sans intégration complexe ni versionnage du logiciel. Ces agents prennent en charge l’automatisation intelligente de la sécurité et la détection proactive des menaces tout en aidant les principaux acteurs du renseignement sur les menaces (analystes, chasseurs de menaces et équipes rouges) à exécuter des processus de réponse rapide.

Les infogérants de renseignements sur les menaces les plus efficaces permettent la bonne combinaison d’IA et d’expérience de haut niveau en cybersécurité. Les algorithmes ne sont aussi efficaces que par le temps et les efforts nécessaires qui sont investis pour les améliorer et les perfectionner. Grâce SeeMo, CyberProof vous offre la capacité et l’expertise nécessaires sur ces deux thèmes.

Les renseignements sur les menaces gérés par CyberProof prennent en charge la surveillance, la détection, la réponse et la résolution de toute cybermenace à laquelle vous pourriez être confronté, afin que votre entreprise puisse se remettre rapidement de toute attaque et rester en sécurité. C’est la combinaison parfaite de l’intelligence humaine et de la cybersécurité basée sur l’IA qui facilitera votre passage de processus réactifs obsolètes à des défenses proactives plus efficaces.

Lorsque vous êtes prêt à profiter de services avancés et fructueux d’infogérance de renseignements sur les menaces, contactez-nous pour une démonstration gratuite et en savoir plus sur les services de sécurité gérés de CyberProof.

AI threat intelligence

ÊTES-VOUS PRÊTS ?
DISCUTEZ AVEC UN EXPERT DE CYBERPROOF
POUR VOIR COMMENT SEEMO PEUT VOUS AIDER !

PARLEZ À UN EXPERT