Sergey Nivens - Fotolia
Le renseignement sur les menaces peine à donner sa pleine valeur
Les entreprises anglo-saxonnes apparaissent submergées par une « threat intelligence » qui s’avère difficile à mettre pleinement à profit.
Les plateformes d’industrialisation de l’exploitation du renseignement sur les menaces, telles que celles d’Anomali, de ThreatConnect ou encore de ThreatQuotient, installé en France depuis le printemps, semblent promises à un bel avenir. C’est du moins ce que laisse imaginer la lecture de l’étude récemment réalisée, pour le premier, par l’institut Ponemon, auprès de 1 072 professionnels de l’IT et de la sécurité des systèmes d’information entre Amérique du Nord et Royaume-Uni.
Pour 70 % d’entre eux, les données relatives aux menaces s’avèrent ainsi trop nombreuses et/ou trop complexes pour fournir des informations effectivement exploitables. Et plus de la moitié des sondés d’estimer qu’un analyste spécialisé est « essentiel pour maximiser la valeur des renseignements sur les menaces ». En somme, ces renseignements peuvent fournir des éléments de contexte importants pour la réponse aux incidents (46 %) – ce que soulignaient d’ailleurs des experts dans nos colonnes récemment –, mais des efforts importants sont requis pour cela.
Et peu d’organisations semblent, en définitive, disposer des ressources appropriées pour cela : seulement 27 % des sondés estiment que leurs organisations exploitent efficacement les données de renseignement sur les menaces. Pour 69 % des sondés, c’est le manque d’expertise qui les pénalise, contre 52 % pour le manque de technologie adéquate. A noter aussi 46 % des sondés qui considèrent que les données ne sont pas suffisamment fiables ou précisent pour mettre en évidence des indicateurs de compromission.
Mais à en croire l’étude Ponemon, les plateformes de gestion des renseignements sur les menaces sont encore loin de la maturité que les entreprises pourraient attendre d’elles pour effectivement retirer toute la valeur du renseignement sur les menaces. Ainsi, malgré les résultats précédents, 42 % des sondés indiquent déjà utiliser une telle plateforme. Et 12 % précisent prévoir d’en déployer une sous 12 mois. Mais ces plateformes ne sont peut-être pas triviales à l’usage : parmi les 36 % de sondés qui n’envisagent pas de recourir à une telle plateforme, 56 % se justifient par le manque d’expertise interne, tandis que 48 % évoquent le coût des solutions qui prévalent sur le marché, ou encore 40 ù le manque de technologies « appropriées ».
Qui plus est, les plateformes censées aider à industrialiser l’exploitation du renseignement sur les menaces n’apparaissent pas simplifier considérablement la tâche de leurs utilisateurs. Ainsi, prioriser le renseignement sur les menaces apparaît très difficile pour 24 % des sondés même avec une telle plateforme – contre 35 % sans –, ou encore difficile avec (29 % contre 35 % sans), et même « quelque peu difficile » pour 24 % (avec et 21 % sans)… Encore jeunes, les plateformes de gestion du renseignement sur les menaces semblent donc avoir grandement besoin de gagner en maturité. Et cela alors même que les principaux consommateurs de ces renseignements sont, de très loin, les RSSI, les membres des équipes de réponse aux incidents, ou encore les DSI, loin devant les exploitants IT et les équipes de gestion du risque.
L’intégration apparaît en fait particulièrement essentielle et, en même temps, peu satisfaisante. Pour 62 % des sondés, l’intégration avec système de gestion des informations et des événements de sécurité (SIEM) est nécessaire pour retirer toute la valeur du renseignement sur les menaces. Mais pour 64 % des sondés, cette intégration avec des outils tiers (SIEM ou autre) reste difficile et fortement chronophage.