stock.adobe.com
Choisir une plateforme de détection et de renseignement sur les menaces
Déployer des plateformes de détection des menaces et de gestion du renseignement sur celles-ci est l’une des manières les plus intelligentes de protéger les actifs précieux de son organisation. Mais il faut s’assurer de savoir choisir les outils les plus adaptés.
Il y a plusieurs années, ma société, Nemertes, a signalé les plateformes de détection et de renseignement sur les menaces comme l’une des technologies qui font la différence dans les organisations où la cybersécurité est un succès, et tout particulièrement en termes de délai moyen de confinement des menaces. Mais un peu moins que l’on ne pourrait s’y attendre, compte tenu des apports évidents de tels outils.
Il s’avère que l’éventail d’offres en la matière est relativement large. Mais ce n’est pas parce qu’un fournisseur facture ses offres comme « détection et renseignement sur les menaces » qu’elles répondent aux besoins réels des professionnels de la cybersécurité en entreprise. Les cartes ont donc été brouillées par des gens qui disaient utiliser le renseignement sur les menaces, mais qui n’utilisaient en fait guère plus que les anti-maliciels traditionnels alimentés par des listes de signatures.
Qu’est-ce qu’une plateforme de renseignement sur les menaces ?
Qu’entendons-nous donc par détection et renseignement sur les menaces ? Et comment être sûr de bien faire les choses, c’est-à-dire de se procurer les produits et services qui apportent une valeur réelle ?
Le problème comporte deux volets.
Le premier est de savoir ce qui se passe dans son environnement, et si l’un de ces éléments représente une menace ou une attaque. C’est la partie la plus facile, du moins sur le plan conceptuel. Elle peut être techniquement difficile à réaliser – c’est pourquoi l’emploi des professionnels de la cybersécurité n’apparaît pas particulièrement menacé pour un certain temps –, mais fondamentalement, elle est contenue par les limites de l’environnement.
Le second volet est plus complexe, mais potentiellement plus précieux : comprendre ce qui se passe au-delà de son environnement en général et déterminer s’il y a là des menaces – et, si oui, à quelle échéance. Comme le diraient les mathématiciens, il s’agit d’un problème non borné.
Il existe de nombreuses solutions techniques au premier problème (savoir ce qui se passe dans son environnement et déterminer si c’est une menace) : de l’antivirus traditionnel aux systèmes de détection et de prévention des intrusions, en passant par les outils de détection d’anomalies comportementales. Et parce que ce volet est fondamental, si vous ne disposez pas de ces produits, commencez ici. Si vous n’avez pas la connaissance et la compréhension des menaces qui pèsent aujourd’hui sur votre environnement, vous n’êtes pas prêt à faire face aux menaces futures.
Les solutions à la seconde partie du problème relèvent plus de l’art que de la science. Votre fournisseur doit avoir l’expérience nécessaire pour savoir quels sont les domaines du paysage des menaces à examiner et, au sein de ces domaines, lesquels sont les plus susceptibles de s’appliquer à vous ou, du moins, à des organisations comme la vôtre. Le fournisseur doit avoir une idée du délai dans lequel ces menaces apparaîtront, des zones géographiques les plus exposées et de la manière dont les menaces évolueront. Et, bien sûr, il doit savoir quoi faire face à ces menaces, à la fois maintenant et à l’avenir.
Si vous êtes une banque, par exemple, le fournisseur doit savoir quels types d’attaques visant les institutions de services financiers sont à la mode et comment elles évoluent. Et il devrait pouvoir vous conseiller sur les caractéristiques des entreprises qui sont capables de résister avec succès à de telles attaques.
Mais pour être vraiment efficace, vous voulez que ces produits vous permettent de vous placer dans l’anticipation, c’est-à-dire qu’ils vous donnent des indicateurs avancés sur ce qui pourrait se profiler à l’horizon et sur la probabilité que cela vous affecte. Cela exige une connaissance beaucoup plus large et en même temps plus fine, du paysage des menaces.
Comment choisir son système de détection et de renseignement sur les menaces
Qu’est-ce que tout cela implique pour le choix d’une plateforme de détection et renseignement sur les menaces ?
Tout d’abord, l’accent doit être mis sur le renseignement, en particulier lorsqu’il s’agit d’obtenir un avis extérieur. Votre fournisseur doit être en mesure de documenter l’accès à un large éventail de sources de données, au-delà de ce qui se passe dans votre environnement. Il peut s’agir d’informations (dûment anonymisées et consolidées) provenant d’autres clients, de consortiums industriels ou d’autres tiers – de nombreux acteurs de la cybersécurité collaborent dans l’analyse et le suivi des menaces.
Demandez à votre fournisseur : « comment vous informez-vous des menaces émergentes ? » Et poussez-le à vous donner des réponses.
Ensuite, il convient de prêter attention à l’expérience du prestataire avec des entreprises comme la vôtre. Possède-t-il une connaissance approfondie et une expertise des entreprises de votre secteur d’activité, de votre zone géographique et de votre taille ? Si oui, cela peut vous aider à élaborer des stratégies de protection contre les menaces.
Enfin, parlons des aspects techniques des services de « renseignement » fournis. Proviennent-ils de l’intelligence artificielle ? De l’apprentissage automatique ? D’analystes humains ? Ou d’une combinaison de tout cela ? Le renseignement le plus efficace est l’intuition humaine assistée par l’IA. L’IA peut indiquer la forme des menaces émergentes et sensibiliser à des menaces qui n’auraient peut-être pas été envisagées ; ou encore aider à la corrélation. Mais il faut un humain – de préférence, une personne qui connaît bien votre secteur d’activité – pour discuter de l’impact opérationnel de vos stratégies d’atténuation des menaces.
En résumé, le déploiement de plateformes efficaces de détection et de renseignement sur les menaces est l’une des mesures les plus intelligentes que vous puissiez prendre pour protéger votre entreprise. Cela signifie qu’il faut tenir compte des deux composantes de la solution : l’instrumentation de votre environnement et des outils de protection en place, et le déploiement de services de renseignement pour fournir une alerte précoce sur les menaces émergentes.