Sergey Nivens - Fotolia

Comment le renseignement sur les menaces profite à la cybersécurité

Le renseignement sur les menaces informatiques est essentiel pour comprendre les risques externes courants. Apprenez comment trouver les bons flux de renseignement, et comment leurs données peuvent améliorer votre posture de sécurité.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 15 : Comment le renseignement sur les menaces profite à la cybersécurité

Le renseignement sur les menaces est essentiel pour aider à comprendre leurs risques externes les plus courants et les plus graves. En exploitant les sources et les flux de renseignements sur les cybermenaces, les équipes responsables de la sécurité obtiennent des informations approfondies sur des risques spécifiques, essentielles pour bien se protéger.

Ces renseignements constituent également un élément prépondérant des systèmes de gestion unifiée des menaces (UTM) et des plateformes de gestion des informations et des événements de sécurité (SIEM). Car ces systèmes peuvent être configurés pour collecter des informations de renseignement sur les menaces de tiers pour les spams émergents, le phishing, les logiciels malveillants et autres vulnérabilités inédites, dites « zero-day ». Ces informations peuvent ensuite être utilisées pour automatiser les contrôles qui bloquent les menaces correspondantes sur l’ensemble du réseau de l’entreprise.

Le nombre exponentiel de menaces auxquelles les entreprises sont confrontées aujourd’hui, combiné à la nécessité croissante d’y réagir rapidement, a rendu le renseignement sur les menaces informatiques de plus en plus important pour la posture de sécurité globale. 

Quelles sont les sources courantes de renseignement sur les menaces ?

 Dans un flux de renseignements sur les menaces, les données sont collectées à partir de plusieurs sources, selon le type de flux choisi. Par exemple, les flux commerciaux de renseignements sur les menaces s’appuient souvent sur des métadonnées anonymes collectées auprès de leurs clients et analysées pour identifier les différentes menaces et tendances de risque sur les réseaux d’entreprise.

Toutes les sources de renseignements sur les menaces ne sont pas pertinentes pour une organisation donnée.

D’autres flux de renseignements sur les menaces s’appuient sur des informations en sources ouvertes, de médias sociaux et même de renseignements produits manuellement. Enfin, les renseignements sur les cybermenaces peuvent provenir de groupements issus de partenariats sectoriels pour produire un renseignement unique et spécifique aux organisations évoluant dans les secteurs concernés.

Toutes les sources de renseignements sur les menaces ne sont pas pertinentes pour une organisation donnée. L’ajout d’un trop grand nombre de sources peut simplement ajouter du bruit et dupliquer les données. Cela peut avoir une influence considérable sur la précision et la rapidité des outils de gestion du renseignement sur les menaces. En outre, il est essentiel d’ajouter ses propres sources locales de cyberintelligence et de ne pas se fier simplement aux informations de tiers. Cela inclut la collecte et l’analyse des journaux locaux, des événements de sécurité et des alertes fournies par les outils déployés dans l’infrastructure de l’entreprise. La combinaison de sources de renseignements sur les menaces locales et tierces est le meilleur moyen d’identifier et de bloquer automatiquement les menaces dans les réseaux modernes.

Comment choisir les bons flux de renseignements provenant de tiers ?

Les entreprises sont de plus en plus dépendantes des flux de renseignements sur les menaces de cybersécurité fournis par des tiers. Ces flux d’informations en temps réel permettent aux entreprises d’identifier rapidement et de bloquer automatiquement les menaces émergentes. Toutefois, ceux qui cherchent à intégrer le renseignement sur les menaces à leur architecture de sécurité globale découvrent rapidement que le nombre et les types de flux disponibles peuvent varier considérablement.

La plupart des organisations achèteront probablement un flux d’informations sur les menaces informatiques auprès du même fournisseur que celui de leur dispositif de sécurité de réseau commercial (matériel/logiciel). Dans de nombreux cas, ce flux commercial fournit suffisamment d’informations externes sur les menaces pour protéger une organisation. Parmi les exemples de tels flux, on peut citer ceux de FireEye, IBM, Palo Alto et Sophos, ou CrowdStrike, Kaspersky et ProofPoint. La plupart des fournisseurs partagent des informations sur les menaces avec d’autres, cependant, de sorte que les options commerciales peuvent fournir en grande partie des informations similaires. 

Une autre option consiste à utiliser des flux en source ouverte, proposés gratuitement sur Internet. Ces flux peuvent constituer d’excellentes sources, mais une grande partie des informations trouvées là seront également présentes dans un flux commercial de renseignements sur les menaces.

De nombreux gouvernements proposent également leurs propres flux. Ce sont de bonnes options pour les organisations publiques et privées. Cependant, comme pour les flux en source ouverte, il faudra s’attendre à des doublons si l’on souscrit à une offre commerciale. Cela peut aussi valoir pour des flux sectoriels. Mais les flux spécifiques et commerciaux permettent généralement de profiter d’informations qui ne sont pas partagées avec le public.

Les flux de renseignements sur les menaces fonctionnent ainsi : la tierce partie rassemble des données brutes sur les menaces émergentes provenant de sources publiques et privées. Les données brutes sont ensuite analysées par le tiers, où elles sont également filtrées en fonction de leur importance, et de leur pertinence. Les données filtrées sont ensuite envoyées aux abonnés dans un des nombreux formats. Généralement, les formats sont basés sur des standards tels que OpenIOC, STIX/TAXII ou CyBox. Certains flux peuvent également être de nature propriétaire. Il convient alors de s’assurer que sa plateforme de gestion du renseignement sur les menaces est compatible avec le format du flux.

Pourquoi la gestion unifiée des menaces devient-elle si populaire ?

Les entreprises sont de plus en plus intéressées par le déploiement de plateformes UTM au sein de leurs infrastructures en clouds privés et publics. Une étude de 2019 de Grand View Research fait ressortir une croissance annuelle moyenne attendue de près de 15 % jusqu’en 2025.

Non seulement le nombre d’attaques augmente, mais il en va de même pour leur sophistication. Et le risque associé.

Plusieurs raisons expliquent cette tendance. Ce n’est un secret pour personne que la menace de vol et de perte de données est en augmentation dans tous les secteurs d’activité.

Mais les plateformes d’UTM gagnent aussi en popularité parce qu’elles aident les équipes responsables de la sécurité à regagner en visibilité sur des infrastructures d’entreprise cloud hybrides. Si les outils traditionnels peuvent souvent être déployés dans les clouds IaaS publics, ils sont souvent lourds à déployer et, dans de nombreux cas, ne peuvent pas centraliser la gestion et la visibilité dans les environnements hybrides décentralisés. En outre la convergence fonctionnelle entre UTM et pare-feu de nouvelle génération est bien là.

En définitive, pour les organisations qui disposent de ressources de sécurité internes limitées, les plateformes UTM s’avèrent plus économiques et plus efficaces en termes de ressources que les autres options de déploiement de contrôles de sécurité.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close