Cet article fait partie de notre guide: Le défi d'une gestion globale de la sécurité

Comment les outils de renseignement sur les menaces affectent la sécurité réseau

Les nouveaux outils de renseignement sur les menaces visent à améliorer la sécurité des données, et même à standardiser le partage d’information à l’échelle de l’industrie.

Le renseignement sur les menaces informatiques souffre encore d’un manque de standards et de coopération – entre entreprises, mais également avec les agences gouvernementales. Et pourtant, collecter, analyser et partager du renseignement de sécurité n’est pas un objectif nouveau. Encore récemment, une table ronde organisée dans le cadre de l’édition du Forum International de la Cybersécurité (FIC), a été l’occasion de souligner l’importance du sujet.

Mais de nouveaux frameworks, outils, et services émergent enfin pour aider les entreprises à mieux comprendre ceux qui cherchent à s’en prendre à leurs réseaux et à leurs activités. Reste encore un manque de standardisation.

Menaces

Chaque entreprise a son approche, ses différentes sources sur les menaces, et ses façons d’analyser et d’utiliser les données collectées. En outre, ce n’est pas parce que les entreprises et les agences gouvernementales collectent des renseignements de valeur qu’elles les utilisent comme elles le devraient. Dans de nombreuses situations, les équipes IT et sécurité examinant les informations ne savent même pas ce qu’elles observent ou comment l’appliquer à leur situation spécifique.

Des outils et standards émergents

Alors que certains outils et standards de renseignement sur les menaces n’ont jamais décollé, Gartner s’est penché sur les standards émergents qui visent à améliorer ce domaine de la sécurité des systèmes d’information.

CyboX (Cyber Observable eXpression) est ainsi un langage conçu pour Mitre pour la spécification, la capture, la caractérisation et la communication d’événements ou de propriétés observables dans le domaine opérationnel.

OpenIOC (Open Indicators of Compromise) est un framework de partage de renseignement sur les menaces créé par Mandiant. Il défini un schéma XML pour la description des caractéristiques techniques identifiant des menaces connues, la méthodologie d’attaquants, ou tout autre manifestation d’une compromission.

STIX (Structured Threat Information eXpression) est un langage développé par MITRE qui utilise CyboX pour décrire les informations sur les menaces de manière standardisée et structurée. Enfin, Taxii (Trusted Automated eXchange of Indicator Information), une autre création de Mitre, définit en ensemble de services et de messages qui permettent de partager des informations exploitables sur les menaces, au sein d’une organisation, et dans un périmètre donné.

Parmi les éditeurs dans ce domaine, on compte notamment Cyveillance et DigitalStakeout. Mais on peut également relever Maltego, un outil signé Paterva, populaire parmi les consultants en sécurité et les spécialistes du test d’intrusion (pentesting).

Trouver l’outil adéquat et résoudre la question de la confiance

Les entreprises devraient être capables de luter contre les menaces informatiques avec un ensemble ouvert d’outils de partage de renseignements. Mais se pose la question de la confiance.

Les bénéfices théoriques de la collecte et du partage de renseignements sur les menaces sont nombreux. Dans un monde idéal, toutes les entreprises, organisations et agences gouvernementales, devraient être capables de mener leur combat contre les menaces informatiques en utilisant un ensemble ouvert d’outils de partage de renseignements. Mais se pose la question de la confiance.

A qui faire confiance pour partager les informations collectées sur le réseau de l’entreprise ? A quelles sources de renseignement peut-on faire confiance ? Les entreprises sont-elles prêtes à agir sur la base de recommandations de tiers ? Comment les organisations rassemblent-elles tout cela pour créer des réactions concrètes ainsi que des stratégies de réduction du risque ?

La réalité est que la plupart des entreprises n’ont pas le temps, l’argent, ni l’énergie nécessaires pour tirer profit de tout cela. Ce n’est pas bien différent de la manière dont les nations peinent à juguler la menace terroriste. Les ressources sont limitées et les terroristes ou autres attaquants ont toujours un coup d’avance.

Poser les bonnes questions : objectif, interopérabilité, administration, évaluation des résultats 

Avant de se jeter sur le train du renseignement de sécurité, et céder aux sirènes du marketing, il convient de se poser plusieurs questions.

Cela commence par l’objectif recherché. Peut-être l’entreprise a-t-elle besoin de renseignements détaillés sur des menaces spécifiques à son organisation ou à son secteur d’activité, ou bien cherche-t-elle à réduire ses risques IT, voir tout simplement à cocher une case pour satisfaire des auditeurs. Les organisations devraient-elles se lancer seules, avec des outils libres ? Peut-être est-il préférable d’être accompagnées ? Nombreux sont ceux qui investissent dans des technologies de sécurité sans chercher à savoir pourquoi. Mieux vaut ne pas en faire partie.

Se pose ensuite la question de l’interopérabilité des outils de renseignement sur les menaces avec les technologies de sécurité déjà en place, qu’il s’agisse de protection contre les logiciels malveillants, d’analyse réseau, de surveillance des réseaux sociaux, de corrélation d’événements, ou encore SIEM.

Et puis… n’est-il tout simplement pas possible de s’abonner à une source de renseignement en utilisant ses outils existants ? De nombreux équipementiers, dont Cisco et Dell, intègrent du renseignement de sécurité au sein de leurs produits et services.

Mais surtout, qui va administrer tout cela ? A chaque fois qu’une organisation ajoute une brique de protection de son système d’information, elle doit soit abandonner quelque chose qui fonctionne soit embaucher de nouvelles ressources pour l’administrer. Et qui va fournir les budgets pour cela ?

Comment, enfin, mesurer les résultats ? Le renseignement sur les menaces de sécurité semble séduisant, mais les entreprises ont besoin de mesurer de manière tangible les bénéfices de cette technologie par rapport aux produits de sécurité déjà déployés.

Prendre des décisions plus éclairées

Le but ultime des ressources de renseignement de sécurité est d’aider une organisation à prendre des décisions plus éclairées afin de minimiser son exposition au risque.

Reste qu’une organisation peut investir dans les meilleurs renseignements au monde, disposer des meilleures technologies pour déjouer les menaces, présenter, sur le papier, une posture de sécurité irréprochable… et malgré tout s’avérer largement vulnérable du fait de cette petite brèche facile à exploiter que laissent de côté tant de processus de gestion du système d’information et de sa sécurité.

Les multiples rapports annuels sur la sécurité montrent de fait que la plupart des organisations ont leur disposition de nombreuses pistes d’amélioration de la sécurité de leurs systèmes d’information. Et cela avant même de s’intéresser au renseignement sur les menaces.

Bien sûr, le renseignement sur les menaces est utile, en particulier aux industries et aux agences gouvernementales sensibles. Et là, il est important de s’y intéresser tout de suite, avant que les attaques ne surviennent.

Adapté de l’anglais par la rédaction.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)