La digitalisation de plusieurs activités utilisant des données personnelles et confidentielles a augmenté l’exposition des entreprises aux cyber-risques. Les conséquences des cyber-risques sont diverses et peuvent varier d’une simple perte financière de quelques centaines d’euros à la perturbation de la stabilité économique et politique d’un pays. Les menaces peuvent avoir différentes formes connues et inconnues.
Ainsi, déployer des solutions pour se protéger exclusivement contre les menaces connues n’est plus suffisant., d’où l’importance de la Threat intelligence.
C’est quoi la Threat Intelligence ?
La Threat intelligence est une discipline qui se base sur la collecte d’informations issues de plusieurs ressources afin de comprendre les menaces actuelles, anticiper les menaces potentielles et dresser le portait des attaquants qui ciblent une entreprise ou organisation.
La Threat Intelligence a pour objectif de protéger les organisations contre :
Le Cyber crime : Ce sont toutes les infractions susceptibles d’être commises au moyen d’un système informatique connecté à un réseau.
Le Cyber activisme : C’est un processus d’utilisation des moyens de communication sur internet pour créer et gérer l’activisme de tout type. Il permet à toutes personnes ou organisations d’utiliser les réseaux sociaux, ou d’autres technologies en ligne, pour atteindre et rassembler des individus, diffuser des messages et faire progresser une cause ou un mouvement.
Le Cyber espionnage : Ce type de cyber attaque fait partie des APT « Advanced Persistent Threats » ou attaques persistantes. Ces attaques se font sur la durée en injectant divers virus dits « dormants » qui collectent massivement et furtivement des données sans être détectés par les moyens de sécurité employés par les entreprises.
Quel est l’avantage de la Threat Intelligence ?
Le processus employé auparavant par les directions sécurité des entreprises consiste en la remédiation des attaques déjà effectuées et la protection contre les attaques qui connues.
En revanche, la Threat Intelligence offre la possibilité de prévoir et de se protéger à l’avance des attaques susceptibles de se produire.
Le schéma ci-dessous montre une comparaison entre la démarche employée avant et après l’adoption de la Threat Intelligence :
En effet, la Threat Intelligence se base sur l’apprentissage et la collecte d’informations des autres entités qui se sont déjà faites attaquées. La combinaison de toutes les informations externes avec les données internes à l’entreprise, ainsi que la déduction des informations sur les attaques susceptibles de se produire.
Nous pouvons citer, comme exemple de constructeurs de la Threat Intelligence : FireEye, Symantec, LookingGlass, IBM security, EMC, etc.
Comment adopter une approche proactive avec la Threat intelligence ?
La Threat Intelligence peut constituer un flux d’informations très important. En corrélant ce flux avec les autres flux d’informations au niveau du SIEM (Security Information and Event Management), les entreprises peuvent découvrir les attaques et prévoir des moyens pour s’en protéger.
Une étude récente réalisée par Cisco a montré que 44% des alertes remontées par le SIEM sont ignorées. Pour le reste de ces alertes, 28% sont considérées comme alertes légitimes, mais seulement 46% sont réellement corrigées.
Pourquoi plus de la moitié des alertes légitimes ne sont pas corrigées ?
Cela peut s’expliquer par une surcharge d’informations, un manque de temps ou un manque d’expertise. Mais, au vu de la sévérité du problème, il faut absolument trouver une solution. Ceci peut être fait en passant d’une approche réactive avec le SIEM à une approche proactive avec la Threat Intelligence.
Cette approche permettra non seulement d’améliorer les résultats du SIEM, mais aussi d’aider les organisations à découvrir les menaces potentielles. En ajoutant les facteurs externes aux informations internes issues des outils de sécurité de l’entreprise, des résultats plus pertinents peuvent être obtenus.
Pour aller encore plus loin, les entreprises peuvent choisir de recueillir des données à partir d’une source d’informations relativement sous-estimée, mais qui peut présenter un pas en avant pour les entreprises. Cette ressource est le Deep Web.
Quels avantages offre l’ajout d’un flux d’informations provenant du Deep Web ?
Le Deep Web constitue une source d’informations très riche qui peut, si elle est bien utilisée, apporter un grand avantage aux entreprises.
Selon une recherche réalisée par l’entreprise américaine Recorded Future qui opère dans le domaine de la cyber sécurité, 75% de toutes les vulnérabilités divulguées apparaissent en ligne avant d’être répertoriées dans la base de données nationale sur les vulnérabilités (NVD) avec une moyenne de préavis de sept jours. C’est une bonne longueur d’avance pour les cybercriminels.
Si les professionnels de la cyber sécurité sont prévenus des angles d’attaque possibles, ils peuvent concentrer leurs ressources sur la gestion efficace des vulnérabilités et la correction rapide.
Oumayma