«Threat Intelligence: Une longueur d’avance sur les agresseurs»
La connaissance est un outil important pour se défendre contre les cyberattaques. Si une entreprise sait comment et sur quoi une attaque pourrait avoir lieu, elle peut s’armer en conséquence. C’est là, dans le cadre de la prévention, que la Threat Intelligence entre en jeu: une longueur d’avance en matière de connaissances sur plusieurs niveaux.
Texte : Andreas Heer, 12 mars 2018 4 min
À chaque jour sa mauvaise nouvelle: de nouvelles cyberattaques contre les entreprises et les administrations font quotidiennement la une des journaux. La motivation des agresseurs est multiple. Parfois, leur objectif est d’accéder à des données confidentielles (des secrets commerciaux, p. ex.), parfois de rançonner de l'argent avec des ransomwares. Et dans d’autres cas, les agresseurs cherchent uniquement à se procurer des informations, afin de se préparer pour une cible plus large. Aussi diverses que soient les raisons d’une cyberattaque, les intérêts commerciaux en sont presque toujours à l’origine.
Détecter les attaques avant qu’elles ne se produisent
Les entreprises ne sont donc pas pour autant sans défense. Car les attaques ciblées peuvent également être repoussées si l’état des menaces et les scénarios d’attaque sont connus. Grâce à un «système d’alerte précoce», les entreprises peuvent prendre des mesures de protection préventive avant qu’une attaque n’ait lieu. Et c’est là que la Threat Intelligence entre en jeu. Ce terme désigne la connaissance des menaces et des scénarios d’attaque actuels et potentiels. La Threat Intelligence (TI) ou Cyber Threat Intelligence (CTI) n’est donc pas un logiciel de sécurité mais un ensemble de données collectées qui peut être utilisé pour se défendre de façon ciblée contre des attaques potentielles. C’est à peu près comparable aux données météorologiques utilisées pour prévoir l’évolution possible des cyclones.
La Threat Intelligence est une discipline toute jeune de la sécurité informatique et elle est interprétée différemment par différents fournisseurs. Ainsi, le type et la quantité de données varient d’une offre à l’autre. Et la Threat Intelligence suppose une expertise dans le domaine de la Cybersécurité pour transformer les informations en mesures défensives concrètes. Cependant, cette approche s’avère être une protection efficace pour prévenir les attaques et donc aussi les dommages.
Une discipline importante de la Cybersécurité proactive
Threat Intelligence: non seulement sur le plan technique, mais aussi stratégique
Toutefois, la Threat Intelligence ne se limite pas à une réalisation technique, mais elle doit aussi être intégrée à l’ensemble du cycle de vie de la stratégie de sécurité des TI. Cela signifie que les informations disponibles sont également prises en compte dans la planification stratégique. En conséquence, le «Centre for the Protection of National Infrastructure»(ouvre une nouvelle fenêtre) (CPNI) britannique identifie quatre niveaux sur lesquels joue la Threat Intelligence:
- Stratégique: informations grâce auxquelles la gestion des risques peut évaluer la situation actuelle en matière de cybermenace. Cela inclut, par exemple, des informations sur la fréquence des attaques régionales ou sectorielles.
- Tactique: comment procèdent les agresseurs et quels outils et quelles sources d’information utilisent-ils? Par exemple, si le début d’une attaque montre des opérations de hameçonnage ciblant certains collaborateurs, des mesures de prévention appropriées peuvent découler de cette information.
- Opérationnel: détails des attaques connues, qui peuvent être utilisés pour se défendre contre ce type d’attaque.
- Technique: informations concrètes qui permettant aux systèmes de sécurité de détecter les attaques. Exemples: adresses des serveurs de Command & Control, signatures de malwares, adresses IP et noms de domaine ou comptes de médias sociaux utilisés pour lancer des attaques.
Sécurité grâce à la longueur d’avance en matière de connaissances
Utilisée correctement, la Threat Intelligence complète la Cybersécurité par une composante préventive. Car les systèmes techniques de sécurité, eux, n’agissent que lorsque l’attaque a lieu. Avec la Threat Intelligence, les entreprises peuvent s’armer contre d’éventuelles attaques et agir à temps. Cela signifie également que la sécurité informatique est prête en cas de véritable attaque et peut la prévenir. Mais la Threat Intelligence ne fait pas cavalier seul, elle exige un savoir-faire au niveau stratégique et technique afin que les données puissent être interprétées et les bonnes conclusions puissent être tirées. Dans ce cas, les connaissances préalables sont très utiles pour prévenir les attaques renforcer la cyberrésilience. En d’autres termes, la Threat Intelligence représente une chance pour les entreprises de garder une longueur d’avance sur les agresseurs dans le jeu éternel du chat et de la souris.