Dans un récent article, nous avions demandé à des professionnels de la cybersécurité quelles caractéristiques devait avoir un programme de renseignement sur les cybermenaces (Cyber-Threat Intelligence, CTI) pour être considéré comme mature. Selon un rapport du cabinet d’études Entreprise Strategy Group (ESG), les principales caractéristiques d'un programme CTI mature sont la diffusion de rapports à un large public, l'analyse de quantités massives de données sur les menaces et l'intégration du CTI à de nombreuses technologies de sécurité. Hélas, la plupart des programmes CTI sont loin d'être matures, mais cela pourrait changer dans les prochaines années, car la plupart des entreprises investissent davantage dans ces programmes. Au cours des 12 à 18 prochains mois, 63% des entreprises prévoient d'augmenter « considérablement » leurs dépenses liées aux programmes CTI, et 34 % d’entre elles prévoient d'augmenter « un peu » ces dépenses.
Mais pourquoi donc investir dans le CTI ? Parce que le renseignement sur les cybermenaces peut apporter des avantages technologiques et commerciaux. L'étude de l’ESG révèle ainsi que le grand intérêt pour les programmes CTI découle de la nécessité de se renseigner sur les menaces pouvant peser sur les entreprises concernées par des fusions-acquisitions, celle de se renseigner sur la menace de pirates individuels ou de groupes d’adversaires planifiant des attaques ciblées, et la nécessité de se renseigner sur les tactiques, techniques et procédures (TTP) des acteurs de la menace pour que les entreprises puissent renforcer leurs défenses en matière de sécurité.
Une démarche portée par les RSSI
Si les RSSI cherchent à investir davantage dans le renseignement sur les menaces, c’est qu’ils sont convaincus que ces investissements peuvent atténuer les cyber-risques tout en améliorant la prévention et la détection des menaces. Dans les prochains 12 à 24 mois, 30% des entreprises donneront la priorité au partage des rapports de renseignements sur les menaces avec les groupes internes. C'est un pas dans la bonne direction, car les renseignements sur les menaces ont une valeur au-delà du centre d'opérations de sécurité (SOC) et peuvent améliorer l’information sur les alertes. Les RSSI peuvent utiliser les CTI pour prioriser les investissements et valider les contrôles de sécurité, tandis que les directeurs commerciaux peuvent équilibrer les initiatives de transformation numérique avec des décisions de gestion des risques plus approfondies. La diffusion des CTI et le retour d'information des consommateurs sont des phases clés d'un cycle de vie mature du renseignement sur les menaces. Par ailleurs, 27% des entreprises investiront en priorité dans des services de protection contre les risques numériques (Digital Risk Protection, DRP). À mesure que les entreprises étendent leur empreinte numérique, elles ont besoin d'une meilleure compréhension des risques qui en découlent. Les services de protection contre les risques numériques offrent cette visibilité en surveillant les fuites de données en ligne, la réputation de la marque, les vulnérabilités de la surface d'attaque et les discussions autour de la planification des attaques sur le dark web ou le deep web.
27% des entreprises donneront la priorité à l'intégration avec d'autres technologies de sécurité. Au-delà des terminaux, du courrier électronique et des périmètres de réseau, les RSSI souhaitent une intégration du CTI avec des outils de sécurité dans le cloud, des solutions de gestion des informations et des événements de sécurité (Security Information and Event Management, SIEM) et des solutions de détection et de réponse étendues (Extended Detection and Response, XDR), ainsi que des outils de sécurité en périphérie (Security Service Edge, SSE) comme des passerelles web sécurisées (Secure Web Gateway, SWG) et des courtiers de services d'accès cloud (Cloud Access Service Brokers, CASB). Plus d'intégration équivaut à bloquer plus d'indicateurs de compromission (Indicators of Compromise, IoC) et à développer une défense plus complète basée sur les menaces. 27% des entreprises donneront la priorité à l'acquisition d'une plateforme de renseignement sur les menaces (Threat Intelligence Platform, TIP) pour la collecte, le traitement, l'analyse et le partage des renseignements sur les menaces. Autrefois apanage des plus grandes entreprises, les TIP se démocratisent peu à peu. Selon moi, une grande partie de ces dépenses sera consacrée à des fournisseurs de services comme Flashpoint, Mandiant, Rapid7 (Intsights), Recorded Future, Reliaquest (Digital Shadows), SOCRadar et ZeroFox. Les grands acteurs comme Cisco, CrowdStrike, IBM, Microsoft et Palo Alto Networks capteront aussi une bonne part de ce marché.
Sun Tzu à la rescousse
Enfin, 26% des entreprises donneront la priorité au développement d'un programme plus formel. Les entreprises réalisent qu'elles ne peuvent plus se contenter de quelques sources ouvertes de renseignements sur les menaces et de les faire examiner par des analystes à temps partiel. Elles ont besoin de personnel et de processus pour exécuter un cycle de vie CTI complet. Pendant que les RSSI réorganisent leur fonctionnement interne, la plupart d'entre eux s'appuieront sur des prestataires de services, comme ceux mentionnés ci-dessus, pour effectuer le gros du travail. Comme le dit la célèbre citation du général et stratège chinois Sun Tzu : « Qui connaît l'autre et se connaît lui-même peut livrer cent batailles sans jamais être en péril ». Les entreprises dotées de programmes CTI matures se connaissent elles-mêmes, connaissent l'ennemi et utilisent ces connaissances pour optimiser l'atténuation des cyber-risques et les défenses de sécurité.