Cyber Threat Intelligence : devenir un fin limier de la cybersécurité

En s’inspirant des méthodes de la police et plus globalement des services de renseignement, les organisations peuvent considérablement améliorer la sécurisation de leur activité face aux cybermenaces. L’enjeu : pouvoir récolter et traiter les informations utiles afin d’anticiper les risques liés au contexte de l’entreprise.

Koen Maris, Cybersecurity Leader PwC Luxembourg

La cybermenace est aujourd’hui protéiforme et difficile à appréhender. Pendant des années, les organisations ont protégé leur système informatique en élevant des murs (ou plus précisément des firewalls… entre autres technologies de protection). Cela fait un moment déjà que l’on sait qu’une telle approche ne suffit plus pour lutter contre des attaques de plus en plus sophistiquées. Cela l’est encore moins quand le château fort ouvre grand ses accès, comme c’est le cas depuis le début de la crise du Covid-19, pour assurer des liaisons permanentes avec une population désormais postée à l’extérieur des fortifications. « Dans ce contexte nouveau, face à une menace qui évolue rapidement, les acteurs de la cybersécurité doivent faire preuve d’une plus grande proactivité, commente Koen Maris, Cybersecurity Leader au sein de PwC Luxembourg. Il ne faut pas attendre de subir l’attaque pour réagir mais pouvoir prévenir efficacement le risque qu’un acteur malveillant exploite une vulnérabilité. Pour cela, il faut pouvoir disposer de la bonne information et pouvoir l’exploiter en tenant compte du contexte dans lequel on évolue. » 

S’INTERESSER A L’ATTAQUANT PLUS QU’A LA MENACE

On parle ici de Cyber Threat Intelligence. Le concept part du principe que, pour se protéger, il faut s’intéresser à ceux qui nous menacent plus qu’à la menace elle-même. 

De cette manière, en collectant des données et informations utiles, on peut en apprendre beaucoup sur les pratiques actuelles et les intentions des acteurs malveillants ou encore sur le risque que l’on fasse effectivement l’objet d’une attaque. « En analysant les vulnérabilités exploitées par les cybercriminels à un moment donné, en peut par exemple mieux prioriser les actions à mener pour s’en protéger. L’enregistrement d’un nom de domaine proche de celui d’une organisation, par exemple, permet d’anticiper une attaque de phishing ou une tentative d’intrusion en recourant à de fausses adresses mails ou un faux site. Des informations liées à des fuites impliquant des adresses mails de l’organisation permet aussi de prendre directement des mesures correctives », commente Koen Maris. 

LE SERVICE DE RENSEIGNEMENT CYBER DES ORGANISATIONS 

Dans ce contexte, PwC a mis en place une plateforme de Cyber Threat Intelligence, connectée avec d’autres partenaires avec lesquels elle partage de l’information. La volonté est d’apporter des renseignements utiles et contextualisés au client pour l’aider à faire face à la menace. La démarche peut être comparée à ce que mettent en œuvre les services de renseignement et s’inspire de certaines pratiques auxquelles ont recours les enquêteurs policiers. « Il est nécessaire de disposer d’un réseau de confiance, comme par exemple le service SMILE mis en œuvre au niveau de l’État luxembourgeois, avec qui l’on peut partager des informations utiles. Au-delà de l’importance d’être extrêmement bien informé, le plus grand défi est toutefois de contextualiser les informations que l’on a collectées, pour voir si elles sont utiles ou non dans le cadre d’une organisation donnée », poursuit Koen Maris. L’enjeu est donc de capter l’information et de pouvoir déterminer ce qu’elle vaut pour l’une ou l’autre organisation, afin de prendre des mesures adéquates ou éventuellement de pouvoir la partager avec d’autres personnes dans une démarche de lutte globale contre les attaques. 

DEVELOPPER UN AUTRE REGARD

Les bons renseignements permettent d’anticiper des attaques ciblées et de prendre les mesures les plus appropriées pour garantir la sécurisation de l’activité. « Il y a beaucoup à apprendre des pratiques policières, en cherchant à regarder les choses à la manière d’un enquêteur. Cela doit par exemple nous inviter à chercher à déceler des comportements délictueux au-delà des apparences, précise Koen Maris. Il est facile de reconnaître le méchant s’il en a l’apparence, si son comportement traduit de manière directement perceptible une faute. Le meilleur moyen de ne pas se faire repérer est de se mêler à la normalité. L’enjeu est donc, en utilisant les bonnes informations, de permettre de révéler les comportements déviants, même si les apparences ne permettent pas de les révéler. Les enquêteurs, au quotidien, apprennent à regarder le monde autrement et se dotent d’outils pour analyser le monde au-delà des apparences. Nous avons beaucoup à apprendre d’eux. »

AMELIORER LA GESTION GLOBALE DE LA SECURITE

Les informations collectées permettront progressivement de repérer plus efficacement les comportements suspects. La Cyber Threat Intelligence accompagne de cette manière l’amélioration de la gestion de la sécurité dans le temps. « Mieux nous serons informés, plus nous partagerons l’information, plus nous serons en mesure de comprendre comment opère ce qui relève aujourd’hui du crime organisé, poursuit l’expert en cybersécurité de PwC. La démarche facilite la détection des menaces et contribue à améliorer la réponse sur incident. » 

L’idée n’est donc plus d’attendre que l’alarme sonne, mais d’identifier anticipativement les serrures abimées ainsi que les personnes susceptibles de les forcer. En disposant d’une meilleure vue sur les agissements des personnes malveillantes, sur leur mode opératoire, on dispose d’une vue plus affutée sur les vulnérabilités les plus critiques et la manière avec lesquelles elles sont exploitées. « Lorsqu’un incident intervient, cette connaissance acquise permet aussi de mieux identifier les causes, de relier l’attaque à un mode opératoire connu, pour apporter la meilleure réponse », poursuit Koen Maris. 

Chaque organisation a tout intérêt à s’appuyer sur de fins limiers de la cybersécurité.  

 

Aucun commentaire pour le moment.

Réagissez à cet article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *