Press
2.11.2023
Chaque jour, des milliers de cyberattaques ont un impact sur la vie quotidienne de millions de personnes, les données sont de plus en plus exposées et les personnes sont de plus en plus ciblées afin d'obtenir des informations et des données supplémentaires qui, comme on les définit souvent, sont l'or du futur. Dans ce labyrinthe de menaces, la seule défense semble être de lever de plus en plus de boucliers en défense, et parmi ceux-ci, un outil qui se distingue comme une arme de défense efficace contre des adversaires acharnés est le « renseignement sur les menaces ». Ces dernières années, cette défense a joué un rôle de plus en plus central dans la protection de volumes croissants de données, mais ce que l'on entend par ce terme n'est pas évident. La Threat Intelligence peut être définie comme un processus de collecte, d'analyse et de diffusion proactives d'informations sur les cybermenaces émergentes. Ce processus s'appuie sur un large éventail de sources d'informations, y compris, mais sans s'y limiter, des indicateurs techniques, des forums de pirates informatiques, des réseaux sociaux et des « places de marché » sur le Dark Web, des lieux où les données sont généralement vendues au plus offrant. Grâce à une analyse minutieuse et complète de données hétérogènes sur les menaces et leur traitement visant à obtenir des motivations, des objectifs et des méthodologies, les professionnels de la Cyber Threat Intelligence cherchent à identifier de nouvelles menaces, à les attribuer à des sujets malveillants spécifiques, à prédire les futurs modèles d'attaque et enfin à développer des contre-mesures efficaces.
Alors pourquoi utiliser la Threat Intelligence ?
Les acteurs malveillants, qui proposent souvent des services « en tant que service » au service de tiers, sont de plus en plus motivés et disposent de plus en plus de ressources technologiques et économiques. Mais les vulnérabilités informatiques sont souvent le résultat du fait de « ne pas savoir » et de « ne pas voir ». Il est donc essentiel d'avoir une connaissance complète de l'ensemble de la surface d'attaque (appelée surface d'attaque) exploitable par un sujet malveillant. Comprendre l'écosystème informatique dans son intégralité permet de se préparer aux menaces, de les prévenir et de les reconnaître grâce à des mécanismes de sécurité plus optimisés. Les mesures de sécurité traditionnelles, telles que le pare-feu et l'antivirus, sont essentielles mais ne suffisent plus pour atténuer les menaces de plus en plus dynamiques et complexes. L'accès à ce type d'informations permet donc à l'entreprise d'adopter une approche proactive grâce à des décisions plus rapides, plus contextualisées à sa réalité et basées sur des données réelles. Cela est possible car les informations sur les cybermenaces peuvent fournir des informations précises, opportunes et pertinentes et peuvent être utilisées pour identifier de manière fiable les failles de sécurité existantes ou émergentes.
La Threat Intelligence fournit des données précises pour identifier les vulnérabilités. Il aide également les dirigeants à évaluer les risques, les ressources nécessaires et l'impact financier en matière de cybersécurité. Une meilleure compréhension des menaces auxquelles il faut faire face permet donc de s'en protéger en optimisant les coûts et les efforts. Des services tels que l'alerte précoce et la gestion de la surface d'attaque permettent aux entreprises d'identifier et de réduire les menaces potentielles pesant sur leurs systèmes et leurs données en fournissant une vue complète de l'attaque et en surveillant en permanence les menaces potentielles provenant de l'extérieur. Le service Early Warning vous permet de surveiller toute fuite de données, qu'il s'agisse d'informations de connexion, d'adresses e-mail et d'autres données de l'entreprise, en analysant l'ensemble du Web (Clear Web et Dark Web) à la recherche d'acteurs malveillants qui ciblent l'entreprise en examinant des milliers de sites et forums sur lesquels les acteurs attaquants échangent ou vendent ces données.
Comment une entreprise peut-elle se doter de ces outils, améliorer sa sensibilisation aux menaces internes et externes, et ainsi améliorer sa posture de sécurité ?
Il existe plusieurs services auxquels vous pouvez vous abonner pour recevoir ces flux d'informations. Le marché de la Threat Intelligence a atteint une certaine maturité ces dernières années. Différents services ont également des approches différentes, certains sont plus efficaces pour découvrir des informations sur les réseaux sociaux, d'autres pour trouver du contenu sur le dark web, d'autres pour détecter le squattage de domaine dès qu'un domaine probablement hostile est enregistré. Certains de ces services, les plus complets et les plus professionnels, ne sont toutefois accessibles qu'aux fournisseurs de services de sécurité gérés (MSSP) comme nous, précise Gianpiero Abellonio, associé et conseiller principal chez Security Lab.
Alors, que pouvez-vous recommander aux entreprises qui souhaitent s'intéresser à ces services ?
Il est suggéré de toujours s'appuyer sur un MSSP fiable et éprouvé qui utilise et intègre différents services afin que le client dispose d'une source d'informations unique qui se préoccupe non seulement d'intégrer ces flux, mais aussi d'effectuer le « triage », c'est-à-dire de déterminer la pertinence des informations et de les transmettre au client uniquement si elles sont considérées comme une menace probable, poursuit le Partenaire.
Par où commencer et quelles sont les premières étapes à suivre, il est toutefois loin d'être immédiat.
Lors de l'activation, le client est invité à fournir certaines informations qui représentent donc la « portée » du service, c'est-à-dire ce qui doit être surveillé, en termes de domaines d'entreprise des sites et de courrier électronique et de mots clés permettant de vérifier une éventuelle exposition sur le Web/Dark Web. Des exemples de mes mots-clés peuvent être des noms de marques, de produits ou de services, ou des noms de personnes concernées au sein de l'organisation, remarque Abellonio.
Une fois le paramétrage et l'étalonnage de la collecte de données terminés, nous passons à la véritable phase de démarrage.
Le MSSP configure et active les flux provenant de ses fournisseurs d'informations. Au cours de cette phase d'évaluation, de nombreuses informations sont ensuite collectées et un premier rapport détaillé est préparé pour le client et présenté. Par la suite, le MSSP reçoit de ses fournisseurs d'informations uniquement les nouvelles informations non détectées lors de la phase d'évaluation. Les informations reçues au fil du temps sont ensuite communiquées au client dès qu'elles sont détectées et clairement si elles sont considérées comme présentant une certaine pertinence, note le Partenaire.
Il s'agit d'un sujet particulièrement fluide, voire complexe à certains égards, dans lequel l'avis de l'expert est fondamental, tout comme le fait de rester constamment informé de l'évolution du « marché », ce qui se prête donc bien à un événement dédié.
En collaboration avec ATED, nous avons organisé un événement à l'hôtel Dante de Lugano le 30 novembre à 14h30, au cours duquel plusieurs conférenciers et 5 à 6 discours seront prononcés sur le thème de l'actualité et des tendances en matière de cybersécurité, avec le renseignement sur les menaces comme thème principal, une sorte de fil conducteur. Nous parlerons des nouveautés de la nouvelle norme ISO 27001 et du Nist 2. Dans les deux systèmes de gestion, l'une des innovations est en fait représentée précisément par Threat Intelligence, met-il en évidence Alberto Redi, PDG de Security Lab, qui poursuit :
Il y a deux interventions spécifiques sur le renseignement sur les menaces, l'une visant à approfondir le sujet et la seconde par Group Ib, l'une des principales marques que nous utilisons pour fournir ces services MSSP, qui illustreront leur combinaison de services et feront également une démonstration pratique. À la fin, nous ferons le point sur la nouvelle loi fédérale sur la protection des données (NLPd) entrée en vigueur le 1er septembre dernier. À la fin, l'apéritif habituel et un espace de réseautage et d'analyse approfondie avec les conférenciers.
Achille Barni
