L’intelligence sur les cybermenaces est morte, longue vie à la supervision du réseau

L’intelligence sur les cybermenace est morte, longue vie à la supervision du réseau

L’intelligence sur les cybermenaces (threat intelligence) a été pendant plusieurs années l'une des stratégies les plus éprouvées et acceptées en matière de cybersécurité. Toutefois, aujourd’hui, l'évolution de la nature et l’explosion du volume des cybermenaces dégradent grandement la capacité des services d’intelligence sur les menaces afin d’assurer une protection efficace des entreprises. Pour faire face à cette nouvelle réalité, les organisations se tournent de plus en plus vers des stratégies alternatives comme la surveillance continuelle des réseaux.

Objectif de l’intelligence sur les cybermenaces

L’intelligence sur les cybermenaces consiste à collecter, croiser et corréler des informations venant de plusieurs sources afin d’identifier si des facteurs font en sorte qu’un groupe serait potentiellement la source d’une cyberattaque.

Les sources utilisées sont diverses telles que : le Dark Web, des outils dédiés à l’intelligence sur les cybermenaces tels que OSINT, les forums de discussions, les médias, les réseaux sociaux, les feeds de données (ex : liste des IP connus comme étant malicieux), les résultats d’analyse et d’investigations réalisées par des équipes de MDR (tels que StreamScan), les services de renseignements, etc.

À titre d’exemple, toutes les compagnies pharmaceutiques travaillant sur un vaccin de la COVID-19 ayant fait des annonces dans les journaux sont fortement ciblées par des cyberattaques. Ces attaques peuvent venir de compétiteurs, du crime organisé ou même, d’autres pays voulant accéder aux résultats des recherches de ces compagnies.

L’objectif ultime de l’intelligence sur les menaces est d’avoir assez d’information pour prendre rapidement des décisions sur des attaques potentielles afin de les contrecarrer.

Une stratégie qui a fait ses preuves pendant plusieurs années

Jusqu’autour des années 2016, l’intelligence sur les cybermenaces a été un contexte de grande stabilité avec peu de variations d’attaques. Malheureusement, aujourd’hui on assiste à une explosion de cybermenaces. En plus de découvrir une augmentation de failles critiques de sécurité, l’appétit des pirates (ou du crime organisé\des gouvernements) est croissant. À cela s’ajoute que le télétravail massif actuel dû à la pandémie de la COVID-19 a ouvert grandement la porte à l’utilisation des terminaux et des ordinateurs personnels des employés pour effectuer leur travail. La grande quantité d’informations à analyser devient donc un goulot d’étranglement et ralentit grandement les analyses. De plus, les entreprises manquent de personnel qualifié pour réaliser un tel travail efficacement. Au final, les équipes d’intelligence sur les cybermenaces sont très souvent en retard sur la réalité, ce qui augmente les risques de sécurité pour l’entreprise.

Dans un tel contexte, les activités d’intelligence sur les menaces sont de moins en moins efficaces et donnent des résultats mitigés.

La supervision de la sécurité pour pallier les insuffisances de l’Intelligence sur les cybermenaces

Pour résoudre ce problème, la meilleure chose à faire est de mettre l’accent sur la supervision en temps réel de la sécurité de votre réseau via un outil (ou des outils) capable de donner une visibilité à 360 degrés de votre réseau (tel que notre technologie le CDS StreamScan). La supervision devrait être faite par une équipe ayant une expérience prouvée en détection et prévention d’intrusions informatiques et en gestion de cyberattaques. Avec une telle expertise, l’équipe de supervision saura identifier parmi le grand volume d’attaques les signaux d’attaques pertinents, les comportements douteux et les mouvements suspects, afin de les traiter pour éviter qu’ils se transforment en problème. Vous serez donc protégés à tout moment, que l’attaque cible votre cloud, votre réseau interne, ou les employés à travers des campagnes d’hameçonnage.