Lorsqu'il s'agit d'atténuer les cyberrisques d'une organisation, la connaissance et l'expertise sont un atout. Rien que pour cela, le renseignement sur les cybermenaces devrait être une priorité essentielle pour toute organisation. Malheureusement, ce n'est pas toujours le cas. Parmi les diverses mesures de protection que les responsables informatiques doivent envisager pour les aider à contrer des attaques de plus en plus sophistiquées, le renseignement sur les menaces est souvent négligé. Or, cette négligence pourrait s'avérer une erreur grave.
En collectant, analysant et contextualisant les informations sur les cybermenaces possibles, y compris les plus avancées, le renseignement sur les menaces offre une méthode essentielle pour identifier, évaluer et atténuer les cyberrisques. Lorsqu'elle est bien menée, elle peut également aider votre organisation à établir des priorités pour concentrer ses ressources limitées afin d'obtenir un effet maximal et ainsi réduire son exposition aux menaces, minimiser les dommages causés par les attaques potentielles et renforcer sa résilience face aux menaces futures.
Quels sont les principaux types de TI ?
Le défi pour votre organisation est de trouver la bonne offre parmi un marché de fournisseurs de technologies de l'information très encombré. Après tout, il s'agit d'un marché dont la valeur devrait dépasser 44 milliards de dollars d'ici à 2033. Il existe en gros quatre types de TI :
- Stratégique : transmis à la haute direction par le biais de livres blancs et de rapports, il offre une analyse contextuelle des grandes tendances afin d'informer le lecteur.
- Tactique : Répondant aux besoins des membres de l'équipe chargée des opérations de sécurité (SecOps), ce type d'information décrit les tactiques, techniques et procédures des acteurs afin de fournir une visibilité sur la surface d'attaque et sur la manière dont les acteurs malveillants peuvent compromettre l'environnement.
- Technique : aide les analystes SecOps à surveiller les nouvelles menaces ou à enquêter sur les menaces existantes à l'aide d'indicateurs de compromission (IOC).
- Opérationnel : Utilise également les IOC, mais cette fois pour suivre les mouvements des adversaires et comprendre les techniques utilisées lors d'une attaque.
Alors que les IT stratégiques et tactiques se concentrent sur des objectifs à long terme, les deux dernières catégories s'attachent à découvrir le "quoi" des attaques à court terme.
Ce qu'il faut rechercher dans une solution de renseignement sur les menaces
Les organisations peuvent consommer des renseignements sur les menaces de différentes manières, notamment par le biais de flux industriels, de renseignements de source ouverte (OSINT), d'échanges entre pairs au sein de secteurs verticaux et directement auprès des fournisseurs. Il va sans dire qu'un certain nombre de ces derniers offrent leur expertise dans ce domaine. En fait, Forrester a enregistré une augmentation de 49 % des flux commerciaux payants de renseignements sur les menaces entre 2021 et 2022.
Toutefois, il est préférable de se concentrer sur les points suivants pour déterminer si un fournisseur convient à votre organisation :
- L'exhaustivité : Le fournisseur doit proposer une gamme complète de TI couvrant un large éventail d'acteurs et de vecteurs de menaces et de sources de données - y compris la télémétrie interne, l'OSINT et les flux externes. Les flux du CIO doivent être considérés comme faisant partie d'un service de TI holistique plutôt que comme un service autonome.
- Précision : des renseignements imprécis peuvent submerger les analystes de bruit. Les fournisseurs doivent faire preuve de précision.
- Pertinence : Les flux doivent être adaptés à votre environnement spécifique, à votre secteur d'activité et à la taille de votre entreprise, ainsi qu'à ce qui est le plus pertinent (tactique/stratégique) pour votre organisation à court et à long terme. Il faut également tenir compte des personnes qui utiliseront le service. Les TI s'étendent constamment à de nouveaux profils, y compris aux équipes de marketing, de conformité et juridiques.
- Rapidité d'exécution : Les menaces évoluant rapidement, tout flux doit être mis à jour en temps réel pour être utile.
- Évolutivité : Tout fournisseur doit être en mesure de répondre aux besoins de votre organisation en matière de TI au fur et à mesure de sa croissance.
- Réputation : Il est toujours utile de choisir un fournisseur qui peut se targuer d'avoir réussi dans le domaine des technologies de l'information. De plus en plus, il peut s'agir d'un fournisseur qui n'est pas traditionnellement associé aux technologies de l'information, mais plutôt à SOAR, XDR ou à des domaines adjacents similaires.
- Intégration : Envisagez des solutions qui s'intègrent parfaitement à votre infrastructure de sécurité existante, y compris les plateformes SIEM et SOAR.
Naviguer sur le marché des technologies de l'information
Le marché des technologies de l'information est en constante évolution, avec l'apparition de nouvelles catégories permettant d'évaluer les nouvelles menaces, ce qui peut compliquer le choix de la ou des bonnes options. Il est utile de réfléchir à vos besoins à long terme afin d'éviter une réévaluation constante de la stratégie, bien que cela doive être équilibré par le besoin de pertinence et d'agilité.
Il convient également de garder à l'esprit que la maturité de votre organisation jouera un rôle important dans le nombre et le type de services de TI à adopter. Celles qui disposent d'équipes et de ressources dédiées peuvent utiliser jusqu'à 15 sources d'information sur les menaces, qu'elles soient commerciales, OSINT ou gratuites.
Les acteurs de la menace d'aujourd'hui disposent de ressources importantes, sont dynamiques, déterminés et peuvent tirer parti de l'effet de surprise. La technologie de l'information est l'un des meilleurs moyens pour les organisations d'égaliser les chances et de prendre le dessus, notamment en comprenant leurs adversaires, en évaluant le paysage des menaces et en prenant des décisions mieux informées. C'est ainsi que l'on peut non seulement stopper les attaques avant qu'elles n'aient un impact sur l'organisation, mais aussi renforcer la résilience pour l'avenir.
Chaque organisation devra choisir la combinaison de TI qui lui convient. Mais lorsqu'elle s'adresse à des fournisseurs, elle doit s'assurer que les données sont au moins complètes, exactes, pertinentes et opportunes. Les flux curatifs permettront à votre équipe de gagner du temps et d'économiser des ressources. L'essentiel est de trouver un fournisseur dont les flux vous inspirent confiance. Selon IDC, 80 % des entreprises du G2000 augmenteront leurs investissements dans la veille sur les menaces d'ici à 2024. Assurez-vous d'être prêt à réussir.