Comment la Threat Intelligence peut soutenir la gestion des risques

Face à l'augmentation des cybermenaces émanant de tiers ces dernières années, il ne suffit plus de se défendre contre les attaques et d'y réagir. Les organisations doivent être proactives et parer aux cyberattaques en identifiant les menaces potentielles et en étant constamment conscientes des vulnérabilités que leurs défenses pourraient présenter. Au fur et à mesure que les actifs informatiques évoluent pour répondre aux besoins opérationnels - tels que l'expansion des bases de données, des capacités de stockage, des types de données, des modèles d'utilisation et des autorisations d'accès - l'infrastructure de sécurité doit également être constamment mise à jour et ajustée pour s'aligner sur les mesures de protection les plus récentes.

La collaboration entre le renseignement sur les menaces (ou threat intelligence - TI) et la gestion des risques promet de fournir aux organisations une protection compétitive contre des menaces intelligentes et adaptatives. Ce processus, appelé « Threat Intelligence Informed Risk Management » (la gestion des risques basée sur le renseignement sur les menaces), combine les informations filtrées par les techniques de renseignement sur les menaces et les opérations propres à la gestion des risques.

Comment fonctionne la gestion des risques basée sur le renseignement sur les menaces ?

Dans le cadre de la gestion collaborative des risques basée sur le renseignement sur les menaces, deux équipes travaillent ensemble : l'une se concentre sur la compréhension du paysage des menaces et l'identification des vulnérabilités spécifiques de leur organisation, tandis que l'autre se concentre sur l'identification des actifs informatiques critiques et des points d'accès essentiels au bon fonctionnement de celle-ci.

Malgré des formations différentes, les spécialistes de chaque équipe peuvent tirer parti de leurs connaissances communes pour assurer une formation croisée efficace. En collaborant, ils offrent à leur organisation des informations de haute qualité et des renseignements exploitables, améliorant ainsi la défense contre les menaces.

Le paysage des cybermenaces est en constante évolution, les cybercriminels cherchant de nouvelles méthodes pour contourner les mesures de sécurité existantes. En outre, les organisations sont confrontées à une bataille inégale en matière de cybersécurité. Alors qu'elles doivent gérer avec soin les différents points d'accès et les vulnérabilités, les attaquants ont la liberté de faire preuve de créativité et ne sont pas liés par des contraintes juridiques. Plusieurs attaquants peuvent même cibler une même organisation en même temps. Ce déséquilibre souligne la nécessité de disposer d'une couverture de sécurité complète.

Grâce à la gestion des risques basée sur le renseignement sur les menaces, la threat intelligence (TI) aide à identifier la nature des menaces et les vulnérabilités. Ces informations permettent aux experts des centres d'opérations de sécurité (SOC) de développer des solutions de sécurité adaptées à chaque organisation. Les experts en gestion des risques doivent élaborer un plan identifiant les actifs informatiques à protéger et la manière de le faire. La gestion des risques prend les informations filtrées par la TI et les contextualise à l'aide de processus :

• LE CADRE : Définit le contexte des décisions fondées sur le risque et établit la stratégie de base pour l'exécution, associée à la TI pour comprendre la direction et les opérations menant à la gestion du risque.
• L’ÉVALUATION : Le processus d'analyse et de détermination du niveau de risque pour l'organisation et la mise à profit de la TI pour placer les vulnérabilités existantes de l'organisation face aux menaces identifiées.
• LA RÉPONSE : Les actions à entreprendre après l'identification des risques. La TI sera ensuite utilisée pour assurer une bonne communication entre les responsables de l'analyse des menaces et les gestionnaires de risques afin de coordonner les efforts de réponse.
• LA SURVEILLANCE : Permet de vérifier si les mesures prises sont efficaces et comment elles affectent l'évaluation des risques. La TI permet alors d'aligner ces efforts sur les menaces existantes et de maintenir la pertinence des décisions en matière de sécurité.

Quand les équipes de renseignement sur les menaces et de gestion des risques ne travaillent pas ensemble

Face aux défis uniques des cybermenaces, de nombreuses organisations ont trouvé leur voie dans le domaine de la sécurité et ont mis en place des équipes d'experts qui ont appris sur le tas, se sont adaptés et se sont formés tout en étant confrontés à chaque type d'attaque. La nouveauté des menaces amène à réagir différemment, certains mettant en place des équipes de gestion des risques et d'autres s'appuyant sur le renseignement sur les menaces et la collecte d'informations. Les deux ont évolué comme deux disciplines traditionnellement différentes. Toutefois, ces derniers temps, avec les efforts combinés pour automatiser autant de tâches de sécurité que possible et les programmes innovants qui sont utiles dans les deux domaines, l'accent est mis davantage sur leurs similitudes et sur la façon dont elles peuvent travailler ensemble de manière optimale.

Ces différences d'approche ont donné lieu à des lexiques différents et à l'impression générale que leurs tâches sont très différentes. Ainsi, ce qu'une équipe de gestion des risques appellerait le risque inhérent et l'évaluation des risques, une équipe de renseignement sur les menaces l'inclurait dans ses exigences en matière de renseignement. Les deux équipes se réfèrent à la recherche de vulnérabilités et à la gestion des correctifs, entre autres. Une organisation dotée des deux équipes constaterait le doublement des ressources consacrées à l'obtention du même résultat, mais d'un point de vue légèrement différent. Ce serait une perte de temps et d'expertise si les deux équipes travaillaient sans coordination.

Communication et coordination pour un résultat optimal en matière de sécurité

La collaboration est toujours plus compliquée. Non seulement les membres de l'équipe doivent essayer de faire correspondre individuellement les intentions des acteurs de la menace, mais ils doivent également coordonner un service différent. Mais c'est ainsi que les choses pourraient s'arranger :

• Les professionnels de l'une ou l'autre équipe ne doivent pas absorber les connaissances ou l'identité des autres membres de l'équipe. Mais en s'asseyant et en comprenant leurs processus et leurs activités, ils peuvent mieux comprendre où ils se chevauchent et où ils se complètent. Il en résulte un processus de sécurité global plus complexe.
• Avec l'aide d'informations très précises fournies par les experts en renseignements sur les menaces, les professionnels de la lutte contre les cyber risques pourraient concevoir de meilleurs produits.
• Les connaissances combinées de ces deux équipes peuvent constituer l'approche de sécurité la plus proactive dont dispose une organisation, avec une modélisation des menaces plus exploitable et l'élaboration de plans d'action plus ciblés, plus adaptables et plus complets.

La TI évolue dynamiquement avec le paysage des cybermenaces, offrant non seulement une image instantanée de l'état de la sécurité, mais aussi une solution adaptative. Cette flexibilité permet aux organisations de rester compétitives et de répondre efficacement aux menaces émergentes et existantes. Elle permet d'améliorer les résultats en matière de sécurité, de renforcer la résilience et de redonner à l'organisation le contrôle de ses opérations.

---

En savoir plus sur l’offre Bitdefender Advanced Threat Intelligence et sur la façon dont elle peut vous aider à garder une longueur d'avance.