Implementing an Intelligence-led Cyber Security Program

Par le biais des nombreuses missions de consulting de Mandiant dans le monde, nous avons eu l’opportunité d’examiner un grand nombre de programmes de cyber sécurité de tous types et de toutes tailles. Une conclusion récurrente de toutes ces missions est le besoin et le désir de développer ou d’améliorer l’intelligence sur les cyber menaces (CTI) – non seulement dans les programmes de cyber sécurité, mais également dans les processus de gestion des risques au sens large d’une organisation.

L’intelligence sur les cyber menaces est plus que la simple collecte de données et d’informations brutes provenant de diverses sources internes ou externes. Comme l’indique le cabinet Gartner, « L’intelligence sur les menaces repose sur la connaissance, preuves à l’appui, rassemblant tout à la fois le contexte, les mécanismes, les indicateurs, les implications et le conseil opérationnel, à propos d’une menace existante ou émergeante visant des actifs, qui peut être utilisée pour influer sur les décisions concernant la réponse du sujet à la dite menace. »

Un élément clé de cette définition est que l’intelligence sur les menaces fournit la capacité « d’influer sur les décisions » dans l’organisation dans son ensemble. Il est important de comprendre que l’intelligence sur les menaces offre un mécanisme de réduction proactive des risques grâce à la compréhension complète d’un adversaire et de ses capacités.

Mais que veut dire exactement le fait d’avoir un programme de cyber sécurité basé sur l’intelligence ? Une approche basée sur l’intelligence va permettre aux organisations :

  • D’anticiper, d’identifier et de prioriser les menaces actives et naissantes pour réduire l’exposition et adapter les défenses.
  • D’informer les fonctions opérationnelles de gestion des risques en déterminant la motivation, les capacités et les intentions de l’adversaire.
  • De contextualiser et de communiquer les cyber menaces dans les différents départements métier, en permettant une bonne prise de décision à la fois de la part du management et des intervenants « conventionnels » dans le domaine de la cyber sécurité.
  • D’aligner correctement les capacités et les ressources en matière de sécurité sur la base des menaces les plus pertinentes et les plus graves ciblant l’organisation.

Mettons maintenant tous ces points en perspective en nous posant les questions suivantes :

A.     A quelle fréquence l’organisation a-t-elle répondu à un incident en ne disposant que d’une compréhension limitée des motivations, des tactiques, des techniques et procédures (TTPs) de l’acteur de la menace ?

B.     L’organisation peut-elle connecter un incident à des acteurs de menace et des campagnes spécifiques ?

C.     Les menaces réelles/perçues peuvent-elles être validées et priorisées sur la base du niveau de risque qu’elles génèrent ?

D.    Les problèmes de sécurité peuvent-ils être traduits en informations compréhensibles par les dirigeants et sur lesquelles ils peuvent agir ?

E.     Les produits d’intelligence sur les menaces sont-ils utilisés pour aider à obtenir des niveaux acceptables « de cyber hygiène » ?

F.     Les changements d’architecture sont-ils déclenchés sur la base d’une corrélation opérationnelle avec les menaces ?

G.    Existe-t-il une base de connaissances avec des fonctions d’analyse personnalisées pour aider les intervenants à répondre aux questions qui/quoi/pourquoi/quand/comment concernant les menaces ?

H.    Combien de rapports supportant une décision de gestion ont-ils été rédigés ?

Si une organisation à des difficultés à répondre à ces questions sur une base cohérente et reproductible, cela peut indiquer un manque en matière d’intelligence ou une fonction sous utilisée. Une intelligence sur les menaces fiable, contextualisée et directement exploitable est capable de mieux informer les principaux décisionnaires dans l’organisation, y compris les analystes au sein du centre opérationnel de sécurité, les intervenants et les dirigeants.

Afin qu’une organisation soit capable de construire et de réaliser cette capacité basée sur l’intelligence, il y a plusieurs éléments clés à considérer :

  1. Profil des menaces au niveau de l’organisation : La réalisation d’un profil de base sur les menaces périodiquement mis à jour est un moyen efficace de maintenir une vision cohérente et contextualisée sur les menaces, les vulnérabilités et les risques visant une organisation, tout en capturant également les informations essentielles sur les opérations et l’environnement dans lequel elle évolue. Comprendre le profil de menaces de l’organisation aidera à optimiser les opérations de sécurité, les capacités d’intelligence sur les cyber menaces et d’autres fonctions de gestion des risques.
  2. Analyse des Parties prenantes : Comprendre comment les produits et services d’intelligence sur les cyber menaces peuvent ou seront consommées afin de fournir une intelligence cohérente et directement exploitable est essentiel. Pour répondre à l’évolution des besoins, ce processus devrait être réexaminé régulièrement et inclure un mécanisme d’interrogation des intéressés afin de garantir que les besoins des parties prenantes sont bien pris en compte. Le processus est décrit dans la figure 1.
  3. Exigences en matière d’intelligence : Les exigences en matière d’intelligence devraient viser un besoin opérationnel ou de gestion spécifique, et doivent être explicites pour garantir que les analystes et les parties prenantes comprennent à quelle menace, impact ou problème elles essaient de répondre. Comprendre le profil de menaces de l’organisation et les menaces ou adversaires qui pourraient la cibler directement ou indirectement est crucial pour développer des exigences efficaces en matière d’intelligence.

Des capacités d’intelligence efficaces contre les menaces peuvent transformer les technologies, le savoir-faire et les processus de sécurité existants pour réduire l’exposition au risque des fonctions et services critiques d’une organisation. En mettant en place les hommes, les processus et les technologies requises pour un programme de cyber sécurité basé sur l’intelligence, les organisations sont capables de consommer, interpréter et appliquer l’intelligence sur les cyber menaces pour protéger leurs informations, leurs systèmes et leurs activités dans leur ensemble contre les menaces qui comptent le plus.