Le point de vue des dirigeants

Cyber Threat Intelligence : les quatre grands leviers

Pour faire face aux menaces de cybersécurité, les organismes publics doivent s’appuyer sur une information fiable, d’où l’intérêt que leurs dirigeants portent aux programmes de Cyber Threat Intelligence (CTI). Or, pour une CTI réellement efficace, il faut d’abord s’entendre sur ce qu’est une « bonne information ».

Première étape : faire une distinction claire entre données et information. Aujourd’hui plus que jamais, les organismes publics ont accès à des masses considérables de données. Ils disposent également d’un appui de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et d’autres sources externes.

Cependant, ces données ne sont pas forcément adaptées à leur situation. Elles nécessitent d’être analysées et décortiquées pour en tirer des éclairages qui, à leur tour, peuvent se traduire en « threat intel ». Autant dire qu’une CTI fiable repose sur une information utile, précise et à-propos.

En clair, un programme CTI efficace doit livrer les éclairages pointus qui aideront les décisionnaires des pouvoirs publics à mieux gérer leur exposition au risque. Voici quatre étapes indispensables à l’élaboration d’un programme CTI capable de remplir une telle mission :

Identifier les enjeux

Un programme CTI efficace, c’est d’abord une bonne prise de conscience des enjeux. Dans un premier temps, il est donc question de déterminer les ressources à protéger. Qu’est-ce qu’un cyberattaquant pourrait chercher à subtiliser ou à détruire ? Dans certains cas, il s’agit d’informations de cartes bancaires. Dans d’autres, les hackers veulent faire main basse sur des fichiers RH, dossiers médicaux, du capital intellectuel, voir une combinaison de divers types de données.

Une fois qu’ils ont dressé un bilan précis de leurs données critiques et des conséquences potentielles de leur compromission ou de leur suppression, les organismes publics ont tous les éléments en main pour déterminer avec précision les risques de sécurité encourus.

Cerner le profil des attaquants

L’identification des données à risque simplifie ensuite la classification des attaquants potentiels et de leurs modes opératoires. En d’autres termes, si vous savez quelles données sont le plus convoitées, vous en déduirez rapidement quels attaquants ont des vues sur elles.

Ainsi, les objectifs poursuivis dicteront les outils, tactiques, techniques et procédures (TTP) employés pour infiltrer les environnements des organismes concernés et compromettre leurs données. Dès lors que les décideurs ont défini les enjeux et les conséquences éventuelles d’une violation de données, la Cyber Threat Intelligence peut alors entrer en jeu.

Harmoniser cyberveille et &gestion du risque

Une bonne CTI, c’est une CTI qui se concentre sur les menaces qui vous sont propres et les modes d’attaque associés. Sachant qu’une sécurité à 100 % n’existe pas, d’un point de vue managérial, il s’agit plutôt de savoir gérer le risque. Dans l’idéal, la CTI devrait permettre aux organismes publics de lutter contre un maximum de menaces, à commencer par les plus dévastatrices, avec les moyens dont elles disposent actuellement.

Pour atteindre cet objectif, les programmes de CTI doivent se focaliser sur les données à protéger en priorité, c’est-à-dire en anticipant les outils et techniques de cyberattaque mis en œuvre.

Face au déferlement d'attaques dont ils font l'objet, les acteurs de la puissance publique peuvent ainsi s’en remettre à la CTI pour intervenir en priorité sur les menaces à plus fort impact sur leurs opérations. Ainsi, une cyberattaque commanditée par une puissance étrangère prendra toujours le pas sur des délits certes graves, mais moins dangereux dans l’ordre des choses. Par exemple, compte tenu des dernières évolutions géopolitiques, un établissement financier avec lequel nous travaillons est en train de prendre les devants pour faire face à une éventuelle attaque de l’Iran. La décision de se concentrer sur cette menace en particulier est motivée par le lourd passé des services iraniens dans ce domaine. Quant aux mesures adoptées, elles s’appuient sur des informations tactiques et opérationnelles sur les modes opératoires des attaquants.

Décliner la CTI au niveau opérationnel

Lorsqu’elle appuie ses décisions sur une CTI fiable, la gestion des risques stratégiques doit s’étendre des comités exécutifs jusqu’au niveau opérationnel. En effet, l’objectif et l’intérêt de la CTI consiste à faciliter les décisions tant sur le plan stratégique que tactique.

Dès lors qu’ils savent traduire des menaces critiques en risque opérationnel, les organismes publics sont à même de mettre en place les ressources humaines et matérielles nécessaires pour mieux se protéger.

Si cette mécanique est bien huilée et que la CTI est à la fois complète et à jour, il est possible d’intégrer les indicateurs et TTP aux capteurs des systèmes pour détecter les activités des attaquants.

Au final, l’information doit circuler jusqu’aux intervenants de première ligne pour mieux guider leur action et leur donner les repères nécessaires à la neutralisation des menaces les plus dangereuses. Mais pour y parvenir, les objectifs organisationnels doivent se baser sur la CTI.

Plus spécifiquement, les organismes publics doivent commencer par dresser la liste des acteurs concernés par la CTI. Dans la plupart des structures publiques, cela va des secrétariats généraux jusqu’aux centres opérationnels de sécurité (SOC), les services d’urgence et les équipes d’intervention sur incident.

Une fois tous ces acteurs identifiés, l’étape suivante consiste à fixer les objectifs et établir le cahier des charges de leur programme de CTI. Ces informations devront ensuite être recoupées avec les menaces en présence, ce qui permettra aux administrations de faire un bilan de leurs sources actuelles de données brutes et d’en identifier les lacunes.

Ce bilan devra également déterminer les sources qui sont lisibles par machine, celles qui peuvent être intégrées et automatisées, et celles qui nécessitent une intervention humaine.

Grâce à cette double analyse systématique des outils informatiques et des ressources humaines, vous pouvez recentrer vos efforts sur les aspects essentiels de votre sécurité, avec à la clé une réduction de votre surface de risque et un renforcement de vos cyberdéfenses.

Rendez-vous sur le site FireEye pour plus d’informations sur nos services d’évaluation du cyber-risque et les outils d'intervention sur incident qui permettent de gérer les opérations de cybersécurité. Tom Topping a été récemment interviewé par Federal News Radio dans le cadre de la série d’articles « Innovation in Government » de Carahsoft. Cet entretien vous livrera de nouveaux éclairages sur ce qu’est la Cyber Threat Intelligence.