Mieux financés, car organisés en écosystèmes spécialisés, ils ont amélioré leurs tactiques, leurs techniques et leurs procédures. Les approches sont devenues plus difficiles à détecter et moins prévisibles. Elles se caractérisent par la furtivité et la persistance, afin de laisser le temps aux attaquants d’opérer des mouvements latéraux pour infecter le SI en profondeur et rendre impossible toute réversibilité.
Dans ce paysage incertain et évoluant, le rôle des équipes de sécurité s’est singulièrement compliqué. Elles peuvent toutefois s’appuyer sur la Threat Intelligence, ou Renseignement sur la menace, pour instaurer une ligne de défense proactive, afin de protéger les actifs numériques de l’entreprise des menaces protéiformes. La Threat Intelligence repose sur la donnée et l’analyse et consiste à mettre en œuvre des solutions d’observation et de détection des signes, y compris les plus faibles, d’une attaque potentielle, afin de fournir des renseignements fondés sur des preuves.
Son efficacité vient du mélange des technologies intelligentes et de l’expertise des équipes de sécurité. Elle doit remonter des alertes pertinentes pour permettre à ces spécialistes de mener leurs investigations rapidement et précisément, car le temps est compté si l’attaque est avérée. Dans ce contexte contraint, l’efficacité de l’analyse des informations est un facteur déterminant pour une évaluation pertinente des risques. Elle repose sur trois piliers qui doivent se compléter. En premier vient la capacité à exploiter d’énormes quantités de données pour détecter les indices les plus infimes. La Threat Intelligence doit donc exploiter la base de connaissances la plus exhaustive possible, couvrant si possible le spectre complet des typologies et des méthodes d’infraction numérique. Les anomalies sont ensuite remontées sous formes d’alertes.
C’est à ce stade qu’intervient le second facteur, le facteur humain, avec toute la science et l’expérience acquise pour mener l’enquête et remonter les ramifications d’une attaque. Il s’agit de mettre à contribution leurs connaissances tacites, leur expérience et le travail en équipe pour mieux comprendre la situation (situation awareness) et coordonner la meilleure réponse possible. Enfin, le troisième facteur est relatif à l’offre de Threat Intelligence et sa capacité à couvrir les besoins des clients. La Threat Intelligence étant basée sur la collecte et l’analyse des données, l’intégration et la transversalité des solutions proposées par les éditeurs doivent permettre d’adresser tous les besoins fonctionnels et tous les segments de marché, en taille et en typologie.
Sur ce marché très concurrentiel, Kaspersky bénéficie de vingt-cinq ans d’expérience et compte actuellement plus de 4 000 collaborateurs et une présence sur tous les continents. L’entreprise fournit des technologies de Threat Intelligence aux MSSP sous forme d’abonnement ainsi qu’aux entreprises. Pour la détection, l’analyse et la hiérarchisation des alertes, elle dispose d’une base de connaissance qui repose sur plus de 400 millions de clients à travers le monde, des bacs à sable ainsi que des pots de miel disposés autour du globe. Une position privilégiée qui lui permet une vision à 360° de l’espace cyber, ceci quel que soit la typologie du pays et celle des utilisateurs.
Son expertise s’appuie également sur une équipe internationale de femmes et d’hommes de tous horizons culturels, regroupés au sein du GReAT (Global Research & Analysis Team). Créée en 2008, l’équipe multiculturelle du GReAT compte plus de 40 experts dont les membres assurent le travail de recherche et d’analyse sur les différents types de menaces, les typologies de victimes et les tactiques des attaquants. Leur expertise, et leur indépendance font de cette équipe un atout crucial pour l’efficacité de la threat intelligence de Kaspersky, mais également pour les procédures d’innovation en matière de protection cyber.
Aujourd’hui, le paysage des menaces évolue rapidement et de nombreuses organisations sont confrontées à des menaces complexes et persistantes. Le renseignement sur la menace fait désormais partie intégrante de la trousse à outils des équipes de sécurité, qu’elles soient en interne ou externalisées. Outre la veille continue pour débusquer les attaques, la Threat Intelligence est une stratégie proactive, qui fait montre d’une vertu inattendue dans la guerre psychologique que livrent les défenseurs aux attaquants. En plus d’améliorer l’efficacité et le temps de réponse, elle instille un message dissuasif aux attaquants : une approche proactive de la cybersécurité ainsi que la garantie d’une réponse rapide et efficace de la part d’équipes aguerries « d’intervention rapide ».
Par Bertrand Trastour, General Manager France, Afrique du Nord, de l'Ouest et du Centre chez Kaspersky
