Le rapport 2020 du Sans, « Cyber Intelligence Survey », montre que le CTI est un domaine de la sécurité en pleine expansion que l’on soit une petite, une moyenne ou une grande entreprise. Que l’équipe soit interne, externe ou les deux, elle doit exister. Etat des lieux en 2020.

Pour une entreprise, mettre en place une stratégie CTI, Cyber Threat Intelligence est le premier pas vers la mise en oeuvre d’une cyberdéfense. Cela consiste à comprendre les menaces qui pèsent sur elle et fournir les informations qui pourraient être nécessaires à cette défense. Généralement une équipe spécifique est en charge de cet aspect, dotée de ses propres outils et méthodes. Et le fait que le nombre de répondants à la dernière étude « SANS CTI Survey 2020» ait doublé en un an, atteignant les 1006 personnes, prouve qu’en effet la tendance est là.

Cinq principaux points ressortent de cette étude. En premier lieu la collaboration est un facteur clé pour que cette stratégie fonctionne. L’étude démontre que non seulement, en interne, elle est primordiale avec la remontée d’informations de tous les départements qui est vitale pour l’équipe CTI mais également en externe. Il semble que la tendance soit au « CTI as a service » pour certaines entreprises, voire le partage d’informations avec d’autres groupes ou programmes externes. De cette étude ressort également le fait que le « data processing » favorise l’automatisation de certaines tâches (par exemple pour la déduplication) et que sans tout automatiser, il soit possible d’améliorer la remontée rapide d’informations utiles auprès des analystes. Le rapport montre aussi qu’avec la maturité de l’équipe CTI, il se peut que les données comme les outils utilisés pour les atteindre doivent évoluer. Ainsi de simples informations sur les menaces acquises par remontée de données via des canaux spécifiques ou des vendeurs de solutions ne peuvent plus suffire et que les données internes et celles en provenance des différentes équipes puissent jouer un rôle plus important. En quatrième point, il est à noter que les prérequis sont primordiaux pour s’assurer que la collection de données et aussi l’analyse soient de la meilleure qualité possible afin d’obtenir un processus de renseignement plus efficace, effectif et notamment mesurable. De pratiquement aucun l’an passé à près de la moitié aujourd’hui des répondants assurent avoir défini et bien documenté les prérequis nécessaires en termes de renseignements. Enfin la CTI est un marché réellement en devenir où le nombre de consommateurs de renseignements est beaucoup plus élevé que le nombre de producteurs. Cependant la progression est nette avec pas moins de 40% des entreprises qui se déclarent aujourd’hui à la fois consommatrice et productrice d’informations. Le passage à la production d’informations démontre une maturité dans l’approche CTI avec de meilleurs résultats pour répondre aux prérequis.

Le panel des répondants est assez large et représente à la fois les petites et grandes entreprises. Côté secteurs d’activité, gouvernement, banques et assurances, fournisseurs de services en cybersécurité et enfin entreprises dans la sphère technologique sont parmi les principaux répondants à cette étude. Rien de bien étonnant, ce sont les premiers à être impacté par la cybercriminalité. Enfin, de l’opérationnel à l’analyste en passant par le spécialiste en réponse à incident ou encore les directeurs, tous les niveaux de la hiérarchie sont représentés parmi les répondants avec cependant une prépondérance pour les opérationnels et analystes de la cybersécurité.

image001

Une équipe autour de l’Analyste

Equipe, Processus et Outils, forme selon le SANS un trio indispensable pour que le CTI soit viable au sein d’une entreprise. D’une simple personne en charge du CTI, aujourd’hui on passe à l’échelle d’équipe afin que l’analyste ne soit plus débordé par toutes les tâches à opérer pour en arriver à l’analyse. L’étude 2020 montre à quel point cela a progressé même si cela ne concerne qu’à peine 50% des entreprises interrogées.

image003

Et la façon d’améliorer le quotidien des analystes passe pour 61% des entreprises par la combinaison entre des ressources interne et externe. Un chiffre en progression de 7% en un an. A noter qu’elles ne sont que 7% à ne compter que sur une aide extérieure. En regardant d’un peu plus près la composition des équipes CTI actuelles, la majorité provient sans grande surprise d’un mélange entre les équipes SoC (Security Operation Center) et celles d’Incident Response (IR). Du triage à la réponse à incident, ce sont des informations essentielles à un analyste pour bien comprendre les menaces. Cependant la tendance est à l’équipe CTI estiment 39% des participants à l’enquête. Ce qui n’empêche pas pour certains de faire un panachage entre différentes équipes sécurité ce qui en fait une « purple team » voire une « fusion cell » pour d’autres. Même les équipes de finance, crime numérique ou de stratégie sécurité peuvent être impliquées dans ce processus pour certains.

image005

Des outils pour transformer les données en intelligence

Déduplication, enrichissement et standardisation des données ou reverse engineering de malware sont parmi les tâches à accomplir par l’équipe CTI. Certaines peuvent être automatisées, totalement ou en partie, pendant que d’autres restent encore manuelles. En ce qui concerne la déduplication des données, les entreprises ne sont plus que 27% à le faire manuellement alors que le reverse engineering requiert encore des efforts manuels pour près de 48% d’entre elles.

Des outils d’administration de l’Intelligence

Les plateformes les plus utilisées sont des outils de SIEM (Security Information and Event Management), de supervision de trafic réseau et de gestion d’intrusion. Ce sont les SIEM qui décrochent le pompon avec 86,9% des répondants qui en utilisent et pour la plupart en mode automatisé.

image007