L’IA et l’automatisation des processus se sont révélées être des facteurs de compétitivité en temps normal et de résilience en cas de crise. Bien intégrées, elles portent également les espoirs d’une meilleure protection contre les attaques cybercriminelles.
Ce sont là les trois principaux moteurs qui tirent le marché de l’IA et de l’automatisation dans la cybersécurité, afin de renforcer les processus de gestion des risques cyber. Mais pour que ces solutions puissent exercer leur intelligence à bon escient, c’est-à-dire être capables de prendre des décisions autonomes, il faut au préalable bâtir une stratégie de sécurité efficace basée sur le renseignement. C’est ce que conseillent les experts de Forrester dans un rapport, How To Integrate Threat Intelligence IntoYour Security Program. « Une architecture de sécurité efficace nécessite des informations sur le paysage des menaces de votre organisation », expliquent-ils en introduction.
L’enquête 2020 du SANS Institute sur le renseignement sur les menaces montre que moins de la moitié des organisations dispose d’une équipe dédiée au renseignement sur les menaces. Les organisations qui se contentent d’ajouter des responsabilités en matière de renseignement sur les menaces au personnel de sécurité existant ont généralement du mal à tirer une valeur substantielle de cette stratégie.
Le défi : intégrer la collecte et l’analyse des informations
Mais de nombreux professionnels de la sécurité sont déçus par les résultats de leurs efforts de renseignement sur les menaces. Car la vraie gageure est de pouvoir intégrer le processus de collecte et d’analyse des renseignements dans les fonctions de SOC, de réponse aux incidents (IR), d’ingénierie, d’architecture, de budgétisation, de planification et de gestion des risques afin de réduire les risques globaux et de contribuer à l’élaboration d’une stratégie de sécurité efficace basée sur le renseignement. Voici les trois conseils des spécialistes de Forrester.
Les décideurs stratégiques doivent consommer du renseignement sur les menaces
Par son influence sur la notoriété et l’image de l’entreprise, la cybersécurité est devenue un sujet pour les directions et les conseils d’administration. Aussi, estime Forrester, un politique sécuritaire efficace intègre obligatoirement la hiérarchie. « Pour contribuer à la mise en place de processus convaincants de gestion des risques cyber, les chefs d’entreprise ont besoin de renseignements stratégiques sur les menaces », estiment les analystes de Forrester. Les récentes violations de données très médiatisées, comme celle d’Equifax, ont démontré que l’absence de gestion stratégique des risques cyber au niveau du conseil d’administration et de la direction peut causer des dommages réels et durables aux entreprises, aux clients et aux employés.
Analysez d’abord la télémétrie de sécurité interne
Les programmes de renseignement sur les menaces qui réussissent donnent la priorité à la collecte et à l’analyse de la télémétrie de sécurité interne de leur entreprise. Une enquête de Forrester Analytics montre que les organisations utilisent, en moyenne, près de 18 sources de renseignements externes, soit une augmentation appréciable par rapport à environ 12 à 13 sources en 2019. L’acquisition d’un plus grand nombre de renseignements externes sur les menaces n’entraîne pas toujours une plus grande maturité en matière de cybersécurité et de protection de la vie privée.
Mesurez l’efficacité, pas la performance
Les mesures qui permettent d’améliorer la prise de décision et de renforcer la résilience face aux cybermenaces sont supérieures aux mesures de performance portant sur le nombre d’indicateurs de compromission recueillis par un système de sécurité. Il faut donc se concentrer sur des mesures qui recèlent démontrent une valeur tirée par les parties prenantes, jusqu’à leur prise de décision. Des mesures telles que le coût moyen d'une brèche, le temps de séjour de l'adversaire et le temps moyen de récupération montrent mieux si votre capacité de renseignement améliore la prise de décision et réduit le risque.