{"id":10355,"date":"2018-04-20T15:53:21","date_gmt":"2018-04-20T15:53:21","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=10355"},"modified":"2019-11-22T08:59:21","modified_gmt":"2019-11-22T08:59:21","slug":"threat-hunting-rsa-2018","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/threat-hunting-rsa-2018\/10355\/","title":{"rendered":"Menaces : quand les chasser et qui devrait le faire"},"content":{"rendered":"<p>La chasse aux menaces \u00e9tait un des sujets d\u2019actualit\u00e9 du RSA 2018. Les experts sont d\u2019accord pour dire qu\u2019il s\u2019agit d\u2019une pratique n\u00e9cessaire pour contrer les attaques modernes d\u2019APT. Cependant, ils n\u2019arrivent pas \u00e0 se mettre d\u2019accord sur ce qu\u2019est r\u00e9ellement la chasse aux menaces, et sur ses pratiques. Ils ont d\u00e9cid\u00e9 d\u2019utiliser le livre <em>How to Hunt for Security Threats<\/em> (Comment chasser les menaces pour la s\u00e9curit\u00e9) qui d\u00e9finit la chasse de menaces comme un processus ax\u00e9 sur les analystes, qui permet aux organisations de d\u00e9couvrir les menaces cach\u00e9es avanc\u00e9es que les contr\u00f4les automatiques de pr\u00e9vention et de d\u00e9tection ont rat\u00e9es.<\/p>\n<p>Selon cette d\u00e9finition, un expert en s\u00e9curit\u00e9 informatique doit chasser les menaces. Ce processus ne peut pas \u00eatre automatis\u00e9. Cependant, apr\u00e8s que les experts aient recherch\u00e9 les anomalies, leurs r\u00e9sultats vont contribuer \u00e0 am\u00e9liorer les syst\u00e8mes de d\u00e9tection automatique, qui apprennent \u00e0 d\u00e9tecter les sc\u00e9narios qui n\u00e9cessitent d\u2019abord un regard humain sp\u00e9cialis\u00e9.<\/p>\n<h3>Quand chasser<\/h3>\n<p>Les experts disent que la question \u00a0\u00bb\u00a0les adversaires sont-ils dans votre r\u00e9seau\u00a0?\u00a0\u00a0\u00bb ne comprend pas ce principe puisqu\u2019il est fort probable qu\u2019ils y soient. Sur le fond, les experts disent que vous devriez d\u00e9j\u00e0 \u00eatre en train de chasser. Personnellement, j\u2019esp\u00e8re que ce n\u2019est pas toujours vrai, mais cela ne signifie pas que vous ne devriez pas chasser, surtout si la structure de votre entreprise est largement distribu\u00e9e.<\/p>\n<p>Cependant, la chasse aux menaces est une pratique avanc\u00e9e en termes de s\u00e9curit\u00e9, et elle exige de disposer de certaines ressources et d\u2019un certain niveau de syst\u00e8mes en s\u00e9curit\u00e9. C\u2019est pourquoi si vous aviez \u00e0 choisir entre organiser un processus de chasse aux menaces et employer un syst\u00e8me de d\u00e9tection et de r\u00e9ponse d\u00e9velopp\u00e9, vous devriez sans aucun doute choisir le dernier.<\/p>\n<p>Les syst\u00e8mes de d\u00e9tection et de r\u00e9ponse d\u00e9velopp\u00e9s vont non seulement vous permettre d\u2019exclure les menaces mineures du champ de la chasse aux menaces, mais aussi de fournir au chasseur professionnel des informations beaucoup plus utiles.<\/p>\n<h3>Qui devrait chasser<\/h3>\n<p>Ici, la question principale est de savoir si le chasseur devrait \u00eatre un sp\u00e9cialiste qui travaille en interne ou un expert externe. Chaque possibilit\u00e9 a ses avantages et ses inconv\u00e9nients. Un sp\u00e9cialiste interne dispose d\u2019une connaissance unique de l\u2019architecture du r\u00e9seau local et de ses caract\u00e9ristiques\u00a0; alors qu\u2019un sp\u00e9cialiste externe en s\u00e9curit\u00e9 informatique apporte de vastes connaissances sur les diverses menaces, mais aura besoin d\u2019un certain temps pour comprendre l\u2019infrastructure locale. Les deux aspects sont importants. La situation id\u00e9ale serait d\u2019alterner les experts internes et externes, si cette proc\u00e9dure est autoris\u00e9e dans votre entreprise et que vous avez d\u00e9j\u00e0 un sp\u00e9cialiste qui travaille en interne.<\/p>\n<p>Les r\u00e9seaux de la plupart des entreprises se ressemblent dans une certaine mesure. Bien s\u00fbr, il y a des exceptions, mais c\u2019est assez rare. Un expert externe qui effectue r\u00e9guli\u00e8rement des chasses de menaces pour diff\u00e9rentes entreprises sera \u00e0 l\u2019aise avec les l\u00e9g\u00e8res diff\u00e9rences qu\u2019il y aura d\u2019une entreprise \u00e0 l\u2019autre.<\/p>\n<p>Un autre aspect de ce probl\u00e8me est que la chasse constante aux menaces ajoute une certaine monotonie aux journ\u00e9es des candidats internes. Analyser un registre pour trouver o\u00f9 un processus antagoniste est cach\u00e9 est une activit\u00e9 monotone qui peut m\u00eame \u00e9puiser les professionnels en informatique les plus enthousiastes. Par cons\u00e9quent, il peut \u00eatre judicieux d\u2019alterner les sp\u00e9cialistes de votre centre de gestion de la s\u00e9curit\u00e9, plut\u00f4t que d\u2019avoir un chasseur de menaces \u00e0 temps complet.<\/p>\n<p>Quant aux qualit\u00e9s personnelles du candidat, vous devez chercher une personne attentive, patiente et qui a de l\u2019exp\u00e9rience en menaces informatiques. Cependant, l\u2019intuition est tout aussi importante. Il peut \u00eatre compliqu\u00e9 de trouver une telle personne parce qu\u2019il est impossible de mesure l\u2019intuition et elle n\u2019est pas souvent mentionn\u00e9e dans les CV.<\/p>\n<p>Pour la fonction de l\u2019expert externe, nous pouvons vous proposer les services de nos sp\u00e9cialistes en chasse de menaces. Ils peuvent examiner votre infrastructure pour identifier tous les signes pr\u00e9sents ou historiques d\u2019un compromis, mais ils peuvent aussi organiser des surveillances permanentes et des analyses continues des donn\u00e9es de vos menaces informatiques. Pour en savoir plus sur les <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/threat-hunting?redef=1&amp;reseller=gl_threathunt_acq_ona_smm__onl_b2b_kasperskydaily_lnk_______\" target=\"_blank\" rel=\"noopener nofollow\">services de Kaspersky Threat Hunting, veuillez visiter cette page<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Id\u00e9es d\u00e9gag\u00e9es lors du RSA sur comment chasser les menaces dans les structures d\u2019entreprise<\/p>\n","protected":false},"author":700,"featured_media":10356,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3151],"tags":[2896,2894,2895],"class_list":{"0":"post-10355","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-chasse-aux-menaces","10":"tag-chasse-de-menaces","11":"tag-expertise"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/threat-hunting-rsa-2018\/10355\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/threat-hunting-rsa-2018\/13178\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/threat-hunting-rsa-2018\/15939\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/threat-hunting-rsa-2018\/15526\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/threat-hunting-rsa-2018\/22131\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/threat-hunting-rsa-2018\/10527\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/threat-hunting-rsa-2018\/16506\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/threat-hunting-rsa-2018\/9637\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/threat-hunting-rsa-2018\/20219\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/chasse-aux-menaces\/","name":"chasse aux menaces"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/10355","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=10355"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/10355\/revisions"}],"predecessor-version":[{"id":12824,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/10355\/revisions\/12824"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/10356"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=10355"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=10355"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=10355"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}