{"id":11750,"date":"2019-05-22T09:57:48","date_gmt":"2019-05-22T09:57:48","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11750"},"modified":"2019-11-22T08:50:33","modified_gmt":"2019-11-22T08:50:33","slug":"evaluating-threat-intelligence","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/evaluating-threat-intelligence\/11750\/","title":{"rendered":"\u00c9valuation des sources de renseignements sur les menaces"},"content":{"rendered":"<p>Avec une surface d\u2019attaque en expansion et des menaces de plus en plus sophistiqu\u00e9es, il n\u2019est plus suffisant de r\u00e9agir \u00e0 un incident. Les environnements sont de plus en plus complexes et fournissent de nombreuses opportunit\u00e9s aux cybercriminels. Chaque secteur et chaque entreprise a des donn\u00e9es \u00e0 prot\u00e9ger, et utilise un ensemble d\u2019applications, de technologies, et autres qui lui sont propres. Toutes ces diff\u00e9rences introduisent un nombre consid\u00e9rable de variables en termes de m\u00e9thodes pouvant \u00eatre utilis\u00e9es pour r\u00e9aliser une attaque, avec de nouvelles m\u00e9thodes qui apparaissent tous les jours.<\/p>\n<p>Au cours de ces derni\u00e8res ann\u00e9es, nous avons observ\u00e9 un estompement des fronti\u00e8res entre les types de menaces et les types d\u2019acteurs de menaces. Les m\u00e9thodes et outils qui ne mena\u00e7aient qu\u2019un nombre limit\u00e9 d\u2019entreprises se sont propag\u00e9s \u00e0 un march\u00e9 plus vaste. Un bon exemple est le dumping de code par le groupe Shadow Brokers, qui a mis des exploits avanc\u00e9s \u00e0 disposition de groupes criminels qui n\u2019auraient jamais pu avoir acc\u00e8s \u00e0 ces codes si sophistiqu\u00e9s sans leur aide. Un autre exemple est l\u2019\u00e9mergence de campagnes de menaces persistantes avanc\u00e9es (APT) qui ne se concentrent pas sur le cyber-espionnage mais sur le vol, afin de d\u00e9rober des fonds et financer d\u2019autres activit\u00e9s du groupe APT. La liste est longue.<\/p>\n<p><strong>Une nouvelle approche est n\u00e9cessaire<\/strong><\/p>\n<p>Alors que de plus en plus d\u2019entreprises sont victimes d\u2019attaques avanc\u00e9es et cibl\u00e9es, il est \u00e9vident qu\u2019il faut adopter de nouvelles m\u00e9thodes pour avoir une d\u00e9fense efficace. Pour se prot\u00e9ger, les entreprises doivent adopter une approche proactive, et adapter constamment leurs contr\u00f4les de s\u00e9curit\u00e9 \u00e0 cet environnement de menaces qui est en constante \u00e9volution. Ce n\u2019est qu\u2019en \u00e9tablissant un programme efficace de renseignements sur les menaces que nous pourrons suivre le rythme de ces changements.<\/p>\n<p>Les renseignements sur les menaces sont d\u2019ores et d\u00e9j\u00e0 un composant cl\u00e9 en mati\u00e8re d\u2019op\u00e9rations de s\u00e9curit\u00e9 \u00e9tablies par les entreprises de diff\u00e9rentes tailles, de tous les secteurs, et de n\u2019importe quel pays. L\u2019Homme et les machines peuvent lire ces informations puisque ces renseignements sur les menaces peuvent aider les \u00e9quipes de s\u00e9curit\u00e9 en fournissant d\u2019importantes donn\u00e9es tout au long du cycle de gestion de l\u2019incident et en partageant des d\u00e9cisions strat\u00e9giques.<\/p>\n<p>Cependant, la demande croissante de renseignements externes sur les menaces a donn\u00e9 lieu \u00e0 l\u2019abondance de fournisseurs de renseignements sur les menaces, chacun offrant une gamme de services diff\u00e9rents. Votre entreprise peut \u00eatre extr\u00eamement confuse et particuli\u00e8rement frustr\u00e9e lorsqu\u2019elle doit choisir la bonne solution, \u00e0 cause de l\u2019\u00e9tendue de ce vaste march\u00e9 comp\u00e9titif qui propose une multitude d\u2019options complexes.<\/p>\n<div id=\"attachment_11751\" style=\"width: 1642px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-11751\" class=\"wp-image-11751 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2019\/05\/22095152\/threat-intelligence-scheme.png\" alt=\"\" width=\"1632\" height=\"882\"><p id=\"caption-attachment-11751\" class=\"wp-caption-text\">Op\u00e9rations de s\u00e9curit\u00e9 qui reposent sur les renseignements sur les menaces<\/p><\/div>\n<h4><\/h4>\n<p>Si les renseignements sur les menaces ne sont pas adapt\u00e9s aux besoins de votre entreprise alors ils peuvent aggraver la situation. De nos jours, les analystes de s\u00e9curit\u00e9 de nombreuses entreprises passent plus de la moiti\u00e9 de leur temps \u00e0 s\u2019occuper de faux positifs qu\u2019\u00e0 chasser et r\u00e9pondre aux menaces de fa\u00e7on proactive, ce qui entra\u00eene une hausse significative des temps de d\u00e9tection. Fournir des renseignements inexacts ou non pertinents \u00e0 vos op\u00e9rations de s\u00e9curit\u00e9 va faire augmenter d\u2019autant plus le nombre de fausses alertes, et aura un s\u00e9rieux impact n\u00e9gatif sur vos capacit\u00e9s de r\u00e9ponse, et sur la s\u00e9curit\u00e9 de votre entreprise en g\u00e9n\u00e9ral.<\/p>\n<p><strong>Les meilleurs renseignements se trouvent\u2026<\/strong><\/p>\n<p>Comment \u00e9valuer les diff\u00e9rentes sources de renseignements sur les menaces\u00a0? Comment identifier celles qui sont les plus pertinentes pour votre entreprise et les rendre fonctionnelles de fa\u00e7on efficace\u00a0? Comment faire le bon choix parmi cette quantit\u00e9 \u00e9norme de campagnes marketing inutiles o\u00f9 chaque vendeur dit avoir le meilleur syst\u00e8me\u00a0?<\/p>\n<p>Ces questions, m\u00eame si elles sont parfaitement valides, ne sont pas celles que vous devriez vous poser au d\u00e9but. Attir\u00e9es par les messages tape-\u00e0-l\u2019\u0153il et les grandes promesses, de nombreuses entreprises pensent qu\u2019un vendeur externe peut leur fournir une esp\u00e8ce de superpouvoir avec une vision \u00e0 rayons X, et ignorent compl\u00e8tement le fait que les renseignements les plus pr\u00e9cieux se trouvent au sein du r\u00e9seau de leur entreprise.<\/p>\n<p>Les donn\u00e9es relatives aux syst\u00e8mes de d\u00e9tection d\u2019intrusion et de pr\u00e9vention, aux pares-feux, aux registres d\u2019applications, et aux registres d\u2019autres contr\u00f4les de s\u00e9curit\u00e9 peuvent r\u00e9v\u00e9ler beaucoup de choses sur ce qu\u2019il se passe au sein du r\u00e9seau de l\u2019entreprise. Ces actions permettent d\u2019identifier les mod\u00e8les d\u2019activit\u00e9s malveillantes propres \u00e0 l\u2019entreprise, et peuvent faire la diff\u00e9rence entre un utilisateur normal et un comportement en r\u00e9seau, aider \u00e0 maintenir un suivi de l\u2019activit\u00e9s des donn\u00e9es d\u2019acc\u00e8s, identifier une \u00e9ventuelle faille de donn\u00e9es qui doit \u00eatre corrig\u00e9e, et bien d\u2019autres choses. Cette visibilit\u00e9 permet aux entreprises de rendre les renseignements externes sur les menaces op\u00e9rationnels, en les rattachant \u00e0 ce qui a \u00e9t\u00e9 observ\u00e9 en interne. D\u2019autre part, il pourrait \u00eatre difficile d\u2019utiliser les sources externes. Certains vendeurs peuvent avoir une visibilit\u00e9 plus \u00e9largie des cybermenaces gr\u00e2ce \u00e0 leur pr\u00e9sence mondiale, et leur capacit\u00e9 \u00e0 recueillir, traiter et mettre en corr\u00e9lation les donn\u00e9es communiqu\u00e9es depuis divers endroits dans le monde. Ces actions ne sont utiles que lorsque le contexte interne est suffisant.<\/p>\n<div id=\"attachment_11752\" style=\"width: 1627px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-11752\" class=\"wp-image-11752 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2019\/05\/22095257\/threat-intelligence-scheme-2.png\" alt=\"\" width=\"1617\" height=\"946\"><p id=\"caption-attachment-11752\" class=\"wp-caption-text\">Rendre fonctionnels les renseignements externes sur les menaces<\/p><\/div>\n<p>\u00a0<\/p>\n<p><strong>Pensez comme un cybercriminel<\/strong><\/p>\n<p>Pour concevoir un programme efficace de renseignements sur les menaces, les entreprises, y compris celles qui ont des centres de gestion de s\u00e9curit\u00e9 \u00e9tablis, doivent penser comme un cybercriminel ; elles doivent identifier et prot\u00e9ger les cibles les plus probables. Pour tirer une valeur r\u00e9elle de ce programme de renseignements sur les menaces, les entreprises doivent comprendre clairement quels sont les actifs cl\u00e9s, et quels sont les ensembles de donn\u00e9es et les processus d\u2019entreprises essentiels pour que l\u2019entreprise puisse atteindre les objectifs fix\u00e9s. L\u2019identification de ces \u00ab\u00a0joyaux\u00a0\u00bb permet aux entreprises de mettre en place des points de collecte de donn\u00e9es afin de cadrer davantage les donn\u00e9es recueillies avec les informations sur les menaces disponibles en externe. Si nous prenons en compte les ressources limit\u00e9es que les services de s\u00e9curit\u00e9 de l\u2019information ont g\u00e9n\u00e9ralement \u00e0 leur disposition, d\u00e9crire une entreprise dans sa totalit\u00e9 repr\u00e9sente un travail colossal. La solution consiste \u00e0 adopter une approche bas\u00e9e sur le risque, et \u00e0 se concentrer d\u2019abord sur les cibles les plus susceptibles.<\/p>\n<p>Une fois que les sources internes de renseignements sur les menaces sont \u00e9tablies et fonctionnelles, l\u2019entreprise peut alors penser \u00e0 ajouter des informations externes \u00e0 ces flux de travail existants.<\/p>\n<p><strong>Une question de confiance<\/strong><\/p>\n<p>Les sources externes de renseignements sur les menaces varient suivant le niveau de confiance :<\/p>\n<ul>\n<li>Les open sources sont gratuites mais elles manquent souvent de contexte et engendrent un nombre cons\u00e9quent de faux positifs.<\/li>\n<li>Pour bien commencer, il y a l\u2019acc\u00e8s aux communaut\u00e9s de partage des renseignements sp\u00e9cifiques \u00e0 un secteur, comme le Financial Services Information Sharing and Analysis Center (FS-ISAC). Ces communaut\u00e9s fournissent des informations extr\u00eamement pr\u00e9cieuses, m\u00eame si elles sont souvent s\u00e9curis\u00e9es ; il faut \u00eatre membre titulaire pour pouvoir y acc\u00e9der.<\/li>\n<li>Les sources commerciales de renseignements sur les menaces sont beaucoup plus fiables, m\u00eame si le paiement \u00e0 r\u00e9aliser pour y avoir acc\u00e8s peut \u00eatre cons\u00e9quent.<\/li>\n<\/ul>\n<p>La qualit\u00e9 devrait primer sur la quantit\u00e9 lorsqu\u2019il s\u2019agit de choisir des sources externes de renseignements sur les menaces. Certaines entreprises pensent peut-\u00eatre que plus elles peuvent int\u00e9grer des sources de renseignements sur les menaces, plus elles seront visibles. Cela peut \u00eatre vrai dans certains cas, par exemple lorsqu\u2019il s\u2019agit de sources de confiance, y compris les commerciales, qui fournissent des renseignements, adapt\u00e9s au profil de risque de l\u2019entreprise, sur les menaces. Si ce n\u2019est pas le cas, cette action repr\u00e9sente un risque important puisque les op\u00e9rations de s\u00e9curit\u00e9 de votre entreprise pourraient \u00eatre submerg\u00e9es par des informations non pertinentes.<\/p>\n<p>La superposition des informations que les vendeurs sp\u00e9cialis\u00e9s en renseignements sur les menaces fournissent peut \u00eatre minime. Comme ils ont des sources et des m\u00e9thodes de collecte de renseignements diff\u00e9rentes, les connaissances apport\u00e9es sont parfois uniques. Par exemple, un vendeur avec une pr\u00e9sence importante dans une r\u00e9gion en particulier va fournir plus de d\u00e9tails sur les menaces qui touchent cet endroit, alors que d\u2019autres proposent plus de renseignements sur certaines menaces sp\u00e9cifiques. L\u2019acc\u00e8s \u00e0 ces deux sources peut avoir certains avantages\u00a0: si elles sont associ\u00e9es, elles peuvent r\u00e9v\u00e9ler un contexte plus large et mener des missions de chasse de menaces et de r\u00e9ponse aux incidents de fa\u00e7on plus efficace. N\u2019oubliez pas toutefois que ces sources de confiance requi\u00e8rent \u00e9galement une \u00e9valuation minutieuse \u00e0 faire au pr\u00e9alable, afin de garantir que les renseignements fournis r\u00e9pondent aux besoins de votre entreprise, et utilisent des cas comme les op\u00e9rations de s\u00e9curit\u00e9, la r\u00e9ponse aux incidents, la gestion du risque, la gestion des vuln\u00e9rabilit\u00e9s, le red teaming, et bien d\u2019autres.<\/p>\n<p><strong>Probl\u00e8mes \u00e0 prendre en compte lorsque vous \u00e9valuez les offres commerciales de renseignements sur les menaces<\/strong><\/p>\n<p>Il n\u2019existe pas encore de crit\u00e8res communs permettant d\u2019\u00e9valuer les diverses offres commerciales de renseignements sur les menaces, mais voici quelques \u00e9l\u00e9ments \u00e0 prendre en compte\u00a0:<\/p>\n<ul>\n<li>Recherchez des renseignements \u00e0 l\u2019\u00e9chelle mondiale. Les attaques n\u2019ont pas de fronti\u00e8re. Une attaque qui prend pour cible une entreprise en Am\u00e9rique latine peut \u00eatre lanc\u00e9e depuis l\u2019Europe, et vice versa. Est-ce que le vendeur internationalise les informations et rassemblent des activit\u00e9s apparemment sans rapport au sein de campagnes coh\u00e9rentes\u00a0? Ce genre de renseignements vous permettent de mener les actions appropri\u00e9es.<\/li>\n<li>Si vous souhaitez avoir des contenus plus strat\u00e9giques pour mettre en place une planification \u00e0 long-terme de votre s\u00e9curit\u00e9, cherchez\u00a0:\n<ul>\n<li>Une vue d\u2019ensemble des tendances d\u2019attaque<\/li>\n<li>Les techniques et m\u00e9thodes utilis\u00e9es par les cybercriminels,<\/li>\n<li>Les motivations,<\/li>\n<li>Les attributions, etc.<\/li>\n<\/ul>\n<\/li>\n<li>Recherchez ensuite un fournisseur de renseignements sur les menaces qui a fait ses preuves apr\u00e8s avoir continuellement d\u00e9couvert et analys\u00e9 des menaces complexes dans votre r\u00e9gion ou dans votre secteur. Un autre aspect particuli\u00e8rement important est la capacit\u00e9 de ce fournisseur \u00e0 adapter son potentiel de recherche aux particularit\u00e9s de votre entreprise.<\/li>\n<li>Les donn\u00e9es deviennent des informations pertinentes gr\u00e2ce au contexte. Les indicateurs de menace n\u2019ont aucune valeur sans contexte. Vous devriez rechercher des fournisseurs qui vous aident \u00e0 r\u00e9pondre \u00e0 une des questions cl\u00e9s\u00a0: pourquoi est-ce important\u00a0? Le contexte de relation (domaines associ\u00e9s \u00e0 l\u2019adresse IP d\u00e9tect\u00e9e, ou URL \u00e0 partir de laquelle le fichier a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9) apporte une valeur additionnelle, stimule l\u2019analyse des incidents, et apporte un meilleur soutien de l\u2019analyse de l\u2019incident en d\u00e9couvrant tous les indicateurs de compromission du r\u00e9seau ayant un lien et r\u00e9cemment acquis.<\/li>\n<li>Nous partons du principe que votre entreprise a d\u00e9j\u00e0 mis en place des contr\u00f4les de s\u00e9curit\u00e9, a d\u00e9fini les processus associ\u00e9s, et que vous consid\u00e9rez qu\u2019il est important d\u2019utiliser des renseignements sur les menaces gr\u00e2ce \u00e0 des outils que vous utilisez et connaissez. Cherchez des m\u00e9thodes de prestation, et d\u2019int\u00e9gration de m\u00e9canismes et de formats qui soutiennent l\u2019association harmonieuse des renseignements sur les menaces au sein de vos op\u00e9rations de s\u00e9curit\u00e9 existantes.<\/li>\n<\/ul>\n<p>Kaspersky Lab se concentre sur la recherche de menaces depuis plus de deux d\u00e9cennies. Gr\u00e2ce aux p\u00e9taoctets de riches donn\u00e9es sur les menaces \u00e0 analyser, aux technologies avanc\u00e9es d\u2019apprentissage automatique, et \u00e0 un groupe unique d\u2019experts internationaux, nous travaillons pour vous apporter les tous derniers renseignements sur les menaces dans le monde, afin de vous aider \u00e0 vous prot\u00e9ger de toutes les attaques informatiques, y compris de celles jamais vues auparavant. Veuillez consulter note page Internet <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/security-operations-center-soc\" target=\"_blank\" rel=\"noopener\">Kaspersky for Security Operations Center<\/a> pour obtenir plus de renseignements.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pour se prot\u00e9ger, les entreprises doivent adopter une approche proactive, et adapter constamment leurs contr\u00f4les de s\u00e9curit\u00e9 \u00e0 cet environnement de menaces qui est en constante \u00e9volution.<\/p>\n","protected":false},"author":2510,"featured_media":11753,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[1052,2855,3521,3522,3523],"class_list":{"0":"post-11750","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-intelligence","10":"tag-renseignement-sur-les-menaces","11":"tag-renseignements-sur-les-menaces","12":"tag-siem","13":"tag-threat"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/evaluating-threat-intelligence\/11750\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/evaluating-threat-intelligence\/15773\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/evaluating-threat-intelligence\/13301\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/evaluating-threat-intelligence\/17684\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/evaluating-threat-intelligence\/15829\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/evaluating-threat-intelligence\/14572\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/evaluating-threat-intelligence\/18466\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/evaluating-threat-intelligence\/17333\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/evaluating-threat-intelligence\/28505\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/evaluating-threat-intelligence\/5984\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/evaluating-threat-intelligence\/26952\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/evaluating-threat-intelligence\/11863\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/evaluating-threat-intelligence\/19273\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/evaluating-threat-intelligence\/23252\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/evaluating-threat-intelligence\/22401\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/evaluating-threat-intelligence\/22609\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/evaluating-threat-intelligence\/22559\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/renseignement-sur-les-menaces\/","name":"renseignement sur les menaces"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11750","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2510"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=11750"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11750\/revisions"}],"predecessor-version":[{"id":12666,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11750\/revisions\/12666"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/11753"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=11750"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=11750"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=11750"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}