Tirer une valeur stratégique de vos pratiques en matière de cyber-menaces

Tirer une valeur stratégique de vos pratiques en matière de cyber-menaces

Un nombre croissant d’entreprises dépendent aujourd’hui de leurs pratiques en matière de cyber-menace pour rester en avance sur des attaquants déterminés et sur une surface d’attaque en constante expansion. En fait, selon Help Net Security, 72% des entreprises produisent ou utilisent actuellement des données CTI. Les statistiques de l’Enquête mondiale sur la sécurité de l’information 2018-19 d’EY montrent que près de la moitié des entreprises ont développé des capacités internes de collecte et d’alimentation de renseignements sur les menaces (46%) et d’analyses de renseignements sur les menaces (54%).

Cependant, avoir accès aux données CTI ou les générer ne se traduit pas automatiquement par de meilleures informations, une meilleure réponse aux incidents ou une prise de décision améliorée. Alors, comment les organisations peuvent-elles tirer le meilleur parti de leurs pratiques en matière de renseignement sur la cybermenace ?

Pour maximiser une fonction CTI, il faut commencer par identifier les parties prenantes à différents niveaux de l’organisation et en comprendre les objectifs lorsqu’elles utilisent les informations CTI. A quelles questions les données CTI aideront-elles à répondre? Comment ces données seront-elles utilisées? Une fois que votre pratique CTI est lancée, envisagez d’automatiser certaines parties du processus afin d’accroître l’efficacité et de libérer du temps humain pour des tâches plus stratégiques. Les organisations plus matures doivent déterminer dans quelle mesure les informations sur la cybermenace sont exploitables et accessibles, le baromètre ultime étant si l’information est utilisée dans l’ensemble de l’organisation pendant la prise de décision.

Une feuille de route pour améliorer vos pratiques en matière de renseignement sur la cyber-menace

Les organisations à la recherche d’une feuille de route pour orienter leurs efforts en matière de cyberintelligence trouveront une grande valeur dans le «Rapport sur la cyberintelligence intellectuelle», publié en mai 2019 par le Software Engineering Institute (SEI) de l’Université Carnegie Mellon. Rempli de conseils à la fois pour les dirigeants d’entreprise et les responsables de cybermenaces, ce rapport complet détaille non seulement l’état des pratiques en matière de cyberintelligence aux États-Unis, mais fournit également un cadre pour guider les entreprises cherchant à développer ou améliorer leurs pratiques existantes, en partageant leurs points de vue sur des organisations très performantes. (HPO) en cours de route.

Le rapport adopte une vision plus large des opérations de renseignement, d’où l’utilisation du terme «cyberintelligence» par opposition à «renseignement sur la cybermenace», indiquant que le premier inclut le dernier (mais pas l’inverse).

Le cadre de la cyberintelligence: de quoi s’agit-il et pourquoi est-il important

Le rapport SEI a évalué plus de 30 organisations en fonction de 33 facteurs d’évaluation, qui ont ensuite été cartographiés sur les cinq éléments du cadre. Le cadre a été créé pour faire en sorte que les organisations tirent le plus grand profit possible de leurs pratiques en matière de renseignement. Les cinq éléments couvrent à la fois la vue stratégique au niveau de la direction pour déterminer quelles données sont collectées et comment extraire la valeur du processus:

  1. Contexte environnemental – Garantit que les organisations ont acquis une compréhension profonde de leurs données, systèmes et réseaux, ainsi que de leur surface d’attaque et des menaces auxquelles elles sont confrontées.
  2. Collecte de données – Processus et sources utilisés par les organisations pour générer ou collecter des données de cyber-intelligence.
  3. Analyse de la menace – Les cyber-informations reçues ou collectées sont ensuite analysées pour obtenir des informations de menace pouvant être utilisées qui seront utilisées par le responsable de la sécurité de l’information (RSSI) et les gestionnaires de niveau intermédiaire.
  4. Analyse stratégique – Extrait des informations pertinentes pour la prise de décision par la direction. De par leur nature même, il s’agit d’informations relatives à la santé, à la réputation et à la rentabilité de l’organisation, qui revêt donc un intérêt vital pour les hauts dirigeants.
  5. Rapports et commentaires – Couvre les mécanismes de communication, d’utilisation et de commentaires nécessaires pour assurer un processus efficace – ou d’amélioration – de la cyberintelligence.

La plupart des organisations possèdent des éléments allant du premier au troisième, ce qui signifie qu’elles ont déterminé le contexte commercial, qu’elles sont capables de collecter des données (par leurs propres moyens ou via des flux CTI) et qu’elles possèdent une sorte de capacité d’analyse des menaces – là encore, en interne ou externalisé. Cependant, les HPO se différencient des autres par leur capacité à effectuer des analyses de niveau stratégique, à fournir des rapports rapides et personnalisés et à recevoir régulièrement des commentaires des dirigeants sur la qualité du travail d’analyse.

La plupart des programmes de renseignement sur la cybermenace rencontrent des difficultés

Quels sont donc les défis auxquels les organisations sont confrontées pour optimiser leurs programmes CTI? Un rapport publié en 2018 par la société HIMSS (Healthcare Information and Management Systems Society) a mis en lumière certains des principaux obstacles rencontrés par les organisations de santé.

Lorsqu’on leur a demandé quels étaient les meilleurs moyens pour les organisations de soins de santé de remédier aux incidents de cybersécurité et de les atténuer, les avantages de la cyberintelligence ont été mis en évidence. Cependant, un quart des organisations ont également mentionné le grand nombre de menaces nouvelles et émergentes comme un obstacle à une utilisation efficace des données CTI alors qu’elles peinent à simplement analyser leur volume de données. Parmi les autres réponses courantes, il y avait le manque de technologies ou d’outils appropriés et du niveau de savoir-faire approprié pour une utilisation et un déploiement efficaces des processus CTI.

Les problèmes signalés dans le document HIMSS sont repris dans le rapport SEI. Parmi les défis qui entravent l’efficacité des processus de cyberintelligence, le rapport SEI mentionnait:

  • Le fossé entre l’expertise technique et analytique, notant que dans de nombreux cas, les analystes sont bien informés sur le plan technique, mais pas dans l’analyse du renseignement, ou vice versa.
  • Le fossé entre l’expertise technique et analytique, notant que dans de nombreux cas, les analystes sont bien informés sur le plan technique, mais pas dans l’analyse du renseignement, ou vice versa.
  • L’absence d’adhésion des dirigeants, qui est un cercle vicieux dans les cas où le programme de renseignements sur les menaces n’a pas tenu ses promesses aux dirigeants. Les organisations confrontées à cette situation bénéficieraient grandement de la mise en œuvre des recommandations qui suivent.
Mettez en œuvre les meilleures pratiques pour votre programme de cyberintelligence

Parmi les meilleures pratiques et recommandations énumérées dans le rapport SEI, les organisations qui adoptent les mesures suivantes bénéficieraient non seulement d’avantages à court terme, mais également d’améliorations à long terme, car ces recommandations peuvent également contribuer aux efforts d’amélioration continue.

Développer un centre de fusion

Un centre de fusion peut aider à éliminer les silos et à garantir que les informations sont partagées rapidement avec toutes les parties concernées. Se focaliser sur la gestion des collections aiderait également l’organisation à déterminer qui peut coordonner les besoins en renseignement (par exemple, pour quelles questions cherchons-nous des réponses? Quelles sources de données devrions-nous utiliser pour obtenir ces réponses?).

Travailler vers une analyse stratégique

L’analyse stratégique élève les informations sur les menaces d’un point de vue technique au principe de risque et fournit des informations aux dirigeants contenant des informations exploitables. Il est de nature holistique et couvre les menaces actuelles et futures, les acteurs de la menace – y compris les comportements et l’évolution de leurs capacités – les risques et les opportunités, tels que ceux découlant des technologies émergentes.

Plus important encore, l’analyse stratégique fournit des informations que l’organisation doit utiliser pour améliorer sa capacité à préparer, détecter, traiter et réparer les incidents de sécurité. Comme l’indique le rapport SEI, l’analyse stratégique produit «les bons rapports pour votre organisation». Mais pour atteindre ce stade, il faudra également un autre élément clé: le retour d’informations.

Améliorer les rapports et les commentaires

L’un des facteurs de différenciation les plus frappants entre les organisations performantes et les autres entreprises est leur intérêt pour le lecteur. Plus de 70% des HPO avaient une stratégie et un calendrier bien définis pour générer leurs précieux rapports sur différents publics (p. Ex., RSSI, directeurs de secteur, directeurs de conseil). Mais les HPO se sont également distingués par les réactions claires et régulières des hauts dirigeants et du conseil d’administration sur la valeur de leurs rapports stratégiques, notamment sur la fréquence à laquelle les rapports CTI sont utilisés lors de la prise de décisions importantes.

Automatiser

Quel que soit leur niveau de maturité CTI actuel, la plupart des entreprises peuvent tirer parti de l’automatisation. Cependant, les entreprises vont rapidement se poser la question difficile de savoir quelles parties du processus CTI elles doivent automatiser, suivies rapidement par toute une série de questions détaillées sur les normes et les protocoles à utiliser.

Ces organisations trouvent de nombreuses réponses dans le rapport «ISAO 300-2: Partage automatisé d’informations sur la cybermenace, publié par l’organisation de normes ISAO», publié en avril 2019. Ce document fournit des directives techniques aux organisations souhaitant automatiser le partage ou la consommation de données CTI collaboratives. Ce document de niveau tactique aidera les responsables de la mise en œuvre à répondre aux questions plus techniques – normes, protocoles, accords, etc. – et fournira une liste détaillée des processus permettant de déterminer les éléments à automatiser.Ces organisations trouvent de nombreuses réponses dans le rapport «ISAO 300-2: Partage automatisé d’informations sur la cybermenace, publié par l’organisation de normes ISAO», publié en avril 2019. Ce document fournit des directives techniques aux organisations souhaitant automatiser le partage ou la consommation de données CTI collaboratives. Ce document de niveau tactique aidera les responsables de la mise en œuvre à répondre aux questions plus techniques – normes, protocoles, accords, etc. – et fournira une liste détaillée des processus permettant de déterminer les éléments à automatiser.

Adopter les technologies émergentes

Outre l’automatisation, le rapport SEI souligne les avantages de l’adoption de l’intelligence artificielle (IA) dans les processus de cyberintelligence, soulignant que de nombreuses organisations utilisent l’IA et l’apprentissage automatique pour aider les analystes humains, accélérer et améliorer la collecte et l’analyse des données, et générer des rapports personnalisés pour différents publics.

Il déclare en outre: “L’intelligence artificielle utilisant l’apprentissage automatique a le potentiel de libérer les analystes humains du fardeau des tâches manuelles et de les libérer de la pensée critique.”

Mettre l’accent sur la valeur stratégique pour l’entreprise

Alors que de plus en plus d’organisations développent leurs pratiques en matière de renseignement pour inclure les cybermenaces dans le processus décisionnel quotidien, il est important de garder à l’esprit que la valeur de ces activités va actuellement de trop technique et trop tactique pour être utile, jusqu’aux briefings stratégiques. Mais les enjeux sont trop importants pour qu’on y renonce. Concentrez-vous donc sur la valeur – valeur stratégique pour l’entreprise – recevez régulièrement les commentaires des principaux dirigeants et déterminez les technologies – telles que l’automatisation et l’IA – dont vous avez besoin pour devenir une entreprise très performante.