Cyberattaques : de quoi parle-t-on ?
13 mars 2019
Threat Intelligence : connaître pour anticiper
La Threat Intelligence est devenue incontournable dans la lutte contre les menaces. Mais de quoi s’agit-il ?
Le marché de la Threat Intelligence était évalué à 5,54 milliards de dollars en 2020 et devrait atteindre 20,20 milliards de dollars d’ici 2027, avec un taux de croissance annuel moyen de 18,95 % entre 2020 et 2027*.
A quoi sert la Threat Intelligence ?
La Threat Intelligence peut être définie comme une extension du processus de veille de sécurité, mais en beaucoup plus poussée. Elle complète ainsi les approches classiques de la sécurité par une analyse basée sur le suivi des attaquants.
L’objectif ? Alimenter continuellement une base de données des menaces et des pirates pour demeurer en capacité de répondre au plus vite aux attaques éventuelles, mais aussi et surtout, en anticiper de nouvelles. Pour cela, les équipes de Threat Intelligence collectent et organisent les menaces afin d’établir des profils complets (attaquants, secteurs d’activités touchés, méthodes utilisées, etc.), et ce tout au long de l’année.
La Threat Intelligence, ce n’est pas :
La Threat Intelligence ne prend pas en considération :
- des informations évidentes au sujet d’une menace qu’il serait possible de détecter sans connaissances du domaine ;
- des renseignements sur les vulnérabilités (même si elles sont souvent transmises par les fournisseurs de TI).
La TI n’est pas non plus un outil dédié à la réponse aux incidents, même si les équipes de réponse aux incidents bénéficient des retours de Threat Intelligence. L’objectif d’une solution de Threat Intelligence est avant tout de réduire les risques opérationnels pour maintenir ou augmenter la rentabilité de l’entreprise. Elle ne doit pas être une connaissance exhaustive des menaces et de leurs caractéristiques. Au contraire, optimiser le tri des données récoltées permet de traiter uniquement les informations les plus pertinentes pour apporter les réponses les plus ciblées possibles. On parle alors de « renseignement ».
Pour les équipes de Threat Intelligence, quelle est la différence entre une donnée, une information et un renseignement ?
La Threat Intelligence fait les distinctions suivantes :
- Les données (ou data) : disponibles en grande quantité, les données doivent être extraites de façon sélective, organisée, datée et formatée afin de devenir de l’information ;
- Les informations : elles sont produites quand des points de données sont combinés pour répondre à une question simple ;
- Les renseignements : ils sont une combinaison d’informations et de données permettant de recomposer une histoire ou une suite d’évènements pouvant être utiles à une prise de décision. Le renseignement aide à trouver une réponse à une question plus complexe.
Données
- Issues de l’environnement opérationnel du système ou de sources externes
- Disponibles en grande quantité mais avec une durée de vie courte
- Collectées indistinctement
- Peuvent être vraies, fausses, trompeuses
- Non actionnables
Informations
- Combinaison de points de données répondant à une question simple
- Non évaluées
- Issues de données filtrées, organisées et formatées
- Peuvent être vraies, fausses, trompeuses
- Non actionnables
Renseignements
- Combinaison d’informations et de données répondant à une question complexe
- Vérifiés par des experts
- Collectés depuis des sources fiables, évaluées et recoupées
- Vrais et précis
- Actionnables
Un renseignement est une combinaison d’informations et de données permettant de recomposer une histoire (une suite d’évènements) pouvant être utile à une prise de décisions.
Prochaine étape pour choisir la solution la plus adaptée : découvrir les différents types de Threat Intelligence.
Notes
