Kaspersky organisera le mardi 18 avril 2023, un webinaire autour de la question Threat Intelligence. L’information a été donnée par Thierry Gourdin, Head of presales Kaspersky France and North, West & Central Africa, sur le site officiel du géant de la cybersécurité. Pendant une trentaine de minutes, l’expert reprendra les principaux avantages d’une Threat Intelligence efficace et les conditions optimales d’une bonne prise en main.
Dans le communiqué Thierry Gourdin a précisé que le suivi, l'analyse, l'interprétation et la lutte contre les menaces informatiques représentent un travail considérable. Et dans tous les secteurs, les entreprises manquent de données actualisées et pertinentes pour gérer les risques liés aux menaces informatiques. Ainsi, les flux de Threat Intelligence fournissent aux équipes de réponse à incidents et aux SOC les informations dont elles ont besoin à chaque étape du cycle de gestion des incidents. La Threat Intelligence permet de trier les alertes de sécurité, de dynamiser la détection des menaces, l’investigation des incidents et leur réponse, ainsi que de contribuer à une prise de décisions stratégiques éclairées. En outre, les services de Threat Intelligence que Kaspersky propose, donnent accès aux informations nécessaires pour atténuer ces cybermenaces.
La Threat Intelligence ?
C’est un processus d'identification et d'analyse des cybermenaces, l'expression « Threat Intelligence » désigne les données collectées à propos d'une menace ou le processus de collecte, de traitement et d'analyse de ces données dans le but de mieux comprendre les menaces. La Threat Intelligence consiste à passer au crible les données, à les examiner dans leur contexte pour repérer les problèmes et à déployer des solutions particulières au problème constaté.
La Threat Intelligence est parfois confondue avec d'autres termes liés à la cybersécurité. Le plus souvent, les gens confondent les « données sur les menaces » et la « Threat Intelligence » (renseignements sur les menaces), mais les deux concepts sont différents. D’une part, les données sur les menaces sont une liste de menaces possibles. Tandis que d’autre part, la Threat Intelligence s'intéresse à la situation dans son ensemble, en interrogeant les données et le contexte plus large pour construire un récit qui peut éclairer la prise de décision. En substance, la Threat Intelligence permet aux organisations de prendre des décisions plus rapides et plus éclairées en matière de sécurité. Elle encourage les comportements proactifs, plutôt que réactifs, dans la lutte contre les cyberattaques.
La Threat Intelligence est-elle importante ?
La Threat Intelligence est un élément crucial de tout écosystème de cybersécurité. Un programme de Threat Intelligence en matière de cybersécurité permet d'éviter la perte de données. Grâce à un programme CTI bien structuré, les organisations peuvent repérer les cybermenaces et empêcher les atteintes à la protection des données de divulguer des informations sensibles. Elle fournit des directives concernant les mesures de sécurité. En détectant et en analysant les menaces, le programme CTI repère les modèles utilisés par les pirates informatiques et aide les organisations à mettre en place des mesures de sécurité pour se prémunir contre de futures attaques. Elle informe les autres : les pirates sont de plus en plus intelligents, jour après jour. Pour y faire face, des spécialistes de la cybersécurité partagent les stratégies observées avec d'autres informaticiens pour créer une base de connaissances collective permettant de lutter contre la cybercriminalité.
Types de Threat Intelligence
La Threat Intelligence en matière de cybersécurité est souvent divisée en trois catégories : stratégique, tactique et opérationnelle.
Threat Intelligence stratégique
Il s'agit généralement d'une analyse de haut niveau destinée à un public non technique, par exemple, le conseil d'administration d'une entreprise ou d'une organisation. Elle couvre les sujets liés à la cybersécurité qui peuvent avoir une incidence sur des décisions commerciales plus larges et examine les tendances générales ainsi que les motivations. La Threat Intelligence stratégique est souvent basée sur des sources ouvertes (ce qui signifie que tout le monde peut y accéder), comme les rapports des médias, les livres blancs et les recherches.
Threat Intelligence tactique
Elle se concentre sur l'avenir immédiat et s'adresse à un public plus compétent sur le plan technique. Elle détermine des indicateurs de compromission (IOC) simples pour permettre aux équipes informatiques de rechercher et d'éliminer des menaces particulières au sein d'un réseau. Les IOC comprennent des éléments, comme de mauvaises adresses IP, des noms de domaine malveillants connus, un trafic inhabituel, des avertissements de connexion ou une augmentation des demandes de fichiers/téléchargement. La Threat Intelligence tactique est la forme de renseignement la plus simple à générer et elle est généralement automatisée. Sa durée de vie est souvent courte, car de nombreux IOC deviennent rapidement obsolètes.
Threat Intelligence opérationnelle
Derrière chaque cyberattaque se cache un « qui », un « pourquoi » et un « comment ». La Threat Intelligence opérationnelle est conçue pour répondre à ces questions en étudiant les cyberattaques passées et en tirant des conclusions sur l'intention, le moment et la sophistication. La Threat Intelligence opérationnelle requiert plus de ressources que la Threat Intelligence tactique et elle présente une durée de vie plus longue. En effet, les cyberattaquants ne peuvent pas changer leurs tactiques, leurs techniques, ni leurs procédures (connues sous le nom de TTP) aussi facilement qu'ils peuvent changer leurs outils, comme un type particulier de programme malveillant.
Inscrivez-vous ICI
Source : Kaspersky
Koffi ACAKPO
Journaliste digital
