Livre blanc Threat

Intelligence :
êtes-vous prêt ?

Plus d'informations sur kaspersky.fr

#bringonthefuture
Introduction
Ce livre blanc a été réalisé par les experts de Kaspersky pour vous aider à mieux comprendre
les atouts et les enjeux de la Threat Intelligence, d’où elle vient, vers quoi elle évolue, ce
qu’elle n’est pas : pour vous aider à vous poser les bonnes questions, à y voir plus clair et vous
permettre, peut-être, de répondre à cette simple question : êtes-vous prêt ?

Sommaire

1 – Définition et naissance d’une norme p.2

2 – Ce que la Threat Intelligence n’est pas p.5

3 – Votre entreprise est-elle prête à passer à la Threat Intelligence ?

- Les 9 aprioris communément évoqués par les entreprises p.9
- Les 8 questions à se poser pour déterminer si votre entreprise p.11
est prête à passer à la Threat Intelligence

1
1 - Naissance et évolution de la Threat Intelligence

La Threat Intelligence alimente les outils de

cybersécurité.
Pour comprendre le rôle de plus en plus important
que jouera la Threat Intelligence dans l’avenir,
examinons de plus près comment elle a évolué au
cours des deux dernières décennies.

Le début des années 2000 a vu le développement de listes

noires d’adresses IP et d’URL. Celles-ci ont été, avec le recul,
les précurseurs de la «Threat Intelligence», bien que le concept
de la «Threat Intelligence» n’ait pas encore été formulé. Les
produits de sécurité de gestion des événements (SIEM) et de pare-feu de nouvelle génération (NGFW)
ont intégré les données de ces listes noires et généré des alertes et des rapports. Les chercheurs en
sécurité ont ensuite recherché « manuellement » les menaces et envoyé des mises à jour quotidiennes
à leurs clients.

À partir de 2010, l’explosion du dark web et des activités malveillantes ont

révélé les limites de ces contrôles de sécurité, qui n’étaient pas conçus pour
traiter un nombre suffisamment importants d’indicateurs de compromission.
Au cours des années suivantes, il est devenu évident que ces outils seuls
ne seraient pas efficaces pour identifier et traiter des dizaines de millions
(et toujours de plus en plus) de domaines malveillants, adresses IP et autres
menaces hautement personnalisées.

Les éditeurs de cybersécurité ont réagi en exploitant le machine

learning et l’IA pour automatiser et corréler les données à une échelle
sans précédent. Ils ont mis en place des millions de capteurs et leurs
flux de données ont collecté d’énormes quantités d’informations,
qui ont été analysées et traitées par des outils de big data de plus
en plus sophistiqués. Des systèmes automatisés ont commencé
à être utilisés pour effectuer une détection complexe couvrant
toutes les surfaces d’attaque. La technologie Big data a conduit au
développement du concept de « Threat Intelligence ».

2
2015 a vu une nouvelle étape de l’évolution de la Threat Intelligence
(TI) : la prise en compte du rôle vital de l’intelligence humaine dans
la transmission de données de TI. Une conséquence involontaire de
l’utilisation du machine learning et de l’IA a été le nombre écrasant de
fausses alertes de sécurité quotidiennes. Il est devenu clair que l’IA et les
outils de Big Data ne produisaient pas à eux seuls des informations utiles.
Des experts en sécurité ont donc été de plus en plus sollicités,
non seulement pour superviser la collecte de renseignements de manière
à réduire les faux positifs, mais aussi pour améliorer la visibilité des
menaces et des méthodologies d’attaque spécifiques à leurs organisations, permettant des activités
de détection et de réponse plus rapides qui mettaient l’accent sur la découverte et la priorisation des
vulnérabilités.

À partir de 2018, l’industrie de la `` Threat Intelligence ‘’ s’est

considérablement développée, avec des centaines de nouvelles
sociétés de cybersécurité entrant sur le marché, offrant des services
spécifiques et ciblés, axés sur la qualité des sources de données, dans
le but de fournir des lignes directrices pertinentes pour les décisions
et les actions. En outre, les organisations achetant des produits et
services de TI ont commencé à se concentrer sur un déploiement
plus efficace, en adaptant la collecte de données à des exigences de
sécurité spécifiques, en hiérarchisant correctement les informations
et en établissant des points de collecte de données pertinents.

En 2019, une norme de `` Threat Intelligence ‘’ a été formulée

et acceptée : plusieurs sources de renseignements fournissant
des données pertinentes et ciblées converties en informations
immédiatement exploitables et intégrées dans les opérations de
sécurité d’une organisation et cela via un point d’entrée unique
et communiquant de manière transparente avec les informations
existantes des contrôles de sécurité d’une organisation, pour
fournir des informations uniques sur les menaces émergentes et
permettre aux équipes de sécurité de hiérarchiser les alertes, de
maximiser les ressources et d’accélérer les processus de prise de
décision.

3
Que pouvons-nous attendre à partir de 2020 ?
$12,9
Le marché de la Threat Intelligence est à la fois en train
milliards
de mûrir et de croître en termes de taille, estimée par la
principale société de recherche MarketsandMarkets à 12,9 Estimation du marché de la

milliards de dollars d’ici 2023. Threat Intelligence d’ici 2023.

Des organisations de toutes tailles déploient désormais activement la Threat Intelligence dans le cadre
de leurs équipements de cybersécurité.
Les éditeurs de cybersécurité intègrent déjà leurs produits et services avec ceux d’autres éditeurs
pour proposer des packages de Threat Intelligence complets. Le partage des bonnes pratiques sera la
nouvelle norme menant à des défenses mieux préparées contre les menaces croissantes telles que les
attaques sans malware.

Cette nouvelle décennie verra la transition d’une cybersécurité réactive à une cybersécurité proactive.
La collaboration et la coopération occuperont le devant de la scène en tant que composante
essentielle de la fourniture d’une information proactive sur les menaces.

Le rôle des équipes de sécurité s’élargira, couvrant les tactiques,

les techniques, les procédures, les évaluations stratégiques et les
comportements des menaces, tous immédiatement accessibles à
tous les niveaux et au sein de différentes équipes dans l’entreprise.

Les équipes de sécurité seront responsables de la livraison d’une

Threat Intelligence proactive qui non seulement protège les
organisations contre les menaces, mais aussi s’aligne avec et aide à façonner les objectifs commerciaux,
identifie les risques (fusions et acquisitions, Business Intelligence, etc.) et aide à déterminer les budgets
de sécurité.

L’objectif à partir de 2020 est

d’opérationnaliser la Threat Intelligence pour
prévoir et prévenir efficacement les attaques
dès les premières étapes. En fin de compte, les
programmes de Threat Intelligence soutiendront
tout le concept de cybersécurité proactive et de
risque organisationnel.

4
 Evolution de la Threat Intelligence
La Threat Intelligence est prête à prendre le devant de la scène
à mesure que le besoin de cybersécurité proactive augmente.

Découvrez comment elle a évolué depuis les 20 dernières années.

Années 2000
Arrivée des listes noires
d’adresses IP et d’URL,
précurseurs de la TI
Années 2015
Années 2010 Les équipes de sécurité
sont submergées par un
Les contrôles de sécurité
grand nombre de fausses
existants ne peuvent plus
alertes de sécurité
combattre ‘l’explosion’ de
quotidiennes
malwares et d’indicateurs de
compromission

L’analyste Gartner retient

les terminologies de
‘Sécurité des informations’
et ‘SIEM’
\

Evolution de la Threat Intelligence

Les SIEM et les pare-feu
intègrent les données des
listes noires, générant Reconnaissance du rôle
desIntelligence est prête à prendre le devant de la scène
La Threat
alertes à mesure que le besoinLedemachine
cybersécurité vital de l'expertise humaine
learningproactive
(ML) et augmente.
combinée au ML pour une
la technologie Big Data Threat Intelligence efficace
commencent à automatiser
Découvrez comment elle a évolué depuis etles 20 dernières
traiter années.
les données Les experts en sécurité
Années
jouent un rôle de2015
plus en
plus important dans le
Les systèmes automatisés
Années
effectuent 2010
une détection ‘raffinage’ de la collecte
Les équipes de
Années 2000 de plus en plus complexe, automatisée desécurité
sont
renseignements par un
submergées
couvrant toutes
Les contrôles deles
sécurité
grand nombre de fausses
surfaces d'attaque
existants ne peuvent plus
Les chercheurs
Arrivée des listes en sécurité
noires alertes de sécurité
combattre ‘l’explosion’ de
chassent IP
d’adresses lesetmenaces
d’URL, quotidiennes
Les éditeurs
malwares établis et ceux
et d’indicateurs de
‘manuellement’
précurseurs de la et
TI envoient spécialisés dans les logiciels
compromission
des mises à jours de façon de sécurité commencent à
périodique
L’analyste aux clients
Gartner retient vendre de la Threat
les terminologies de Intelligence
‘Sécurité des informations’
et ‘SIEM’ La recrudescence
mondiale
\ des embauches
Les SIEM et les pare-feu de spécialistes en TI révèle
intègrent les données des une pénurie chronique et
listes noires, générant des Reconnaissance du rôle
continue de compétences
alertes vital de l'expertise humaine
Le machine learning (ML) et combinée au ML pour une
la technologie Big Data Threat Intelligence efficace
commencent à automatiser
et traiter les données Les experts en sécurité
jouent un rôle de plus en
Années
Les systèmes 2020
automatisés plus important dans le
effectuent une détection ‘raffinage’ de la collecte
de plus en plus complexe, automatisée de
La coopération
couvrant et le
toutes les renseignements
partaged'attaque
surfaces de bonnes
Annéesen2018
Les chercheurs sécurité pratiques entre les
chassent les menaces éditeurs
Les facilite
éditeurs la et
établis Threat
ceux
‘manuellement’ etThreat
envoient Intelligence
spécialisés dans les logiciels 5
L’industrie de la
des mises à jours de façon
Intelligence se développe de sécurité commencent à
périodique aux clients
 chassent les menaces
‘manuellement’ et envoient
des mises à jours de façon
périodique aux clients
Les éditeurs établis et ceux une pénurie chronique et
spécialisés dans les logiciels continue de compétences
de sécurité commencent à
vendre de la Threat
Intelligence

Années 2018
L’industrie de la Threat
Intelligence se développe
considérablement alors
que des centaines
d’éditeurs entrent sur le
marché
Années 2018
L’industrie de la Threat
Intelligence se développe
considérablement alors
que des centaines
La norme de
d’éditeurs ‘Threatsur le
entrent
Intelligence’ est convenue :
marché
des données exploitables,
intégrées de manière
transparente dans la
sécurité
La recrudescence
mondiale des embauches
Années 2020 de spécialistes en TI révèle
une pénurie chronique et
La coopération et le continue de compétences
partage de bonnes
pratiques entre les
éditeurs facilite la Threat
Intelligence
Années 2020
La coopération et le
L’IA et l'analyse
partage quantique
de bonnes
prédictive sont intégrées
pratiques entre
dans toutes
les
les applications
éditeurs facilite la Threat
destinées
Intelligenceaux entreprises
Une base de connaissance
mondiale facile d’accès
devient un composant clé
de la Threat Intelligence
L’IA et l'analyse quantique
prédictive sont intégrées
dans toutes les applications
destinées aux entreprises

Les organisations Une base de connaissance

exploitent leurs données mondiale facile d’accès
internes devient un composant clé
La normepour les
de ‘Threat
exigences de sécurité, de la Threat Intelligence
Intelligence’ est convenue :
afin d'obtenir des Les évaluations
des données exploitables,
renseignements significatifs stratégiques de la Threat
intégrées de manière
Intelligence sous-tendent
transparente dans la
une nouvelle norme de
sécurité
cybersécurité proactive
Les organisations
exploitent leurs données
Le marché
internes de les
pour la Threat
Intelligence
exigences de sécurité, à
commence
consolider
afin sesdes
d'obtenir résultats, ce Les évaluations
qui réduit la fragmentation
renseignements significatifs stratégiques de la Threat
du marché Intelligence sous-tendent
une nouvelle norme de
cybersécurité proactive

Le marché de la Threat
Intelligence commence à
consolider ses résultats, ce
qui réduit la fragmentation
du marché

6
2. Ce que la Threat Intelligence n’est pas

Les entreprises, les éditeurs et les analystes s’engagent dans un processus

continu pour définir ce qu’est réellement la Threat Intelligence et ce qu’elle
n’est pas. C’est un processus nécessaire, car ce n’est qu’en comprenant ce qui
n’est PAS une menace que l’industrie peut évoluer et développer les produits et
services qui serviront de base à une cybersécurité proactive.

Il existe de nombreux fournisseurs de flux sur les menaces et de services de TI qui traitent et
fournissent de grandes quantités de données essentiellement brutes (indicateurs sans contexte)
commercialisées sous le nom de « Threat Intelligence ». Alimenter vos opérations de sécurité avec
une telle quantité de renseignements entraînerait trop de fausses alertes de sécurité quotidiennes,
écrasant vos équipes de sécurité et créant une « fatigue d’alerte ». Cela aurait inévitablement un
impact sérieux et négatif sur vos capacités de réponse, et la sécurité globale de votre entreprise.

7
 Selon les recherches de Cisco en 2018, 44%
44% des alertes des alertes de sécurité quotidiennes ne font
jamais l’objet d’une enquête et les données sont
de sécurité quodienne
simplement inutilisées. Le simple fait de trier une
ne font jamais l’objet d’une enquête
énorme quantité de données (sans contexte) à
et les données sont simplement
partir de sources de Threat Intelligence disponibles
inutilisées.
n’est pas de la Threat Intelligence.

Cela a permis de réaliser qu’il n’y a pas de solution de Threat Intelligence rapide pour protéger une
organisation. Il est désormais généralement reconnu que les données brutes extraites en quantités
énormes, non structurées et non traitées ne peuvent même pas être qualifiées d’informations utiles et
encore moins de TI. Et surtout, les données, aussi pertinentes soient-elles, sont encore inutiles à moins
qu’elles ne soient exploitables et contextualisées.

?
L’accent est désormais entièrement mis sur la
qualité des sources des données. Identifier ce
qui constituait une menace hier est une
« histoire ». Les données qui fournissent des
informations mais ne fournissent pas de
lignes directrices pour inciter à prendre des
décisions et à mettre en place des mesures
sont insuffisantes.

Les données dont la qualité est limitée en raison du manque de

sources, par exemple une visibilité insuffisante sur la couverture
des menaces telles que le Darknet, ou le manque de portée
mondiale et multilingue, ne peuvent pas être transformées en ce
que nous comprenons maintenant être de la Threat Intelligence. Le
‘renseignement critique’ obtenu doit pouvoir prédire la façon de se
préparer et de lutter contre les menaces futures.

8
 Mais au-delà, une solution de TI efficace
Une solution de TI doit s’adapter aux exigences de sécurité

efficace doit s’adapter spécifiques de chaque entreprise.

L’organisation doit être guidée pour établir
aux exigences des points de collecte de données en interne

de sécurité autour de ses actifs critiques, pour que les

données collectées puissent être mises en
spécifiques de correspondance avec les TI externes pour
chaque entreprise. identifier les menaces potentielles. Les TI
dépourvues de cette approche ciblée ne
parviendront pas à hiérarchiser les informations nécessaires à la défense des actifs clés. « Les menaces
ne sont une menace que dans le contexte du risque pour l’entreprise elle-même », explique Helen
Patton, CISO de l’Ohio State University..

Enfin, si ce n’est pas « actionnable », ce n’est pas une intelligence utile. Pour être exploitables,
plusieurs sources de TI doivent être intégrées de manière transparente aux systèmes de sécurité
d’une organisation, via un point d’entrée unique. Si les TI lisibles par machine et lisibles par l’homme
ne peuvent pas être facilement utilisées avec les systèmes d’une organisation ; si les méthodes de
livraison, les mécanismes d’intégration et les formats ne prennent pas en charge une intégration en
douceur dans les systèmes de sécurité existantes ; alors les données fournies ne seront pas converties
en Threat Intelligence efficace.

En résumé, si les données ne peuvent pas être traitées, intégrées et converties en

informations immédiatement exploitables pour fournir des informations uniques sur les
menaces émergentes, permettant aux équipes de sécurité de hiérarchiser les alertes, de
maximiser les ressources et d’accélérer les processus de prise de décision, alors cette
accumulation de données ne passe pas le test de « Threat Intelligence » tel que défini en 2020.

9
3. Votre entreprise est-elle prête
à passer à la Threat Intelligence ?
Les 9 aprioris communément évoqués par les
entreprises

Le marché de la Threat Intelligence se développe

rapidement, mais de nombreuses organisations
manquent d’informations et se posent encore des
questions ou ont encore des aprioris :

1. Je dois attendre que mon entreprise soit arrivée à maturité et soit prête pour utiliser la
Threat Intelligence

Être proactif est une stratégie éprouvée pour contrer des cybermenaces qui sont en perpétuelle
évolution. La Threat Intelligence permettra dès maintenant à votre entreprise d’éviter une dégradation
de son système de défense.

2. La Threat Intelligence augmentera la charge de travail des équipes en charge de la sécurité
qui sont déjà surchargées

En fait, l’utilisation des informations de Threat Intelligence en temps réel améliorera considérablement
l’efficacité et la hiérarchisation des tâches quotidiennes de vos experts en sécurité informatique, les
aidant à prendre des décisions plus rapides et meilleures et à gagner un temps précieux.

3. Mon entreprise fait face à suffisamment de problèmes de sécurité et n’a tout simplement
pas besoin de Threat Intelligence

Pour l’instant peut-être, mais la Threat Intelligence garantit

La Threat Intelligence de meilleures décisions basées sur les risques en enrichissant
garantit de meilleures considérablement vos données internes dans le contexte d’un
décisions basées paysage de menaces en constante évolution, vous aidant à
sur les risques. hiérarchiser les décisions de sécurité de plus en plus importantes
et à gérer plus efficacement les nouveaux défis de sécurité.

10
4. Mon entreprise a trop d’investissements directs urgents à faire dans la sécurité (par
exemple recruter des professionnels de la sécurité) pour pouvoir investir dans une solution
indirecte

Au contraire, la Threat Intelligence donne à une organisation une

La Threat Intelligence donne
plus grande clarté sur les endroits où elle est la plus susceptible
à une organisation une plus
d’être attaquée, quels sont les investissements directs en matière
grande clarté sur
de sécurité les plus efficaces et la meilleure façon d’allouer des
les endroits où elle
ressources pour créer une sécurité capable de la protéger contre
est la plus susceptible d’être
les menaces du monde réel, ce qui permet de gagner du temps et
attaquée
de l’argent.

5. La Threat Intelligence n’est pas adaptée aux besoins spécifiques de mon entreprise

Une tendance que nous constatons est la façon dont les entreprises apprennent à établir des points
de collecte de données pertinents et à hiérarchiser les informations en fonction de leurs besoins
spécifiques. Informés par leurs efforts, les principaux éditeurs de Threat Intelligence adaptent leurs
capacités de recherche aux besoins de leurs clients.

6. La Threat Intelligence va compliquer les dispositions de sécurité existantes de mon

entreprise

Au cours des deux ou trois dernières années, la Threat Intelligence a évolué à un point tel que plusieurs
sources de renseignement peuvent être intégrées de manière transparente dans les systèmes de
sécurité d’une organisation, via un point d’entrée unique communiquant avec les contrôles de sécurité
existants.

7. J’attends que la Threat Intelligence devienne plus sophistiquée

Pendant que vous attendiez, la Threat Intelligence est déjà devenue très sophistiquée, garantissant que
les données pertinentes et ciblées sont converties en informations immédiatement exploitables pour
fournir des informations uniques sur les menaces émergentes, permettant aux professionnels de la
sécurité de hiérarchiser les alertes, de maximiser les ressources, d’accélérer les processus décisionnels
et efficacement combattre les nouveaux défis à mesure qu’ils se présentent.

11
8. La Threat Intelligence ne peut pas détecter les logiciels malveillants et les menaces qui
frapperont ensuite

La Threat Intelligence a prouvé qu’elle peut évaluer avec un bon degré de précision la probabilité d’une
attaque dans votre environnement, le type d’attaque et les adversaires probables.

9. La Threat Intelligence est une mode qui va disparaître

Bien au contraire, la Threat Intelligence est à la pointe d’une norme proactive et évolutive en matière
de cybersécurité : interpréter l’intention d’un malware ou d’un pirate permettant aux organisations
d’anticiper et de désarmer les attaques de malware avant (et non après !) qu’elles se produisent.

Les 8 questions à se poser pour déterminer

si votre entreprise est « prête » pour la
Threat Intelligence

Voici quelques questions avec lesquelles vous

voudrez peut-être commencer.
Si vos réponses sont majoritairement OUI, c’est une
indication qu’il est temps d’envisager d’intégrer la
Threat Intelligence dans votre entreprise.

1. Votre entreprise doit-elle prendre des décisions de sécurité plus rapides et mieux informées sur
la base de preuves concrètes plutôt que de courir après les ombres ?

2. Vos professionnels de la sécurité sont-ils confrontés à la fatigue des alertes et à la

hiérarchisation des alertes de sécurité, et un nombre important d’alertes n’est-il simplement pas
examiné parce que votre équipe de sécurité est dépassée ?

3. Votre entreprise a-t-elle besoin de mieux comprendre quelles vulnérabilités sont susceptibles
d’être exploitées par les hackers et comment hiérarchiser les décisions correctives judicieuses ?

4. Votre entreprise a-t-elle besoin d’informations en temps réel sur les URL et adresses IP
compromises qui concernent votre environnement ?

12
 5. Votre entreprise a-t-elle besoin de localiser les données qui ont fuité et qui peuvent menacer
son image ?

6. Votre entreprise a-t-elle besoin d’une image plus claire de ses adversaires les plus probables,
du type d’attaques les plus probables et des mesures proactives à prendre pour renforcer ses
défenses ?

7. Votre entreprise risque-t-elle de ne pas détecter les menaces actives qui se cachent sur son
réseau ou les cyberattaques à mesure qu’elles se produisent (ne détectant une attaque que plus
tard, ou jamais ! ) augmentant les dépenses et les conséquences négatives de l’attaque ?

8. Votre entreprise a-t-elle du mal à hiérarchiser les incidents et risque-t-elle de poursuivre une
stratégie de sécurité non alignée sur les menaces actives actuelles ?

Pour une analyse rapide et approfondie des fichiers, hachages, adresses IP et URL
suspects, consultez l’accès gratuit au portail de Threat Intelligence de Kaspersky
(TIP), qui combine des dizaines de technologies d’analyse avancées et permet 4000
recherches par jour et par organisation.

www.kaspersky.fr
2020 AO Kaspersky. Tous droits réservés.
Les marques déposées et les marques de service
appartiennent à leurs propriétaires respectifs.