Vous êtes sur la page 1sur 13

Livre blanc Threat

Intelligence :
pour un monde
cyber plus sûr

Plus d'informations sur kaspersky.fr


#bringonthefuture
Introduction
Il est généralement admis que les données brutes extraites en quantités énormes, non
structurées et non traitées ne peuvent pas être appelées informations, encore moins Threat
Intelligence.
Les informations, aussi pertinentes soient-elles, ne sont utiles que si elles sont exploitables et
contextualisées. Les entreprises doivent donc trier des milliers d’alertes de données.
Comment ? En faisant appel à des fournisseurs externes de Threat Intelligence pour analyser
et enrichir leurs données réseau avec des sources externes et fournir des informations
menant à des résultats immédiatement exploitables.
Pourquoi et dans quel contexte la Threat Intelligence est-elle nécessaire ? Quelle est son
utilité dans le suivi de groupes de cybercriminels et quelle est l’intérêt de la recherche
d’attribution ? Quels sont les besoins spécifiques aux principaux secteurs d’activités de
l’économie mondiale ?
Nos experts répondent à ces questions dans ce livre blanc.

Sommaire

1 - Pourquoi la Threat Intelligence est-elle nécessaire ? p.2

2 - Comprendre l’utilisation de l’attribution dans la Threat Intelligence p.3

3 - Le rôle de la Threat Intelligence dans le suivi des groupes de cybercriminels p.4

4 - La Threat Intelligence et les secteurs clés de l’économie mondiale

A - Les organisations gouvernementales p.5

B - Le secteur financier p.7

C - Le secteur industriel p.9

D - Les secteurs de l’énergie, du pétrole et du gaz p.10

1
1 - Pourquoi la Threat Intelligence est-elle nécessaire ?

Les entreprises ont pris conscience du fait qu’elles possèdent les clés d’une
Threat Intelligence immédiatement exploitable. Les équipes de sécurité interne
n’achètent plus simplement la Threat Intelligence en tant que produit. Ils
définissent plus précisément pourquoi et comment elle est nécessaire dans leur
organisation.

Plutôt que de collecter et d’analyser des données et


des informations générales, les organisations et les Hiérarchiser les
entreprises identifient quels sont leurs actifs clés et
informations sur les
quels ensembles de données et processus métier
sont essentiels pour les protéger. Ils peuvent ensuite menaces, en élaborant
hiérarchiser les informations sur les menaces, en
une stratégie basée sur
élaborant une stratégie basée sur les risques pour
défendre d’abord ces actifs clés. Cela signifie des les risques pour défendre
informations sélectives sur les menaces avec des
d’abord les actifs clés
points de collecte de données pertinents.

Une fois que les sources internes de Threat Intelligence sont définies et opérationnelles, l’organisation
peut ajouter des informations, des produits et des services sélectifs de fournisseurs externes de
Threat Intelligence pour obtenir de véritables renseignements ciblés.

2
2. Comprendre l’utilisation de l’attribution dans la
Threat Intelligence

Il existe un vif débat sur l’utilité de l’attribution dans la Threat Intelligence. Par
exemple, est-il important pour une entreprise moyenne de savoir que le groupe
de cybercriminalité Lazarus est responsable de l’attaque mondiale WannaCry ?

Il est largement reconnu que seuls quelques


L’attribution, un outil fournisseurs de Threat Intelligence ont la capacité
de rechercher une attribution significative, et
essentiel pour hiérarchiser
que ce sont les organisations les plus matures en
les cyberdéfenses termes de cyberdéfense qui bénéficieront le plus de
l’attribution des attaques.
et comprendre où se
Pour ces organisations, l’attribution est un outil
trouvent les lacunes
essentiel pour hiérarchiser ses cyberdéfenses et
potentielles comprendre où se trouvent les lacunes potentielles.
Utilisée correctement, l’attribution permet aux
entreprises de contenir et de répondre plus efficacement aux cyber-incidents.

L’identification d’un cybercriminel spécifique à l’origine du cyber-incident permet à une organisation


de comprendre les tactiques et les méthodes d’attaque et de rechercher les traces correspondantes
dans leurs réseaux. Si un cybercriminel est connu pour exploiter des vulnérabilités spécifiques, une
organisation cible peut vérifier et corriger ces vulnérabilités avant exploitation. L’attribution d’un
modèle de menaces persistantes avancées (APT) permet aux organisations de hiérarchiser les mesures
nécessaires pour se protéger contre la menace.

3
3. Le rôle de la Threat Intelligence dans le suivi des
groupes de cybercriminels qui créent des APT

Au cours des deux dernières années, nous avons observé le flou des frontières,
car différents types de menaces sont déployés par différents types d’acteurs
à des fins diverses. Les outils développés par les services secrets d’État ou
des cybercriminels liés à des gouvernements ont été divulgués sur le marché
noir. Cela a mis des exploits avancés à la disposition de groupes criminels
qui, autrement, n’auraient pas eu accès à des codes aussi sophistiqués.
Par conséquent, les menaces persistantes avancées (APT) ne ciblent plus
uniquement des institutions gouvernementales et des infrastructures critiques
spécifiques, mais également d’autres secteurs d’activité. Un exemple est
l’émergence de campagnes avancées de menaces ciblées (APT) axées non pas
sur le cyber-espionnage, mais sur le vol (vol d’argent pour financer d’autres
activités dans lesquelles le groupe APT est impliqué).

Pour se protéger contre les groupes qui créent les attaques APT, il est impératif d’étudier l’adversaire,
ses techniques et les outils utilisés lors des attaques. Une Threat Intelligence sophistiquée cherchera à
identifier les caractéristiques spécifiques d’un groupe d’attaquants APT et recherchera les techniques
d’intrusion et les outils personnalisés développés pour chaque cible à chaque étape d’une attaque :
infiltration, expansion et exfiltration.

Cependant, seule une poignée d’organisations ont réellement la capacité de recherche et la portée
mondiale pour prévoir efficacement et donc prévenir les attaques de ces groupes.

L’équipe mondiale de recherche et d’analyse de


Kaspersky (GReAT) a développé une expertise
inégalée dans la découverte et l’analyse des
activités APT à travers le monde. Ils surveillent
l’activité continue de plus de 200 cybercriminels,
des opérations malveillantes sophistiquées,
des campagnes de cyber-espionnage et les
principales tendances des logiciels malveillants,
des ransomwares et des cybercriminels souterrains
dans 85 pays. Ils s’appuient sur de plusieurs péta-octets de données statistiques et de connaissances
approfondies sur les comportements des logiciels malveillants, acquis au cours de 20 années de
recherches sur les menaces à travers le monde.
4
4. La Threat Intelligence et les secteurs clés de
l’économie mondiale

A – La Threat Intelligence et la sécurité des organisations


gouvernementales

L’ampleur et la complexité croissantes de l’activité des cybermenaces


augmentent les risques pour les organisations gouvernementales. En plus de
la responsabilité de la sécurité nationale et des infrastructures essentielles, la
plupart des organisations gouvernementales détiennent de grandes quantités
d’informations personnelles sensibles (pièces d’identité, données fiscales,
médicales et financières, numéros de sécurité sociale, profils personnels) qui en
font une cible évidente et de grande valeur pour tous types de vol de données.

De plus, les organisations gouvernementales sont généralement de grande taille, avec des milliers de
salariés et de sous-traitants, ce qui entraîne des complications de sécurité supplémentaires. Ils sont liés
par des réglementations. Aucune violation ou attaque, aussi minime soit-elle, ne doit pouvoir passer. Ils
doivent prendre des décisions stratégiques sur comment et où allouer des budgets de sécurité limités,
tout en démontrant qu’ils utilisent l’argent des
contribuables de manière responsable. Les organisations
Les organisations gouvernementales sont ainsi gouvernementales
confrontées à de formidables défis. La grande majorité
s’efforcent d’intégrer
de leurs adversaires sont des cybercriminels parrainés
par des états qui mènent des opérations de cyber- la Threat Intelligence
espionnage ou de perturbation. Ces groupes sont
dans leurs opérations de
hautement sophistiqués, bien financés et dotés des
meilleurs profils, en termes de cybercriminalité. Il est sécurité, en collaborant
donc logique que les organisations gouvernementales
avec des sociétés de
s’efforcent d’intégrer la Threat Intelligence dans
leurs opérations de sécurité, en collaborant avec des cyber-renseignement
sociétés de cyber-renseignement du secteur privé
du secteur privé ainsi
ainsi qu’avec des agences de renseignement d’Etat.
Une Threat Intelligence (TI) correctement intégrée qu’avec des agences de
à la sécurité des organisations gouvernementales
renseignement d’état
présente de multiples avantages. Les équipes de

5
sécurité utilisent ces informations pour évaluer plus précisément la probabilité de risque des vecteurs
d’attaque et des groupes APT. Ils peuvent ensuite identifier les faiblesses, investir dans de nouvelles
ressources et embaucher du personnel si nécessaire, remodelant ainsi leurs cyber-défenses pour
réagir plus rapidement et plus efficacement aux attaques. La lutte contre les groupes APT nécessite
une approche proactive et non réactive. Une Threat Intelligence efficace permet aux organisations
gouvernementales d’identifier les méthodes et comportements d’attaque APT typiques et de déployer
de manière proactive des contrôles de détection des menaces et d’atténuation des risques.

Les organisations gouvernementales traitent quotidiennement un grand nombre d’alertes de sécurité.


La Threat Intelligence réduit considérablement le nombre de faux positifs et accélère l’identification
des menaces probables, augmentant ainsi la productivité. La Threat Intelligence fournit également des
informations cruciales sur le contexte des menaces pour faciliter la hiérarchisation et la réponse rapide
aux incidents, et améliore la gestion des vulnérabilités et la politique de correction, en fournissant
des informations en temps opportun sur les vulnérabilités actuellement exploitées et par qui. Il est
également important de noter que, pour les organisations gouvernementales, la Threat Intelligence
montre la voie de l’allocation budgétaire, pour maximiser l’efficacité tout en faisant preuve de
responsabilité envers les contribuables.

Compte tenu des conséquences potentielles des attaques contre les organisations gouvernementales,
une Threat Intelligence efficace peut avoir un impact incomparable sur la sécurité, en fournissant les
informations nécessaires aux bons décideurs en quelques secondes.

6
B – Comment la Threat Intelligence aide les institutions
financières à lutter contre la cybercriminalité

S’il existe un secteur leader dans l’adoption de la Threat Intelligence, c’est le


secteur financier.

Les institutions financières sont une cible


Le coût le plus élevé de la plus lucrative pour les cybercriminels que tout
autre secteur. Le coût par violation augmente.
cybercriminalité, avec une
Selon Accenture, le secteur des services
moyenne de 18,3 millions financiers représente le coût le plus élevé de la
cybercriminalité avec une moyenne de 18,3 millions
de dollars par entreprise
de dollars par entreprise interrogée en 2018. Les
financière interrogée en 2018 infractions mondiales dans le secteur ont plus que
triplé au cours de la dernière décennie.

Le secteur financier est également confronté à une plus grande variété de cyberattaques que tout
autre secteur. Alors que la grande majorité des menaces ciblent les données des clients (cartes de
paiement, comptes bancaires), il existe également des attaques extrêmement sophistiquées contre les
systèmes financiers en ligne. Dans la ruée vers le marché des Fintech, les applications de trading n’ont
peut-être pas été testées de manière adéquate pour la sécurité et les cybercriminels sont rapides à
exploiter les failles de sécurité.

Les institutions financières sont également particulièrement vulnérables dans la mesure où leurs
activités futures dépendent de la réputation de leur entreprise.

Confronté à une telle vague de cybermenaces, le secteur financier a été pionnier dans le déploiement
systématique de la Threat Intelligence en tant qu’outil de prévision, d’identification et de perturbation
des attaques.

Mais l’utilisation de machines extrêmement


performantes et de sources générées par
l’homme pour accéder au DarkWeb ou
parcourir la surface du Web et le Deep Web
pour rassembler et analyser les données
les plus récentes dans plusieurs langues du
monde entier n’est que la première tâche d’une
Threat Intelligence efficace. Les meilleurs
fournisseurs de Threat Intelligence fournissent
des informations vitales en temps utile sur

7
d’éventuelles attaques qui sont sur le point d’être lancées ou sont déjà en cours contre des institutions
financières similaires dans la même région du monde. Ils fournissent des informations fiables en
temps réel et mondiales sur les menaces émergentes, les cybercriminels actuels les plus actifs dans
le secteur financier, les logiciels malveillants et les familles de logiciels malveillants les plus utilisés,
les dernières vulnérabilités logicielles et toute exposition pertinente des fournisseurs aux logiciels
malveillants. Toutes ces informations en temps réel doivent être transférées sous une forme qui doit
être immédiatement exploitée pour résoudre les problèmes de sécurité à la demande, en s’intégrant de
manière transparente aux outils de sécurité existants.

Une organisation financière qui investit dans des informations pertinentes et ciblées sur les menaces
renforce sa résilience aux cyberattaques et réagit beaucoup plus rapidement pour réduire les coûts et
les retombées sur la réputation de toute violation de données. Une réduction immédiate des fausses
alertes libère les analystes des opérations de sécurité car ils peuvent identifier plus rapidement les
menaces importantes en attente et hiérarchiser leur expertise là où elle est la plus efficace. Les RSSI
gagnent en clarté dans leur ensemble, ce qui leur permet de prendre des décisions mieux informées,
réduisant ainsi l’exposition aux cyber-risques.

8
C - Comment la Threat Intelligence aide à sécuriser l’industrie

L’amélioration de la communication numérique et de l’utilisation des données


dans l’industrie a conduit à l’émergence de « l’usine intelligente » (Smart
factory). La complexité des nouvelles technologies telles que les systèmes de
l’Industrie 4.0 et les environnements IoT/OT connectés exacerbe le cyber-risque.
La technologie dans les processus industriels est devenue si critique que même
les cyberattaques à petite échelle sont extrêmement perturbatrices.

Le gouvernement et les industries stratégiques sont


confrontés à des menaces qui ne cessent de croître.
Mais comment les industriels peuvent-ils empêcher
les coûts de sécurité de devenir incontrôlables?
Comment les prestataires de services de sécurité
gérés spécialisés dans l’industrie peuvent-ils assurer
une protection adéquate?

C’est là que la Threat Intelligence ciblée joue un rôle de plus en plus crucial. Les meilleurs fournisseurs
de Threat Intelligence couvrent l’univers des menaces spécifiques aux infrastructures, aux processus
et aux industries. Ils établissent des profils de menaces en identifiant où et à partir de quels types de
menaces, une industrie spécifique est le plus à risque.

Les industriels peuvent tirer parti de la Threat Intelligence pour identifier les faiblesses de sécurité et
les vulnérabilités critiques dans des conditions de test, et élaborer une stratégie de défense cohérente
avant que ces faiblesses ne soient exploitées par un cybercriminel. La Threat Intelligence permet
également au personnel de sécurité de cibler et de corriger les vulnérabilités activement exploitées
et de hiérarchiser les alertes pour se concentrer sur les menaces potentiellement graves. Sans ces
informations sur le paysage des menaces en temps
réel, les industriels seront de plus en plus vulnérables
Permettre aux entreprises
aux cyberattaques.
de réaliser des opérations
En fin de compte, l’objectif de la Threat Intelligence
dans le secteur industriel doit être de permettre aux de fabrication complexes
entreprises de réaliser des opérations de fabrication
avec une cybersécurité
complexes avec une cybersécurité adaptée à leur
objectif, tout en utilisant les ressources de sécurité adaptée à leur objectif
de manière beaucoup plus efficace.

9
D - Pourquoi la Threat Intelligence est-elle nécessaire dans les
secteurs de l’énergie, du pétrole et du gaz

Dans le passé, les sociétés d’énergie, de pétrole et de gaz fonctionnaient


principalement avec des systèmes d’automatisation et de contrôle industriels
physiquement séparés des systèmes d’information traditionnels et des réseaux
ouverts. Aujourd’hui, ces entreprises intègrent en permanence les technologies
opérationnelles et les connexions Internet des objets (IoT). Sans amélioration
continue des mesures de sécurité, ils sont (et seront) de plus en plus exposés aux
cyberattaques.

Le secteur de l’énergie en particulier est confronté à des cyber-menaces de tous niveaux de


sophistication. Un certain nombre d’États-nations sont des sponsors connus de la cyber-infiltration
des sociétés du secteur de l’énergie. Les groupes spécialisés dans les Advanced Persistent Threat
(APT) de ces États-nations ciblent spécifiquement le secteur de l’énergie pour accéder à la propriété
intellectuelle ou même pour contrôler les réseaux électriques en tant qu’acte de cyberguerre. En 2017,
DragonFly 2.0, un groupe APT russophone, a réussi à infiltrer des sociétés américaines et européennes,
gagnant potentiellement suffisamment de contrôle pour provoquer des pannes de courant. Les
attaques APT en 2015 et 2016 contre les réseaux
Vol de données de électriques ukrainiens ont entraîné des pannes
d’électricité. Les cybercriminels se concentrent
propriété intellectuelle
sur le vol de données de propriété intellectuelle
et d’informations et d’informations confidentielles sur l’industrie.
Les hacktivistes ciblent également les sociétés du
confidentielles sur
secteur de l’énergie pour attirer l’attention sur une
l’industrie cause, par exemple les problèmes de changement
climatique.

La Threat Intelligence ciblée offre une évaluation complète et en temps réel des menaces potentielles
pour les secteurs de l’énergie et du pétrole et du gaz. Le rôle de cette Threat Intelligence exploitable
est de rassembler et d’analyser des données et des outils pertinents pour un secteur d’activité
spécifique afin de déterminer le type, l’échelle et la gravité de ces menaces potentielles, et de
permettre à l’industrie de protéger les infrastructures critiques en développant des outils d’atténuation
et des stratégies de coordination pour la gestion des incidents.

10
Les meilleurs fournisseurs de Threat Intelligence garantissent des pratiques de sécurité partagées
et des informations opportunes identifiant les menaces et les vulnérabilités des systèmes cyber et
physiques et les évaluations des risques des fournisseurs. Une Threat Intelligence efficace , spécifique
à ce secteur, rassemble et examine des informations provenant de groupes de renseignement et de
forces de l’ordre exposant les sponsors d’État de cyberattaques ; elle met en évidence des entreprises
de profil similaire ciblées dans le Dark web et les sources clandestines ciblant la propriété intellectuelle
des secteurs du pétrole et du gaz, et fournit des rapports de menace en temps opportun sur les
meilleures mesures à prendre contre les menaces à venir. De plus, la Threat Intelligence ciblée permet
au personnel de sécurité de concentrer son temps et ses ressources sur les priorités qui ont l’impact le
plus immédiat sur la réduction des cyber-risques.

11
Conclusion

L’utilisateur final exige des informations instantanées et uniques sur les menaces
émergentes, pour permettre aux équipes de sécurité internes de hiérarchiser les
alertes, de maximiser des ressources limitées et d’accélérer les processus de prise de
décision.

Kaspersky démocratise la recherche mondiale sur les cybermenaces

L’accès à une Threat Intelligence à jour est essentiel pour protéger les entreprises contre les
cybermenaces. Cependant, l’un des principaux obstacles est le coût élevé des sources.
Pour répondre à sa mission qui est de construire un monde plus sûr, Kaspersky ouvre un
accès gratuit à différentes fonctionnalités de son Portail de Threat Intelligence (TIP) : nous
mettons des données pertinentes à la disposition d’un large éventail d’organisations.
Consultez gratuitement le Portail de Threat Intelligence (TIP) de Kaspersky, qui combine des
dizaines de technologies d’analyse avancées pour une analyse rapide et approfondie des
fichiers suspects, des hachages, des adresses IP et des URL, et permet 4000 recherches par
jour et par organisation.
TIP est une passerelle unique vers notre vaste gamme d’informations actualisées et
historiques sur les menaces. Elle combine des dizaines de technologies d’analyse avancées à
une expertise humaine inégalée pour produire des données validées, riches et exploitables.
L’accès à TIP bénéficiera à l’ensemble de la communauté spécialisée en cybersécurité et, en
particulier, aux utilisateurs qui ne trouveraient pas autrement le budget pour des sources de
Threat Intelligence.
En résumé, TIP facilitera et accélérera l’analyse des objets suspects, quelle que soit leur
origine, ce qui vous devrait vous aider à réagir plus rapidement face aux menaces. Kaspersky
est ravi de pouvoir offrir ce service.

www.kaspersky.fr
2020 AO Kaspersky. Tous droits réservés.
Les marques déposées et les marques de service
appartiennent à leurs propriétaires respectifs.

Vous aimerez peut-être aussi