Checklist : les 11 points à suivre pour choisir son partenaire de Cyber Threat Intelligence

Checklist : les 11 points à suivre pour choisir son partenaire de Cyber Threat Intelligence

La Cyber Threat Intelligence, devient inévitable pour garantir une surveillance globale de votre exposition. L’un des principaux challenges pour les RSSI se trouve principalement dans la partie prévention, car contrairement aux opérations, celles-ci ne se passent pas au sein de son réseau. L’un des outils les plus adaptés est la CTI, qui lui permet d’obtenir une vision externe de son exposition et des risques associés. Vous vous poserez notamment les questions suivantes :  

  • Quels serveurs ou applications sont les plus exposées  ?  
  • Quelle méthode utiliserait un attaquant pour s’introduire dans mon SI  ?  

Maintenant, vous vous demandez certainement vers quel partenaire vous tourner ? Nous vous proposons 11 points d’attention pour bien le choisir.   

  1. Privilégiez un programme qui surveille 24/7 votre surface d’attaque (périmètre connu) et votre surface d’exposition (périmètre inconnu).   
  1. Ne cherchez pas une solution tout-en-un, mais une solution qui peut s’adapter à vos besoins. Chaque entreprise est différente et les menaces qui les ciblent peuvent varier. Il est important de pouvoir intégrer autant d’assets que vous le souhaitez, car ils risquent d’évoluer et représentent la base de nos recherches.  
  1. Si jamais vous souhaitez élargir votre stratégie de cyberdéfense en misant aussi sur une meilleure anticipation ou une réaction aux menaces, vérifiez les offres complémentaires du prestataire.   
  1. Est-il capable de proposer des offres d’anticipation des menaces : un service de veille en cybersécurité, de scan de vulnérabilités ou de surveillance du typosquatting ?  
  1. Est-il capable de vous accompagner en cas d’incident (dispose-t-il de la certification GIAC CFA Forensic Analyst qui atteste de sa capacité d’accompagnement) ? S’il y a une menace ou un incident de sécurité, le prestataire qui vous en livre l’information sera plus réactif.  
  1. Choisissez des prestataires qui se positionnent d’un point de vue extérieur et en posture d’attaquant. Vous pourrez ainsi surveiller votre exposition, qu’il s’agisse d’assets ou de données non-maitrisées ou inconnus. Au travers d’une cartographie de votre périmètre, une carte d’identité de votre organisation pourra ainsi être régulièrement réalisée et vous permettre d’anticiper les risques liés au Shadow IT, aux fuites de données ou encore au dénigrement de votre marque.  
  1. Optez pour des prestataires à même de vous apporter une définition dynamique de votre périmètre. Les environnements sur lesquels reposent les systèmes dynamiques hébergés au sein d’un Cloud sont en constante évolution, il est donc primordial de disposer d’une boite à outils suffisamment sophistiquée pour réaliser une cartographie du SI dynamique de manière récurrente.   
  1. Demandez à voir un exemple d’alerte. Vous saurez juger de sa qualité, du contexte apporté. Une alerte bien rédigée permet une remédiation rapide et facile.  
  1. Faites appel à un prestataire qui dispose d’un CERT. C’est l’assurance pour lui d’avoir accès à certaines données et aux forums d’échanges d’information.   

Pour ce faire, les CERT se partagent des informations de manière privée et public sur les retours d’expérience des investigations réalisées. Ces échanges de données se font notamment grâce à des logiciels comme MISP, TheHive ou encore OpenCTI. L’accès à ces bases de connaissances permet à un programme de CTI d’être au fait des dernières attaques et méthodes de contournement.  

  1. Nous vous conseillons également un service qui intègre une analyse manuelle pour éviter le bruit et les faux positifs qui peuvent augmenter le temps de traitement des alertes.   
  1. La solution idéale se trouve finalement dans le choix d’un service qui allie l’exhaustivité et la continuité des scans automatisés sur le web et l’expertise humaine grâce à des analyses manuelles. C’est la combinaison de toutes ces informations qui permet de construire une cartographie des risques la plus exacte possible. Un RSSI peut ainsi avoir une vision exacte de ce qu’il maitrise et ne maitrise pas.     
  1. Vérifiez que vous avez accès à un maximum de livrables. Ils permettront de suivre vos menaces et évaluer vos risques en fonction de votre contexte spécifique.  
  1. Des synthèses managériales  
  2. Des recommandations
  3. Des cartographies ponctuelles de votre surface d’attaque
  4. Un indicateur de suivi du niveau de risque global
  5. Un dashboard reprenant toutes vos statistiques
  6. Un portail de gestion collaboratif
  7. Une API pour une connexion à votre SOC

Les fonctionnalités sont variées ! Profitez des livrables mis à votre disposition pour vous faciliter le travail et avoir une meilleure vision de la sécurité de votre entreprise et des actions à mettre en œuvre.   

  1. Pour aller plus loin dans votre connaissance des menaces, vous pourriez également demander à votre partenaire des investigations complémentaires   
  1. Est-il capable de vous fournir des notes d’analyse sur les groupes d’attaquants ? Pour identifier un attaquant qui aurait ciblé votre système ou qui le souhaiterait, il est important de connaitre les méthodologies, les outils employés, les infrastructures utilisées par les attaquants. Ils peuvent s’accommoder à une étude comportementale des attaquants.   
  1. Est-il capable de tester les nouvelles menaces pour voir si vous êtes exposé ? Une veille quotidienne des nouvelles vulnérabilités et failles type 0-day est indispensable afin d’identifier vos menaces. De la manière, un prestataire en capable de tester ces nouvelles menaces sur votre périmètre est indispensable à votre protection.  

Pour conclure, connaitre votre exposition sur Internet est primordial. Un attaquant utilisera toutes les informations disponibles et ne se limitera pas aux sites vitrine. Les ressources non maitrisées de type Shadow IT ou environnements de développement restent une cible privilégiée des attaquants.   

Afin de mieux anticiper les attaques, il est important aussi de considérer que l’attaquant est déjà présent. Connaitre les Tactiques Techniques et Procédures des attaquants est primordial pour bien paramétrer ses logiciels de défense. Il permettra également une plus grande efficacité en cas d’investigation numérique.  

Si vous avez validé les 11 points de cette checklist, choisi le prestataire et mis en place le programme de CTI, c’est que vous avez accès à tout le renseignement concernant les menaces ! Ce renseignement est primordial pour établir votre stratégie de défense, prioriser vos choix de sécurité et adapter votre budget en conséquence.  


Julien Terriac

Consultant XMCO