Comment l’analyse fine de la CTI vous aide à répartir votre budget cybersécurité global ?

Comment l’analyse fine de la CTI vous aide à répartir votre budget cybersécurité global ?

La CTI : un outil de pilotage par les risques pour les décideurs 

La démarche de Cyber Threat Intelligence permet aux dirigeants ainsi qu’à toute la filière « Sureté et Sécurité » de mieux connaitre l’environnement dans lequel leur entreprise évolue, et plus particulièrement les menaces qui pèsent sur cette dernière. L’une des finalités de cette démarche est de permettre aux décideurs de mettre en place une stratégie de pilotage par les risques. Cette approche rend exploitables et compréhensibles des données et des informations manipulées par l’entreprise, qui étaient jusqu’alors réservées aux équipes techniques opérationnelles. En effet, chaque société évolue dans un contexte spécifique, et sa cartographie des risques lui est donc propre. Il n’y a donc pas de règle universelle en termes de stratégie de pilotage et de réduction du risque. 

Outil de gestion particulièrement important pour un décideur, le budget de l’entreprise se doit donc d’être aligné avec la stratégie adoptée pour être efficace. 

Pour cela, il est possible d’utiliser les renseignements délivrés par la CTI afin d’alimenter et de compléter l’analyse de risque, tant au niveau global de l’entreprise qu’au niveau plus spécifique (filiale, projet, site, …). 

L’apport de la démarche de CTI sera de rendre possible la contextualisation des risques à une entreprise particulière, selon différents éléments tels que : 

  • L’environnement économique ou géopolitique dans lequel évolue l’entreprise  
  • Le profil d’attaquant pouvant la cibler : 
    • Les acteurs de la menace en présence  
    • Le type d’attaques réalisées  
    • Le mode opératoire utilisé (schéma d’attaque) 
  • Et enfin, la victimologie de chacun des attaquants identifiés précédemment : 
    • Les secteurs d’activité ciblés
    • La localisation géographique des victimes  
    • La fréquence d’attaque (probabilité d’occurrence) 

Niveau local / microscopique 

Pour illustrer cela, commençons par détailler les apports d’une démarche de CTI au niveau « micro ». Différentes actions doivent être adoptées afin de poser des bases saines et de garantir l’identification de tous les risques pesant sur l’entreprise.  

Celles-ci peuvent être classées selon 3 niveaux : 

  1. La connaissance du panorama général de la menace 
  2. La contextualisation de ce panorama à l’environnement spécifique de l’entreprise 
  3. L’exploitation des données techniques interne à l’entreprise  

Focus : identification des vulnérabilités de l’entreprise 

  1. Disposer d’un panorama général de la menace à jour 

La première action consiste à disposer d’une vision du panorama de la menace maintenue régulièrement à jour. Ainsi, réaliser une veille généraliste sur les groupes d’attaquants connus, leurs méthodes, les failles identifiées par les chercheurs ou les éditeurs permet à l’entreprise de savoir dans quel environnement elle opère et d’adopter des premières mesures de remédiation. 

Cette démarche n’est néanmoins pas suffisante. Il est en effet nécessaire de transcrire ce contexte général dans le contexte spécifique de l’entreprise (Suis-je réellement affectée par la faille CVE récemment corrigée et exploitée de manière opportuniste par les pirates ?). 

L’objectif de ce volet est de disposer d’une vision claire de l’environnement de l’entreprise et d’identifier des risques existant au niveau microscopique. 

  1. Contextualiser le panorama de la menace à mon exposition réelle 

La collecte de ces renseignements actionnables permettra aux équipes opérationnelles (DSI et SSI) d’identifier concrètement les vulnérabilités affectant l’entreprise et étant recherchées par les attaquants. 

L’identification des vulnérabilités pesant sur l’entreprise permettra ainsi aux équipes opérationnelles de remédier le plus rapidement possible, au cas par cas, aux évènements identifiés ponctuellement, tels que : 

  • L’enregistrement de nouveaux domaines utilisés pour tromper la vigilance des collaborateurs, des clients ou des partenaires de l’entreprise (ingénierie sociale type arnaque au président, vol de données sensibles via du phishing, …) 
  • L’identification de données sensibles appartenant à l’entreprise (données techniques ou métier, rapports, …) 
  • L’identification de composants sensibles publiquement exposés (interface d’administration, base de données et autres partages ouverts sur Internet) 
  • La mise en ligne de nouveaux sites vulnérables sans validation préalable du niveau de sécurité par les équipes des filières DSI / SSI (Shadow IT) 
  • L’identification d’équipement constituant l’infrastructure de l’entreprise affectés par une nouvelle menace (0day) exploitée massivement par les pirates pour obtenir un accès distant au SI de l’entreprise. 

L’objectif de ce volet est d’anticiper au mieux l’exploitation d’une vulnérabilité affectant l’entreprise en adoptant un point de vue externe et d’identifier des risques existant au niveau local / microscopique. 

Focus : identification des menaces ciblant l’entreprise  

  1. Croiser les données techniques avec les marqueurs ciblant l’activité des pirates 

Dans l’idéal, il est enfin important d’exploiter les informations disponibles au sein de l’entreprise (logs, rapport d’incident, résultats d’investigation) pour identifier les activités suspectes des pirates. 

Ce type d’activité est classiquement réalisée par une équipe de type SOC au travers d’un SIEM. 

Bien que ne permettant pas d’anticiper l’occurrence d’une menace, les renseignements issus de ces activités permettront de compléter l’analyse de risque au niveau global de l’entreprise. 

L’objectif de ce volet est de compléter les aspects « connaissance de l’environnement » et « anticipation de la menace » en adoptant un point de vue interne à l’entreprise, toujours dans l’objectif d’identifier des risques existants au niveau local / microscopique. 

  1. Point d’étape : niveau local / microscopique 

Il est d’ores et déjà possible de tirer une première conclusion après la présentation de ces trois axes de collecte de renseignement. 

L’identification d’évènements isolés, ayant un impact localisé et dont l’occurrence ne peut malheureusement pas être anticipée, est primordiale pour l’entreprise. 

Premièrement, cela permet à l’entreprise d’adopter des mesures efficaces et pragmatiques de réduction du risque. 

Deuxièmement, en prenant du recul sur les résultats retournés au travers de cette démarche, l’analyse de ces incidents permettra d’identifier les services ou activités de l’entreprise les plus exposés (filiale X ou Y, département RH ou DSI, etc.) aux différents risques identifiés :  

  • Atteinte à l’image de l’entreprise  
  • Vols de données personnelles (collaborateurs ou clients) ou métier (propriété intellectuelle, données stratégiques liées au pilotage de l’entreprise, …)  
  • Fraude (ciblant directement ou indirectement l’entreprise : cas des clients)  
  • Perte de compétitivité et/ou de productivité  
  • Risques économiques et financiers
  • Non-conformité avec la législation
  • Risques liés aux nouvelles réglementations et changement de politiques    

D’un point de vue de la stratégie à adopter, il est donc important de définir un premier budget correspondant à un fonds de roulement. Ce dernier permettra de garantir la production de renseignements contextualisés à la réalité de l’entreprise. 

  1. Point d’étape : niveau global / macroscopique 

En complément de ces premières mesures ciblant l’occurrence d’évènements isolés, l’entreprise doit adopter une stratégie plus globale pour exploiter au mieux la CTI. En effet, la connaissance des menaces et des contextes opérationnels au niveau local permettra à un décideur de mieux adapter sa stratégie au niveau global. 

Cette connaissance lui permettra par exemple d’influer sur : 

  • L’organisation de l’entreprise (recrutement, redistribution des responsabilités entre les équipes, sensibilisation des équipes, …)  
  • L’organisation de son système d’information (architecture du SI, accès au SI, mise en place de nouvelle infrastructure pour répondre à un besoin particulier, …)  
  • L’exploitation de son système d’information (données disponibles, mais non exploitée, …) 

Focus : en réaction aux vulnérabilités identifiées  

Quelques exemples concrets issus de nos retours d’expériences : 

L’identification régulière d’interfaces d’administration ou de composants d’infrastructure sensibles accessibles publiquement peut pousser à l’adoption de différentes mesures d’envergure telles que : 

  • La refonte de l’architecture du SI de l’entreprise 
  • L’adoption d’une nouvelle organisation interne garantissant le respect « by design » de certaines contraintes sécuritaires 

L’identification d’un nombre élevé de domaines suspects réutilisant l’identité de l’entreprise peut pousser l’entreprise à adopter des mesures telles que : 

  • La mise sur liste noire des domaines suspects pour bloquer l’accès à ces sites suspects ou les mails dans lesquels ces domaines sont mentionnés, pour protéger les collaborateurs  
  • Le lancement de campagne de sensibilisation des collaborateurs à la menace représentée par les campagnes de Phishing et autres arnaques au président  
  • Le lancement ponctuel de campagnes de communications à destination des clients de l’entreprise afin de rappeler les méthodes d’accès « officielles » 
  • L’enregistrement préventif des principaux domaines et de leurs déclinaisons  
  • L’ouverture de dossier type UDRP auprès de l’ICANN afin de récupérer ces domaines 

L’identification régulière de ressources (sites) de type Shadow IT peut pousser à l’adoption de différentes mesures d’envergure telles que : 

  • La mise en place de campagne de communication interne pour rappeler les règles concernant le dépôt de noms de domaine, et la mise en ligne de nouveaux sites  
  • La mise en place d’un processus interne pour le dépôt de noms de domaine et l’hébergement de nouveaux sites 

Enfin, l’identification d’un grand nombre de fuites d’information provoquées par des partenaires peut pousser l’entreprise à adopter des mesures telles que : 

  • La définition et l’adoption d’une politique de classification  
  • L’ajout de clauses contractuelles relatives au Maintien en Condition de Sécurité (MCS) ou de confidentialité dans les process d’achat  
  • La mise en place de politique et d’outils de DLP (Data Leakage Prevention) 

Focus : identification des menaces de l’entreprise 

En complément des décisions stratégiques apportées pour répondre aux enjeux liés aux vulnérabilités, des réponses doivent également être formulées pour adresser les menaces identifiées. 

Par exemple, l’identification d’un groupe d’attaquant ciblant spécifiquement les entreprises ou ses parties prenantes (fournisseurs, clients, …) opérant dans mon secteur d’activité peut pousser à l’adoption de différentes mesures d’envergure telles que : 

  • L’identification et l’exploitation de nouvelles sources (logs) au sein du système d’information, afin de disposer de la capacité d’identifier les traces d’activité spécifique à un acteur  
  • L’adaptation de la PSSI de l’entreprise afin de refléter le risque existant, et les mesures de réduction du risque adoptées pour y répondre 

Charles Dagouat

Responsable du CERT-XMCO