Accueil Cybersécurité Sécurité : pourquoi utiliser un logiciel de Threat Intelligence ?

Sécurité : pourquoi utiliser un logiciel de Threat Intelligence ?

Lionel Goussard
Lionel Goussard, SentinelOne

Identifier rapidement les véritables menaces, c’est le but de la Threat Intelligence, qui s’appuie sur des schémas comportementaux plutôt que sur des profils d’attaque, plaide Lionel Goussard, directeur régional pour la France, la Suisse et le Benelux de SentinelOne.

Nous sommes chaque jour submergés d’informations sur les menaces émanant de différentes sources. Même si la plupart de ces données ne sont pas pertinentes et ne méritent aucune attention, nous ne pouvons pas nous permettre de passer à côté d’une attaque susceptible d’avoir un effet dévastateur sur notre activité.

Selon un rapport d’étude de Ponemon, 70 % des professionnels de la sécurité estiment qu’il est difficile de réagir efficacement à un incident face au volume d’informations à traiter. Si vous devez passer en revue 100 000 éléments de données, il est pratiquement impossible de savoir lesquels traiter en priorité. Et lorsque vous parvenez à identifier un schéma d’attaque dans ce flot de données, il est souvent trop tard.

Autre problème : dans un grand nombre des données que nous recevons des flux de renseignements sur les menaces, toute menace connue est identifiée par une signature unique, selon une correspondance « un à un ». Bien que le secteur de la cybersécurité suive divers indicateurs et nous envoie des mises à jour appropriées, les pirates modifient sans cesse leurs techniques d’attaque pour pouvoir poursuivre leurs activités sans être démasqués. Chaque version d’une attaque vise bien souvent une cible spécifique et n’est utilisée qu’une seule fois. Autrement dit, les signatures traditionnelles sont totalement inefficaces dans ces cas de figure.

Une profusion de données

Lorsqu’une personne ou un groupe doit passer au crible les données des journaux de pare-feu, des logiciels antivirus, des appliances de sécurité, etc., réparties dans différentes fenêtres de navigateur, faire le tri entre ce qui est pertinent et ne l’est pas relève quasiment de l’impossible.

À cela s’ajoute le fait que les logiciels et appliances de sécurité ne proviennent pas du même fournisseur que celui chargé de gérer ces appliances, si bien que l’on constate souvent un écart entre les données reçues et celles soumises à un examen efficace.

Les attaques qui aboutissent ne sont pas toujours les plus avancées. « Selon un rapport s’appuyant sur les données de capteurs recueillies pendant deux ans, 57 % des attaques qui parviennent à déjouer les pare-feu et les systèmes antivirus sont des attaques par force brute peu sophistiquées », explique Maria Korolov sur csoonline.com.

La « threat intelligence » sur les menaces à la rescousse

Alors comment identifier les informations importantes dans cette montagne de données ? La threat intelligence ou renseignement sur la menace permet d’y parvenir en aidant les utilisateurs à démêler les données non pertinentes des attaques réelles, y compris des nouvelles formes de piratage jamais observées jusqu’à présent.

La threat intelligence assure le suivi des événements au moment où ils se produisent grâce à une analyse en temps réel qui détecte les comportements malveillants des logiciels. Le logiciel surveille les ordinateurs et les serveurs de votre réseau en temps réel, met en corrélation les événements, puis signale les phénomènes importants aux personnes concernées. Les données sont par ailleurs stockées pour permettre de procéder à des investigations une fois l’attaque à l’encontre d’un système neutralisée. Ces données peuvent également être utilisées pour identifier des schémas qui vous aideront à détecter les attaques futures.

Appliquer les derniers correctifs de sécurité aux ordinateurs de votre entreprise n’est que la première étape du processus de protection de ces machines. Grâce à un logiciel nouvelle génération hautement efficace de sécurité des terminaux, vous bénéficiez de la threat intelligence dont vous avez besoin. Vous identifiez ainsi les attaques au moment où elles se produisent en vous appuyant sur des schémas comportementaux plutôt que sur une liste obsolète de profils d’attaques.