L’efficacité de la Cyber Threat Intelligence

La Cyber Threat Intelligence se développe, c’est un fait : parmi les entreprises qui pratiquent la CTI, 78 % ont observé une amélioration de leur sécurité et de leurs capacités de réaction.

Mais les défis sont nombreux, puisqu’il s’agit d’exploiter les données récoltées, mettre en place et intégrer les projets, mais aussi prévenir, détecter, et répondre aux attaques.

Les équipes Cyber Threat Intelligence 

Les équipes CTI se démocratisent, en effet, près de la moitié des entreprises disposent d’une équipe officiellement dédiée à la CTI (en 2016 – 28 %).

Si une seule personne est en charge de la CTI (9%), 26 % ne possèdent toujours pas d’équipe dédiée, mais se partagent cette responsabilité.

Cyber Threat Intelligence, autres indicateurs clés :

– 48 % des entreprises ont mis en place une équipe interne CTI

– 47 % externalisent des aspects de la fonction

– 6 % sous-traitent entièrement la CTI

La gestion du renseignement sur la menace a de beaux jours devant elle. Les équipes reconnaissent les avantages de la collecte et l’exploitation du renseignement sur la menace pour les opérations de sécurité et la réponse aux incidents.

Les obstacles

Mais les obstacles à la mise en œuvre de la CTI sont nombreux :

– manque de compétences des équipes : 53% pointent la difficulté à recruter des compétences hautement spécialisées (parfaite maîtrise des schémas d’attaques, des indicateurs de compromission (IOC), analyse des renseignements, lréponse aux incidents, connaissance des comportements normaux et anormaux)

– manque de budget : pour la moitié des entreprises, la difficulté majeure est le manque de moyens financiers

– manque de temps pour implémenter de nouveaux processus (42%)

– manque de moyens techniques pour intégrer la CTI

– soutien limité de la part de la direction puisqu’un tiers des équipes ne bénéficie pas du soutien de la direction

L’objectif est de renforcer la formation renforcée, de mettre en pmace des outils et processus simples et intuitifs.

La Threat Intelligence en profondeur

La Threat Intelligence voit son utilité croître dans le cadre de la réponse aux incidents et des opérations de sécurité. Passons en détail 3 points :

– Agrégation des données  : les solutions SIEM sont plébiscitées pour la gestion de la Threat Intelligence et les entreprises y ont recours avec une interface utilisateur intégrée

– Reporting : 51 % des entreprises sont satisfaites des rapports CTI, elles procèdent toutefois à un nettoyage et autres manipulations manuelles, 14 % jugent les rapports excellents et 32 % ne savent pas comment exploiter les données CTI reçues

– Satisfaction : la satisfaction remporte la palme pour la pertinence des informations sur les menaces (80 %), pour « propreté » et qualité des données (76 %), pour le caractère opportun de la CTI  (74%) et visibilité sur les menaces et indicateurs de compromission (74 %).

Etude Cyber Threat Intelligence , SANS Institute