Opérationnalisation de la cyberveille sur les menaces

Derrière la vaste majorité des alertes légitimes envoyées à l’équipe de sécurité informatique se cache un agresseur qui exploite plusieurs techniques d’attaque pour s’infltrer dans votre infrastructure et compromettre vos données et systèmes stratégiques. Les attaques multiphases ciblées comportent une série d’étapes constituant la chaîne d’une cyberattaque : la reconnaissance, l’analyse des vulnérabilités, l’exploitation et, enfn, l’exfltration des données critiques de l’entreprise.

Les analystes en sécurité connaissent bien ces techniques et dépendent de la cyberveille sur les menaces pour obtenir des informations pertinentes sur les méthodes et les motivations d’une attaque. Ils peuvent détecter et neutraliser les menaces avancées, appliquer les mesures correctives appropriées et être mieux préparés à la prochaine alerte de sécurité. Trop souvent malheureusement, ils manquent de visibilité sur certains systèmes ou sont submergés par des données trop nombreuses et pas assez pertinentes. Selon l’étude du SANS Institute, Who’s Using Cyberthreat Intelligence and How? (Qui utilise la cyberveille sur les menaces et comment), « seuls 11,9 % des personnes interrogées sont en mesure de rassembler les informations sur les menaces provenant de la multitude de sources, et 8,8 % seulement bénéfcient d’une vue complète qui leur permet d’associer des événements aux indicateurs de compromission ».