Threat intelligence et opérations de sécurité : l'enquête 2018 du SANS Institute

La Threat intelligence gagne en maturité, mais 62 % des participants estiment que le manque de professionnels qualifiés constitue un obstacle majeur à la mise en œuvre de la threat intelligence

SANS Institute, premier fournisseur mondial de formations et de certifications de cybersécurité destinées aux professionnels, publie les résultats de son enquête annuelle sur la Cyber Threat Intelligence (renseignement sur la menace - ou TI) pour 2018. L’étude apporte un éclairage sur l’évolution du renseignement sur les cybermenaces dans la cybersécurité, et montre que la discipline gagne en maturité.

Illustration de l’une des tendances les plus claires constatées par SANS au cours des trois dernières années, les participants sont de plus en plus nombreux à déclarer que la threat intelligence renforce leurs capacités de prévention, de détection et de réaction :  

  • En 2018, 81 % des participants estiment que leurs implémentations de solutions de threat intelligence ont débouché sur des améliorations de leur sécurité, contre 78 % en 2017 et 64 % en 2016. Les professionnels comprennent également mieux le fonctionnement et les apports possibles de la TI.

Par ailleurs, 68 % des participants déclarent qu’ils ont mis en œuvre la threat intelligence cette année, et 22 % supplémentaires prévoient de l’introduire à l’avenir. Seulement 11 % des entreprises ne prévoient pas de mettre en œuvre de la TI, un chiffre en baisse par rapport à l’année dernière (15 %). Globalement, la threat intelligence gagne donc en utilité, en particulier pour les équipes en charge des opérations de sécurité qui s’efforcent d’intégrer le renseignement dans leurs stratégies de prévention, de détection et de réaction.

« Alors que le paysage des menaces continue d’évoluer et que les techniques de piratage ne cessent de gagner en sophistication, les équipes de sécurité ont besoin de toute l’aide possible pour empêcher, détecter et réagir plus efficacement aux menaces », estime Dave Shackleford, analyste et formateur senior chez SANS et auteur de l’enquête.

Une forte demande en compétences de threat intelligence
Toutefois, malgré les tendances démontrant que la TI peut jouer un rôle important dans la stratégie de sécurité des entreprises, le recrutement de personnel qualifié pour mettre en œuvre de la TI devient de plus en plus difficile :

  • Ainsi, 62 % des participants citent le manque de professionnels formés et qualitifés en Threat intelligence comme un obstacle majeur, ce qui représente une hausse de près de 10 points par rapport à 2017 (53 %). Il en ressort également que plus la TI est utilisée, plus la demande en compétences correspondantes augmente. Par conséquent, il peut être bien plus difficile de trouver des professionnels expérimentés en matière de configuration et d’exécution de programmes de TI. De la même façon, 39 % des participants citent le manquent de capacité technique à intégrer des outils de TI à l’environnement de l’entreprise.

Visibilité renforcée et opérations de sécurité améliorées
Conséquence de leurs initiatives en matière de programmes de threat intelligence, les participants signalent une visibilité renforcée et des opérations de sécurité améliorées.

  • Par exemple, 71 % se déclarent globalement satisfaits de la visibilité accrue sur les menaces et des indicateurs de compromission.
  • S’agissant de préciser les améliorations obtenues, 70 % signalent de meilleures opérations de sécurité, et 66 % une capacité accrue à détecter des menaces inconnues jusque-là. 

Les réponses fournies dans le cadre de l’enquête de 2018 révèlent que l’accent est de plus en plus mis sur l’exploitation de la TI dans le cadre des opérations de sécurité : détection des menaces (79 %), réponse aux incidents (71 %), blocage des menaces (70 %) et chasse aux menaces (un peu moins citée avec 62 %).

Ces réponses indiquent que le renseignement sur les menaces est essentiel à l’augmentation et à l’amélioration des règles de pare-feu, des listes de contrôle d’accès au réseau et des listes de réputation. Les sites et indicateurs connus associés aux rançongiciels sont ensuite partagés par le biais du renseignement sur les menaces, ce qui permet aux équipes opérationnelles de rechercher rapidement l’historique des compromissions et de bloquer de manière proactive l’accès depuis les clients internes.

« Il est positif de constater que de nombreuses entreprises partagent des informations détaillées au sujet des attaques et des cyberattaquants, et qu’une multitude d’options open-source et payantes existent pour la collecte et l’intégration de ces précieux renseignements. Tout cela a entraîné un renforcement des capacités des entreprises à améliorer les opérations de sécurité et à détecter les attaques précédemment inconnues », poursuit Dave Shackleford. « Ces résultats renforcent les tendances indiquant que la TI est principalement alignée sur le SOC et s’inscrit dans le cadre d’activités opérationnelles comme la veille de sécurité, la chasse aux menaces et la réponse aux incidents. ».

Le rapport complet est disponible via le lien suivant : https://www.sans.org/reading-room/whitepapers/threats/cti-security-operations-2018-cyber-threat-intelligence-survey-38285.

A propos du Rapport :
Comme pour les éditions précédentes, les participants à l’enquête de cette année représentent des domaines d’activité très divers. Les quatre principaux secteurs verticaux sont la cybersécurité, les services bancaires et financiers, l’administration et la technologie. Le reste provient d’un mélange d’autres secteurs, notamment l’éducation, la santé, l’industrie et les télécommunications. Environ 27 % des participants travaillent au sein de structures employant de 5 000 à 50 000 personnes, et 16 % au sein d’organisations de plus 50 000 personnes. 44 % des structures représentées emploient 2 000 personnes ou moins.

À propos de SANS Institute (@SANSInstitute)
Créé en 1989, SANS est la référence mondiale en matière de formation, recherche et certification dans le domaine de la cybersécurité. Les formateurs mondialement reconnus de SANS ont déjà formés plus de 140 000 professionnels, issus du secteur public et privé et enseignent chaque année plus de 60 cours  qui s’alignent sur les rôles, responsabilités et disciplines majeur des équipes de sécurité. SANS Institute propose des cours qui sont alignés sur les 30 certifications techniques GIAC dans le domaine de la sécurité de l'information. GIAC (Global Information Assurance Certification) valide ainsi les compétences des professionnels de la sécurité de l'information, attestant que ceux qui sont certifiés ont les connaissances techniques nécessaires pour travailler dans des domaines clés de la cybersécurité.

SANS Institute développe et publie de nombreuses ressources mis à disposition gratuitement, y compris des bulletins d’information, des livres blancs et des webcasts (www.sans.org).

Contactez-nous
Corneel Haine PR Specialist, Evoke (CJ Communications BVBA)
Corneel Haine PR Specialist, Evoke (CJ Communications BVBA)
A propos de Evoke

Founded in 2011, Evoke is a communication agency specialized in public relations and content marketing. We get your story told. Whether through press relations, social media, websites, newsletters or print, our consultants make sure you and your message will reach your target audience.

Evoke
Witte Patersstraat 4
1040 Brussel