L’émergence des offres de cyber-intelligence Jerome Saiz le 23 janvier 2013 à 13h30, dans la rubrique Conformité & Bonnes pratiques Commentaires (2) CrowdStrikecyber-intelligencemcafeesecurity operation centersiemSOCthalestrend micro Si vous cherchiez le prochain buzzword en 2013, vous pouvez parier sans risque sur « cyber-intelligence« . Le terme désigne à la fois un besoin émergent bien réel chez les entreprises et une pratique offerte jusqu’à présent par des spécialistes de niche, qui ne demande qu’à être industrialisée. Et par dessus le marché, le terme est suffisamment flou et sexy pour que le marketing l’utilise à toutes les sauces. Bref, il y a fort à parier que l’année 2013 sera celle de la cyber-intelligence ! Pour l’entreprise il s’agit de la capacité à analyser des informations issues du cyber afin de permettre aux décideurs de prendre les bonnes décisions au bon moment. Rien de très nouveau, donc… Concrètement cela implique bien entendu de savoir qualifier précisément une attaque en temps réel, mais cela va plus loin et inclus aussi la recherche des motifs, des objectifs et des capacités de l’attaquant. Il s’agit donc d’une approche nécessairement à long terme puisqu’elle exige aussi de conserver des données historiques destinées à alimenter le processus d’analyse (attaques passées, déclarations publiques de différents groupes de pirates ou de nations, capacités observées ou déclarées, mode opératoire, etc…). Si l’on cherche à faire un parallèle avec le monde du renseignement, dans l’entreprise la cyber-intelligence couvre à la fois le domaine stratégique (situation dans le monde, conflits et sources de tension), l’opérationnel (ce que doivent savoir à tout instant les équipes en charge de la production informatique) et le tactique (ce qu’il faut savoir en temps réel lors de l’attaque). Autant dire que les besoins sont vastes ! Mais si les besoins sont bien là, ils ne sont pas évidents à satisfaire pour autant. L’une des principales difficultés lorsqu’on tente de créer une telle offre réside dans l’articulation entre le technique et l’expertise humaine. Au niveau opérationnel, une grande partie des informations remontées est en effet d’ordre technique (alertes IPS, analyse des logs, etc…). Mais l’offre ne peut évidemment pas s’en ternir à leur collecte et à leur corrélation car ce ne serait alors qu’une simple solution de SIEM managé. Ces informations techniques doivent servir de base à un véritable travail d’analyse, d’investigation complémentaire, de rédaction et de conseil. Et cette partie là est une tâche (pour l’instant encore) exclusivement humaine… Il n’y a cependant rien d’innovant dans cette approche : il s’agit là tout simplement du cycle de renseignement traditionnel (collecte, analyse et dissémination. Le tout initié par une Demande d’Information et piloté par un « chef de projet » dédié). Mais l’industrialiser pour l’appliquer à l’entreprise pourrait se révéler une tâche plus complexe et plus coûteuse que l’on peut l’imaginer, en raison essentiellement des coût humains impliqués. D’ailleurs les offres existantes semblent n’être délivrables qu’à petite échelle, souvent proposées depuis longtemps par des cabinets de conseil ou des consultants indépendants (celle de CrowdStrike, révélée l’an dernier, fera peut-être exception à la règle) L’on voit à ce stade combien il serait tentant pour le marché de la sécurité de s’emparer du terme de cyber-intelligence pour au mieux offrir de vulgaires solutions de SIEM managés, plus ou moins habilement « maquillées » par le marketing. Mais cela ne signifie bien entendu pas pour autant qu’il soit impossible d’industrialiser quelque peu la chose. Il suffira certainement d’être modeste et prudent dans l’approche… Car après tout, l’expertise humaine – qui constitue le coeur d’une offre de cyber-intelligence – est chère et se prête donc parfaitement à la mutualisation. De telles offres pourraient se bâtir, par exemple, sur celles des SOC externalisés existants. Par exemple, et bien qu’il ne s’agisse pas entièrement d’une solution de cyber-intelligence, Thalès fait tout de même figure de précurseur avec son offre Cybels, lancée il y a deux ans. Plus récemment, McAfee, Trend Micro et Deloitte viennent d’annoncer quasi-simultanément eux aussi des offres qui ouvrent la voie vers la mode de la cyber-intelligence. McAfee veut ainsi étendre son concept Security Connected via des acquisitions afin de proposer une architecture permettant d’intégrer plus de solutions de sécurité diverses (pour la collecte d’information) et y ajouter une couche d’analyse du risque et des menaces. Il lui manque encore cependant une notion de veille, d’adaptation au contexte de l’entreprise et d’expertise humaine dédiée pour être réellement qualifiée d’offre de cyber-intelligence. Plus ambitieux, Trend, lance quant à lui son Threat Response Program. Il s’agit d’un ensemble de solutions et surtout de services intégrés. L’innovation vient de la présence d’un « Local Threat Advisor« , un interlocuteur dédié à l’entreprise. Celui-ci, d’après l’annonce de Trend Micro, est censé fournir à l’entreprise de la veille contextuelle (pays, secteur d’activité), ainsi que des analyses techniques, une aide à la mise en oeuvre des défenses, et de la formation. L’entreprise accède également aux données issues du Smart Protection Network (une collecte mondiale). Sur le papier, l’offre est très séduisante. Mais elle réclame d’importants moyens, dont on espère qu’ils ont étés provisionnés… De son côté, enfin, Deloitte annonce son DLab, une plateforme de sécurité qui permet d’intégrer différents services : tests d’intrusion, analyses des vulnérabilités (fournies par Qualys, ndlr), etc… et de l’analyse de données. La force de Deloitte tient au fait que contrairement à McAfee ou Trend Micro, la culture de l’entreprise est dans le conseil et non dans la technique. Les offres proposées à partir du DLab seront ainsi peut-être plus naturellement tournées vers l’expertise humaine… Ces premières offres plus industrialisées ne seront certainement pas les dernières. D’autres viendront lorsque le terme sera plus à la mode. Et elles seront probablement plus ou moins honnêtes… Tentons alors de définir les composants essentiels d’une offre de cyber-intelligence digne de ce nom, afin peut-être d’aider à mieux lire les prochaines qui arriveront sur le marché. L’exercice est difficile, peut-être même vain, ou prétentieux ! Mais n’hésitez pas à compléter la liste ci-dessous, forcément pas exhaustive. Avec votre aide, nous pourrons peut être faire avancer le débat ! Une offre de cyber-intelligence devrait : S’articuler autour de composants techniques ET humains de manière fluide Mettre l’accent sur l’analyse (par des experts humains) et non sur la seule corrélation automatisée d’événements techniques Intégrer des éléments historiques à l’analyse (comportement habituel des acteurs, modes opératoires connus, évolutions des besoins et des pratiques underground, etc) Ne pas s’appuyer uniquement sur des sources techniques (logs, alertes) mais aussi intégrer des informations subjectives (événements d’actualité, sensibilité temporaire à certains sujets, emballements médiatiques, etc…) Etre contextuelle (domaine d’activité, pays, de l’entreprise) Etre actionnable : son objectif est d’offrir la bonne information au bon moment afin de prendre la bonne décision. Etre utile aussi bien en temps réel (au niveau tactique, pendant une attaque) que le reste du temps (niveau stratégique et opérationnel) Il manque des éléments à cette liste ? Vous pensez que de telles offres ne peuvent pas s’industrialiser et resteront l’apanage de cabinets de conseil spécialisés ? A vous la parole ! Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!