La cyber-résilience est l’incarnation technologique du proverbe selon lequel « le roseau plie, mais ne rompt pas » : il s’agit d’accepter le fait que l’entreprise sera inévitablement un jour frappée par une crise cyber majeure, que ses défenses auront échouées, que son système d’information sera neutralisé… et qu’il faudra malgré tout continuer à travailler pour survivre.
« Et le plan de continuité d’activité, alors ? », crieront probablement à raison les informaticiens. Le PRA (plan de reprise d’activité) et le PCA (plan de continuité d’activité) sont évidemment des rouages essentiels de la cyber-résilience « métier » de l’entreprise. Mais Ils s’appuient généralement sur des ressources informatiques présumées de confiance que l’on peut rebrancher immédiatement pour remplacer celles parties en fumée.
Or ce n’est plus tout à fait le cas désormais : une crise cyber d’origine malveillante introduit deux éléments nouveaux qui viennent rendre difficile, sinon impossible, l’application d’un PCA/PRA traditionnel :
- L’intrus est peut-être présent depuis longtemps. Il a pu saboter de nombreux systèmes et détruire ou contaminer les sauvegardes depuis plusieurs mois
- Il est impossible de savoir à quels systèmes faire confiance. Tout outil informatique connecté au réseau est potentiellement compromis, y compris les solutions de gestion de crise ou les outils mêmes du PCA/PRA
- Et même si l’on parvient à « remonter » une application critique pour commencer à travailler, rien ne garantit qu’elle ne soit pas compromise
Il s’agit donc d’une crise de confiance majeure qui exige de mettre en œuvre une tout autre approche. Et c’est justement dans cet environnement incertain que la Threat Intelligence excelle !
La Threat Intelligence, une base de connaissances inestimable
La Threat Intelligence consiste à adapter certaines des techniques issues du monde de l’analyse du renseignement au monde de l’entreprise en aidant cette dernière à mieux connaître ses menaces spécifiques (groupes d’attaquants, techniques d'attaques, cibles) pour mieux les anticiper.
Un bon partenaire de Threat Intelligence aura une connaissance approfondie des dernières méthodes d’attaques, des codes malveillants les plus furtifs et des « signatures » des principaux groupes d’attaquants (leurs TTPs, pour Tactics, Techniques and Procedures).
Il connaîtra donc le « qui » (les groupes d’attaquants les plus actifs), le « quoi » (les dernières vulnérabilités, les cibles du moment), le « comment » (les dernières méthodes d’intrusion, les derniers codes malveillants) et parfois même le « pourquoi » (grâce à une veille régulière des forums d’échanges des pirates et, à l’occasion, des entretiens sous couverture).
La Threat Intelligence s’avère ainsi une base de connaissances inestimable, souvent alimentées depuis des années par des experts. A titre d'exemple, un acteur tel ESET, protège quotidiennement de manière active 600 millions de postes de travail dans le monde, et voit donc passer l’essentiel des nouveaux codes malveillants dès leur apparition. En outre, depuis 30 ans, ses équipes d’experts analysent toutes les techniques et suivent les groupes de pirates, car c’est essentiel à leur travail depuis toujours.
En définitive, les nouvelles crises cyber plongent l’entreprise dans le noir, au cœur d’une formidable crise de confiance. La cyber-résilience , c’est d’abord y voir clair. Obtenir des réponses afin d’être en mesure d’avancer pas à pas vers une reconstruction maîtrisée. Et la Threat Intelligence est l’outil le mieux adapté pour fournir de telles réponses.
