Synopsis du rapportélaboré sur la base des discussions avec leSecurity for Business Innovation Council                    ...
De la nécessité d’une cyberveille                                                                           « Les menaces ...
Une approche                                          DÉFINITION: Sécurité informatique basée sur la cyberveille          ...
Recommandations  Pour mettre en place une sécurité informatique                                                           ...
A propos du Security forL’           Business Innovation Council              innovation est au cœur              des prio...
Upcoming SlideShare
Loading in …5
×

Anticipation des menaces avancées : la cyberveille au service de la sécurité informatique

1,132
-1

Published on

Ce document propose diverses pistes de développement de compétences organisationnelles en cyberveille, axées notamment sur l'exploitation maximale des données internes et externes. Il s'appuie sur le 9ème rapport du SBIC (Security for Business Innovation Council) qui plaide pour une approche novatrice et exhaustive de la sécurité informatique. Ses objectifs : détecter, anticiper, prévenir et enrayer les attaques.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,132
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Anticipation des menaces avancées : la cyberveille au service de la sécurité informatique

  1. 1. Synopsis du rapportélaboré sur la base des discussions avec leSecurity for Business Innovation Council Une initiative sectorielle en partenariat avec RSAt ANTICIPATION DESABN AMRODr. Martijn Dekker ,Senior Vice President, ChiefInformation Security Officer MENACES AVANCEES :ADP INC.Roland Cloutier ,VicePresident, Chief Security OfficerAIRTELFelix Mohan , Senior VicePresident et Chief InformationSecurity OfficerTHE COCA-COLA COMPANYrenee guttmann , Chief la cyberveille au service de la sécurité informatiqueInformation Security OfficerCSO CONFIDENTIALProfesseur Paul Dorey , RECOMMANDATIONS DE DÉCIDEURS DU GLOBAL 1000Founder and Director; FormerChief Information SecurityOfficer, BPEBAYDave Cullinane , ChiefInformation Security Officer etVice President, Global Fraud,Risk et SecurityEMCDave Martin , Chief SecurityOfficerGENZYMEDavid Kent , Vice President,Global Risk and BusinessResourcesHDFC BANKVishal Salvi , ChiefInformation Security Officer etSenior Vice PresidentHSBC HOLDINGS plcROBERT RODGER, Group Head ofInfrastructure SecurityJOHNSON & JOHNSONMarene N. Allison ,Worldwide Vice President ofInformation SecurityJPMORGAN CHASEAnish Bhimani , ChiefInformation Risk OfficerNOKIAPetri Kuivala , ChiefInformation Security OfficerNORTHROP GRUMMANtim mcknight ,Vice President et ChiefInformation Security OfficerSAP AGralph salomon, Vice President,IT Security et Risk Office, Global ITT-MOBILE USAwilliam Boni , CorporateInformation Security Officer(CISO), VP Enterprise InformationSecurityAVEC LA PARTICIPATION DE :William Pelgrin, Presidentet CEO, Ce synopsis présente les conclusions d’un rapport exhaustif sur le sujet.Center for Internet Security; Chair,Multi-State Information Sharing Pour consulter le rapport complet, ainsi que d’autres travaux réalisés surand Analysis Center (MS-ISAC);and Immediate Past Chair, ce thème, rendez-vous sur www.rsa.com/securityforinnovation.Report | 1 RSA, The Security Division of EMC | Security for Business Innovation CouncilNational Council of ISACs (NCI)
  2. 2. De la nécessité d’une cyberveille « Les menaces se composent de trois éléments :P l’intention, les opportunités et les ressources. Les entreprises doivent donc être en mesure de répondre aux trois questions suivantes : Quelle est Partout à travers le monde, les entreprises font l’intention des attaquants ? Quelles opportunités l’objet de cyberattaques sophistiquées dont s’offrent à eux ? De quelles ressources disposent-ils le nombre augmente chaque jour. Ainsi, les pour exploiter ces opportunités ? » secteurs privé et public deviennent la cible de « menaces avancées », dont les objectifs sont Felix Mohan, Senior Vice President et Chief Information multiples : espionnage industriel, torpillage des Security Officer, Airtel activités opérationnelles et financières, ou encore sabotage des infrastructures. Face à ce fléau, la plupart des entreprises doivent se rendre à Une information immédiatement l’évidence : elles ne connaissent pas suffisamment les menaces, ni même leur propre niveau de sécurité, exploitable pour pouvoir se protéger efficacement. Les cybercriminels, de leur côté, sont aujourd’hui Dans le cadre de ce rapport, la « cyberveille » suffisamment équipés pour déjouer les mesures de se définit comme d’une part la connaissance des protection courantes, telles que les solutions basées cybercriminels et de leurs modes opératoires, et sur les signatures. Par conséquent, la détection et la d’autre part les dispositifs de sécurité en place pour réduction des risques d’attaques passent désormais les contrer. Ses missions : générer une « information par une lecture situationnelle plus précise. Pour ce exploitable », destinée à guider les décisions des faire, les entreprises doivent avoir accès aux données entreprises quant aux risques à maîtriser et aux les plus récentes sur les menaces en présence, actions à mener. Pour ce faire, les entreprises les corréler à des analyses en temps réel de leurs doivent collecter des données en entrée, puis les environnements dynamiques — tant informatiques traiter efficacement. qu’opérationnels —, en déterminer la pertinence, Ces données peuvent provenir d’origines les prendre les décisions appropriées et mener plus variées, de l’open source publique aux sources les actions défensives qui s’imposent. Or, la plupart les plus confidentielles. Leurs canaux de diffusion des programmes de sécurité informatique n’y sont sont tout aussi multiples : des échanges informels pas préparés. aux recherches personnalisées, en passant par les Le neuvième rapport du SBIC (Security for e-mails, les feeds, les flux de données automatisés et Business Innovation Council) plaide pour une les informations de nombreuses plates-formes approche novatrice et exhaustive de la sécurité de veille internes et externes. Certaines — telles que informatique. Ce document propose diverses les adresses IP d’une watch list — ont une portée pistes de développement de compétences générique ; tandis que d’autres sont propres à chaque organisationnelles en cyberveille, axées notamment entreprise, comme par exemple les notifications sur l’exploitation maximale des données internes et adressées à des groupes particuliers. externes. Objectifs : détecter, anticiper, prévenir et Toutefois, la collecte d’un volume croissant de enrayer les attaques. données ne constitue pas une fin en soi. Si elles ne La proposition de valeur est claire : en exploitant sont ni analysées, ni utilisées, leur accumulation ne toute la puissance de l’information, les entreprises génère en effet aucune valeur. De fait, les entreprises sont en mesure de définir et de mettre en œuvre doivent au contraire analyser les données et les des stratégies de défense plus précises face à des croiser avec d’autres faits pertinents pour générer menaces en constante évolution. Il en découle une une information exploitable. Ainsi, les données sécurité non seulement plus efficace, mais aussi acquièrent toute leur valeur lorsqu’elles alimentent plus économique, puisque focalisée sur la lutte une action défensive, destinée à enrayer une contre les menaces critiques et la protection des cyberattaque en cours ou en gestation et/ou définir ressources stratégiques. une stratégie de défense adaptée. Le rapport présente les différentes catégories de données sur les cyber-risques, illustrées par des exemples de sources, de formats et d’éventuelles ripostes.2 ||2 Rapport du Security for Business Innovation Council | RSA, la Division SécuritéEMC Security for Business Innovation Council Report | RSA, The Security Division of d’EMC
  3. 3. Une approche DÉFINITION: Sécurité informatique basée sur la cyberveille Connaissance en temps réel des menaces et du niveau de sécurité novatrice de l’entreprise, dans le but de prévenir, détecter et/ou anticiper les attaques, de prendre les bonnes décisions face aux risques, d’optimiser les stratégies défensives et de mener les actions nécessaires. À l’évidence, les entreprises sont confrontées à DD Mise en place de pratiques favorisant le partage des cyberattaques de plus en plus sophistiquées. d’informations utiles avec d’autres entreprises, Pour preuve : une enquête sur les menaces avancées notamment les indicateurs d’attaques. (APT), menée par Enterprise Strategy Group aux DD Prises de décisions avisées face aux risques, États-Unis et en Europe, révèle que 59 % des experts et définition de stratégies défensives sécurité des entreprises américaines et 63 % de s’appuyant sur une connaissance approfondie leurs homologues européens estiment qu’il est des menaces en présence et des dispositifs de « probable », voire « fort probable » que leur entreprise sécurité de l’entreprise. ait été la cible d’attaques APT. À l’heure actuelle, les entreprises font l’objet Favoriser le partage d’informations d’offensives ciblées, complexes et multimodales, parfois exécutées sur des périodes prolongées. Dans le contexte actuel, le partage Dès lors, la clé d’une protection efficace passe par d’informations sur les cyber-risques et les l’abandon des approches traditionnelles en matière stratégies défensives est devenu incontournable. de sécurité informatique. En ce sens, les indicateurs de cyberattaques se L’heure est à l’adoption d’une nouvelle prêtent particulièrement à ce type de pratique. approche, basée sur la cyberveille et porteuse de Si d’importantes communautés d’entreprises nouvelles méthodes : pouvaient d’ores et déjà se former pour échanger DD Collecte systématique de données fiables sur en continu sur les modes opératoires actuels, les les cyber-risques, à partir de diverses sources attaques des cybercriminels s’en trouveraient (publiques, sectorielles, commerciales et internes). Objectif : disposer d’une vision plus largement entravées. complète des risques et des vulnérabilités. La plupart des professionnels de la sécurité informatique ont établi des réseaux informels DD Recherches continues et prospectives sur les avec des homologues de confiance dans attaquants potentiels afin de mieux comprendre d’autres entreprises. De tels réseaux peuvent leurs motivations, leurs techniques de représenter une valeur inestimable, à tel point prédilection et leurs activités connues. qu’ils sont devenus le principal canal d’échanges DD Développement de compétences de veille au interentreprises. Seul bémol : ils ne permettent sein de l’équipe informatique. pas le partage d’informations à grande échelle. Pour y remédier, de nombreuses initiatives DD Visibilité complète des conditions réelles de fonctionnement des environnements sectorielles ou publiques, ainsi que des informatiques, en vue notamment d’opérer la partenariats public/privé ont vu le jour. distinction entre comportements normaux et L’expérience aidant, les groupes de partage anormaux du système et des utilisateurs finaux. d’informations ont peu à peu développé un ensemble de facteurs de succès, à commencer DD Processus permettant l’analyse, la fusion et la par des structures formalisées, des financements gestion efficaces des données sur les cyber-risques à partir de diverses sources, adéquats, des protocoles d’échange de données, ce afin de générer une information un cadre juridique, des procédures standardisées immédiatement exploitable. et une participation active des acteurs concernés. Les piliers du partage d’informations : confiance« Il est parfois difficile d’accepter l’idée de devoir et réactivité.développer un programme pluriannuel destinéà identifier vos ennemis et les méthodes qu’ilsvont utiliser pour vous voler. D’un trimestreà l’autre, il se peut que les pertes passentinaperçues. Des années peuvent même s’écouleravant que soudain, une entreprise du bout du Tim McKnight, Vice President etmonde jaillisse de nulle part pour vous ravir le Chief Information Security Officer,leadership sur votre marché, grâce au fruit de Northrop Grummanvos investissements en R&D. » 1 U.S. Advanced Persistent Threat Analysis: Awareness, Response, and Readiness among Enterprise Organizations, Enterprise Strategy Group, octobre 2011 2 Western Europe Advanced Persistent Threat (APT) Survey, Enterprise Strategy Group, octobre 2011 RSA, la Division Sécurité d’EMC | Rapport du Security for Business Innovation Council | RSA, The Security Division of EMC | Security for Business Innovation Council Report | 3 1
  4. 4. Recommandations Pour mettre en place une sécurité informatique « Vous êtes inondés d’informations issues efficace, axée sur la cyberveille, le rapport établit de milliers de sources différentes et devez une feuille de route en six étapes : les stocker quelque part – dans l’idéal, sur une plate-forme permettant des recherches 1 Commencer par le commencement rapides dans un format non normalisé, Réalisez l’inventaire de vos ressources stratégiques, renforcez vos processus de résolution d’incidents et des analyses rapides et une détection procédez à des évaluations complètes des risques. automatique des anomalies. » 2 Préparer un argumentaire Relayez les bienfaits d’un programme de sécurité basé sur la cyberveille aux équipes dirigeantes et aux principales parties prenantes. Insistez sur les Robert Rodger, Group Head of Infrastructure avantages immédiats afin de remporter l’adhésion Security, HSBC Holdings plc générale, en particulier pour le financement. 3 Identifier les ressources compétentes Entourez-vous de professionnels alliant des compétences en sécurité informatique à des qualités analytiques et relationnelles. Conclusion 4 Développer un pool de sources. Face aux menaces avancées, l’approche Déterminez les types de données, issues de sources traditionnelle de la sécurité informatique s’avère internes ou externes, qui vous aideront à prévenir, insuffisante. Pour y remédier, une approche basée détecter et anticiper les attaques. Réévaluez ces sur la cyberveille offre une lecture situationnelle sources en permanence. complète, permettant aux entreprises de mieux détecter et neutraliser les cyberattaques. 5 Mettre en place un processus soigneusement défini La mise en place d’une cyberveille requiert Codifiez une méthodologie standard pour favoriser des investissements en personnel, processus et la production d’informations exploitables, assurer technologies. Elle incite par ailleurs à une extension une résolution rapide et adaptée, et développer des du champ de compétences et à une évolution des contre-mesures. mentalités au sein des équipes sécurité. Sans compter qu’elle doit également remporter l’adhésion 6 Automatiser générale des équipes dirigeantes. Privilégiez l’automatisation de l’analyse et de la Si de nombreuses entreprises pratiquent une gestion de grosses volumétries de données multi- veille concurrentielle et commerciale afin de mieux sources. connaître leurs concurrents et leurs marchés, rares sont celles qui se sont dotées d’un programme de cyberveille. Or, la plupart des processus métier et des transactions s’exécutant désormais en ligne, la fraude, l’espionnage et le sabotage ont également investi la Toile. C’est pourquoi la cyberveille est devenue essentielle. Les menaces avancées représentent un risque croissant pour l’innovation. Ce rapport établit la feuille de route d’une sécurité informatique basée sur la cyberveille, le but étant d’anticiper les menaces et de protéger les ressources critiques de l’entreprise.4 ||2 Rapport du Security for Business Innovation Council | RSA, la Division SécuritéEMC Security for Business Innovation Council Report | RSA, The Security Division of d’EMC
  5. 5. A propos du Security forL’ Business Innovation Council innovation est au cœur des priorités de la plupart des entreprises. Chez RSA, nous sommes convaincus que les entreprises ont tout à gagner d’une véritable implication des équipesDans cette optique, les dirigeants sécurité dans le processus d’innovation.cherchent à exploiter tout le potentiel L’heure est au changement d’approchede la mondialisation et des avancées et à l’élévation de la sécurité au rang detechnologiques pour optimiser stratégie d’entreprise, plutôt que de laleur efficacité et créer de nouveaux cantonner à une spécialité technique.gisements de valeur. Si les équipes sécurité prennent peu à peu conscience de la nécessité d’alignerPourtant, un paradoxe demeure. leur stratégie sur celle de l’entreprise,Si l’information constitue le moteur de elles peinent encore souvent à lal’innovation, sa protection n’est toujours décliner en plans d’action concrets.pas considérée comme stratégique, et L’objectif final ne fait aucun doute,ce malgré les pressions réglementaires mais le chemin pour y parvenir resteet l’escalade des menaces. De fait, incertain. C’est pourquoi RSA collaborela sécurité de l’information est trop avec des experts de la sécurité du mondesouvent reléguée en bout de chaîne − au entier pour faire avancer les débats etmieux évaluée en toute fin de projet, au tracer le cap à suivre.pire totalement ignorée. Or, l’absenced’une stratégie de sécurité adaptéepeut brider l’innovation et exposerl’entreprise à des risques inconsidérés. © 2012 EMC Corporation. Tous droits réservés. EMC2, EMC, RSA et le logo RSA sont des marques ou des marques déposées d’EMC Corporation aux États-Unis et/ou dans d’autres pays. Toutes les autres marques citées dans le présent document appartiennent à leurs détenteurs respectifs. h9070-sbic-syn-0112

×