Un outil de sensibilisation intelligent pour mieux gérer la cybersécurité
Le manque de main-d’œuvre combiné à un nombre considérable d’attaques toujours plus sophistiquées complique fortement la cyberdéfense. Les centres de réponse aux incidents de sécurité informatique (CSIRT) luttent pour suivre le rythme. «Ils ont besoin de solutions pour distinguer les alertes critiques, qui posent le plus grand risque pour leur entreprise, du bruit de fond des alertes de faible niveau et de faible priorité», explique Brian Lee, coordinateur du projet PROTECTIVE, financé par l’UE. «Ils ont également besoin de mieux comprendre le comportement, la capacité et l’intention de leur adversaire, afin de passer de leur approche réactive actuelle de la cybersécurité à une position plus proactive en matière de sécurité.» M. Lee poursuit: «Les CSIRT doivent de plus en plus regarder à l’extérieur ainsi qu’à l’intérieur pour acquérir et traiter les renseignements sur les menaces nécessaires, afin de développer une telle capacité de détection proactive.» Une position proactive vis-à-vis de la sécurité permet aux CSIRT de développer leur capacité à découvrir des activités malveillantes dans leur domaine donné avant qu’il ne soit trop tard.
Renforcer la sensibilisation des CSIRT à la menace
L’équipe de PROTECTIVE a développé une solution complète, afin de renforcer l’appréciation de la cybersituation (ACS) de l’organisation. Elle y est parvenue en améliorant la corrélation et la hiérarchisation des priorités en matière d’alertes de sécurité, en reliant la pertinence/criticité des actifs d’une organisation à son activité/sa mission et en établissant une communauté de partage des renseignements sur les menaces. «Ces trois éléments sont étroitement liés pour fournir une plateforme ACS intégrée qui a été initialement développée pour les CSIRT dans la communauté des fournisseurs de services internet de réseaux nationaux de recherche et d’éducation et, par la suite, pour les PME», explique M. Lee. Pour parvenir à une ACS, les partenaires du projet ont mis au point un gestionnaire d’appréciation de la situation en matière de sécurité, entièrement ouvert. Il est applicable à tout type d’entreprise ou secteur, et permet aux CSIRT de saisir, corréler, analyser et visualiser en temps réel les alertes de sécurité. Il s’accompagne d’interfaces de connexion logicielle à de nombreux types de dispositifs comme les pots de miel, les pare-feu, les systèmes de détection des intrusions et les connecteurs personnalisés. Tout autre type de dispositif ou de capteur peut facilement être ajouté.
Meilleur suivi de la sécurité et meilleur partage des renseignements sur les menaces
PROTECTIVE permet également aux CSIRT de saisir et modéliser les actifs informatiques sous leur supervision. En recourant à des sous-systèmes d’appréciation du contexte, une organisation peut identifier ses principaux objectifs commerciaux et définir la relation entre ces objectifs, ses informations vitales et ses actifs informatiques. Ainsi, la solution assigne une priorité à chaque actif. Cette information est combinée à une évaluation en temps quasi-réel des niveaux de vulnérabilité des différents actifs. Ces deux fonctionnalités aident à classer les alertes critiques selon le dommage potentiel que l’attaque pourrait infliger aux actifs menacés et à l’activité de l’organisation. Les alertes à impact élevé qui ciblent des hôtes importants auront une plus grande priorité que les autres alertes. PROTECTIVE améliore cette capacité d’alerte grâce à un partage en temps réel des alertes de sécurité fondées sur des renseignements sur les menaces exploitables entre les CSIRT de différentes organisations. Il permet aux CSIRT de mieux analyser les cyberactivités au-delà de leur propre organisation. Les CSIRT pourront dès lors parvenir à une détection et une prévention proactives des activités de cybercriminalité en cours. «Grâce à la puissante plateforme ouverte de PROTECTIVE, les CSIRT et les organisations sont mieux préparés à gérer les attaques entrantes, les logiciels malveillants et autres problèmes de sécurité, et à orienter le développement des procédures de prévention et de réparation», conclut M. Lee.
Mots‑clés
PROTECTIVE, CSIRT, actifs, alerte de sécurité, cybersécurité, alertes critiques, cyberattaque, renseignements sur les menaces, appréciation de la cybersituation