SANS Institute, organisme de formation aux métiers de la sécurité informatique, dévoile les résultats de son rapport 2018 sur la détection de menaces informatiques dans les entreprises (« threat hunting»).

Cette étude constate que, bien que les organisations élargissent la portée de la détection des menaces, la recherche ciblée et régulière, l'identification et la compréhension de l'intrusion dans un réseau ou un système sont encore relativement mal définies auprès des professionnels de l'IT.

Des recherches de menaces proactives

SANS Institute a interrogé 600 professionnels de l'informatique à travers le monde pour mesurer la maturité des programmes de prédictions d'attaques au sein de leurs entreprises. Les résultats révèlent une progression par rapport à l'étude de 2017.

En effet, les répondants sont plus nombreux à affirmer mettre en place des méthodes de recherche proactive plutôt que de se limiter à des indicateurs réactifs.

43 % des interrogés effectuent des opérations en continu pour détecter les menaces, contre 35 % en 2017. Selon les experts de SANS Rob M. Lee et Rob T. Lee, ces chiffres témoignent que la prédiction d'attaques se développe et qu'elle est de plus en plus nécessaire.

Une pratique pas encore généralisée dans toutes les entreprises

Cependant, l'enquête menée par SANS Institute révèle que la plupart des entreprises qui pratiquent la chasse aux menaces informatiques de manière proactives sont de grandes entreprises, ou celles qui ont été fortement ciblées par les attaques. De plus, 37 % des interrogés ne mettent en place la détection de menaces que si un événement a lieu ou une alarme est déclenchée.

« L'un des résultats les plus intéressants de cette étude est qu'elle démontre une utilisation plus précise de la détection de menaces dans de nombreuses entreprises», explique Rob T. Lee, co-auteur et responsable du programme de formation et intervention.

« Ce changement s'est accentué en un an. De plus en plus d'organisations utilisent des renseignements appropriés sur les menaces pour les aider à identifier les plus à risques au sein de leur réseau et de rechercher les comportements anormaux qui sont des indicateurs directs des menaces. »

Selon les experts de SANS, plus les entreprises se livreront à la chasse aux menaces de manière proactive, plus le temps de compromission est réduit (période durant laquelle la menace est infiltrée dans le système jusqu'à ce qu'elle en disparaisse complètement).

Ces derniers indiquent que le temps d'attente moyen est actuellement supérieur à 90 jours, mais en 2013, le temps d'attente moyen était de plus de six mois. La réduction de ce temps d'attente montre que l'adoption de la chasse aux menaces et de techniques d'analyse plus rigoureuses a eu un impact significatif sur la réduction du temps de présence des intrusions dans la plupart des réseaux.

Les chiffres clés de l'étude SANS Institute

• La technologie vs l'humain :

Les entreprises privilégient l'achat d'outils plutôt que la mise en place d'un personnel expérimenté possédant les compétences analytiques nécessaires à la mise en œuvre de programmes efficaces de chasse aux menaces.

41% des répondants ont déclaré que la technologie est le domaine le plus important pour les dépenses de détection de menaces ; seulement 30% ont déclaré qu'il s'agissait du personnel. La chasse aux menaces automatisée n'existe pas, donc si la technologie peut aider à identifier les erreurs et à atteindre la vitesse, ce sont les compétences de l'Homme qui seront en mesure de minimiser les perturbations et les dommages sur le réseau.

• Une arme de choix :

Les trois compétences les plus appréciées des membres de l'équipe de détection de menaces comprend l'analyse des journaux (83 %), l'analyse des menaces et l'utilisation des renseignements sur les menaces (73 %) et une connaissance des activités de base du réseau (72 %).

Le renseignement sur les menaces et la détection de celles-ci doivent aller de pair pour fonctionner efficacement. Le renseignement est la clé d'une détection efficace de menaces, et il est primordial de se concentrer sur les compétences humaines et la formation pour assurer cette efficacité.

• Regarder vers l'avenir :

Concernant les améliorations nécessaires sur les outils et les capacités de détection de menaces, les réponses les plus fréquentes ont été l'amélioration des fonctions d'enquête (59 %) et l'augmentation du personnel possédant des compétences en matière d'enquête (59 % également). Les deux principales options ont trait à l'efficacité et à l'efficience du personnel, ainsi qu'à un besoin croissant de personnel qualifié.