La mise en place d’un programme de renseignement sur les cybermenaces peut sembler hors de portée. De nombreux modèles sont disponibles, des milliers de pages ont été consacrées aux sources, aux méthodes et aux techniques d’analyse, mais trouver une formule adaptée aux ressources et aux besoins de votre entreprise peut s’avérer difficile. Pour vous simplifier la tâche, songez à adopter une approche différente, plus pragmatique, qui permet à l’organisation de développer une compréhension des menaces qui pèsent sur elle en termes simples.
Ce billet inaugure une série qui présente une approche simple pour développer un programme rudimentaire de renseignement sur les menaces en identifiant 1) ce qu’il faut protéger, 2) qui pourrait s’intéresser à ces données et 3) comment obtenir des informations sur les menaces, le tout dans un format exploitable par votre organisation. Ces billets de blog sont fournis en complément de notre précédent billet sur l’importance des exigences prioritaires en matière de renseignement (Priority Intelligence Requirements ou PIR), dans la mesure où les deux premiers billets de cette série peuvent vous aider à créer et vous préparer au PIR. Dans ce premier billet, nous allons nous concentrer sur la manière d’identifier ce que les acteurs malveillants sont susceptibles de priser.
Par où commencer ?
La première étape dans l’élaboration d’un programme de renseignement sur les cybermenaces consiste à identifier les données dont vous disposez et que vous voulez protéger. Pour cet exercice de pensée, vous devez envisager ce problème tant de votre point de vue que de celui des acteurs malveillants potentiels. Il s’agit donc de déterminer ce qui est important pour VOUS et ce qui est important pour EUX. Être capable de résumer ces éléments de manière simple et succincte est au cœur d’un bon programme de renseignement sur les cybermenaces.
Qu’est-ce qui est important à vos yeux ?
La première étape consiste à déterminer ce qui est important pour VOUS. Il s’agit d’ identifier les actifs critiques pour l’exploitation de votre activité (le nécessaire pour assurer son bon fonctionnement) et toutes autres ressources qui font partie intégrante de votre entreprise (propriété intellectuelle, données et autres éléments propres à votre organisation).
- Considérations opérationnelles : Il peut s’agir de choses aussi basiques que l’argent et les données financières (valable pour toutes les entreprises) mais également de considérations associées aux technologies ou logiciels essentiels pour l’exploitation de votre activité, et sur les vulnérabilités dont elles pourraient souffrir. Vous pouvez également prendre en compte les systèmes de contrôle industriels et les objets connectés qui doivent être protégés contre les menaces. Les données sur les clients appartiennent également à cette catégorie.
- Autres considérations : Ces considérations portent sur ce qui est propre à votre entreprise. Propriété intellectuelle ? Recherche ou autres données uniques ou sensibles ? Quels sont les données, les accès ou les processus qui ont de la valeur pour votre entreprise ?
Qu’est-ce qui serait important aux yeux de vos adversaires ?
La deuxième phase de ce processus consiste à prendre du recul pour envisager votre entreprise du point de vue d’un acteur malveillant. Qu’est-ce qui intéresserait un cybercriminel ou un acteur étatique ? Les deux catégories se chevaucheront souvent, l’argent étant l’exemple le plus flagrant. Les groupes à l’origine de rançongiciels parmi d’autres cybercriminels sont motivés par l’appât du gain. Votre propriété intellectuelle peut également intéresser certains acteurs étatiques (les données relatives aux technologies dans le domaine de l’énergie intéressent tout particulièrement la Chine, par exemple). Songez également à la nature de votre clientèle et/ou aux entreprises auxquelles vous êtes associées. Cette considération a été soulevée récemment dans un avis du gouvernement des États-Unis sur les menaces pesant sur les infrastructures essentielles, et qui signale aux petites et moyennes entreprises qu’elles peuvent être ciblées en raison de leurs relations commerciales avec des entités plus importantes du secteur.
Et maintenant ?
Identifier ce qui est important est la première étape pour bâtir un programme de renseignement sur les cybermenaces. Dans le billet suivant de cette série, nous verrons quels acteurs malveillants sont susceptibles de s’intéresser à votre entreprise en fonction de ce que vous avez identifié dans le cadre de ce processus, afin de pouvoir surveiller ces groupes et leurs modes opératoires. Ces connaissances peuvent vous permettre d’adapter vos défenses aux menaces qui pèsent potentiellement sur vous, et de maximiser votre retour sur investissement en matière de cybersécurité.