Dans cette interview Help Net Security, Thomas Roccia, chercheur principal en sécurité chez Microsoft, explique comment la recherche sur les menaces permet une prise de décision plus rapide et plus efficace dans les opérations de cybersécurité.
Roccia fournit des informations sur l’équilibre entre les stratégies de recherche internes et externes, l’influence de l’IA et des événements géopolitiques, et sur la manière dont les organisations peuvent renforcer leur posture de sécurité pour contrer les menaces.
Pourriez-vous expliquer comment la recherche sur les menaces contribue à une prise de décision plus rapide et plus efficace dans les opérations de cybersécurité ?
La recherche sur les menaces consiste avant tout à comprendre les méthodes opérationnelles des auteurs de menaces : comment ils pénètrent dans votre réseau, comment ils trompent les utilisateurs et quels exploits, outils ou logiciels malveillants ils utilisent pour atteindre leurs objectifs. Il existe également une dimension mondiale qui influence le cyberespace. Les événements géopolitiques tels que les guerres ou les élections, les facteurs économiques tels que les fluctuations des prix du BTC et les courses mondiales telles que la course à l’IA influencent tous la façon dont les attaquants opèrent.
Toutes ces informations, transformées en renseignements, peuvent être utilisées pour guider les opérations de cybersécurité, adapter les défenses, prendre les bonnes décisions en matière d’embauche, de sélection de produits et de stratégies globales, et adopter une posture de sécurité proactive. En fin de compte, la recherche sur les menaces est un outil qui contribue à la sécurité d’une organisation, pour finalement protéger ses actifs.
Quels sont les avantages de mener des recherches en interne sur les menaces par rapport à une sous-traitance à des tiers ?
Mener des recherches internes sur les menaces permet à une organisation d’adapter ses besoins et de se concentrer sur les menaces qui pourraient avoir un impact sur l’entreprise. Cependant, cela nécessite une solide maturité en termes de compréhension des besoins et des exigences, ainsi qu’un personnel avancé capable de construire et de mener un programme de recherche sur les menaces.
D’un autre côté, l’externalisation de la recherche sur les menaces permet à une entreprise de confier son exposition à la sécurité à une organisation spécialisée qui peut avoir une visibilité plus large sur le paysage des menaces.
Il n’existe pas de solution universelle, mais une recherche efficace sur les menaces nécessite souvent la combinaison d’une équipe interne capable de comprendre les menaces provenant de divers signaux et de transformer les informations pour répondre aux besoins de l’organisation. Et bien sûr, le budget alloué est également un élément à considérer.
Comment équilibrez-vous les outils propriétaires et les outils open source dans votre flux de recherche sur les menaces ?
L’équilibre entre les outils propriétaires et open source dans un flux de recherche sur les menaces nécessite principalement de prendre en compte les besoins, le budget et l’expertise de l’équipe. Tout d’abord, il est important d’évaluer les besoins d’une organisation en identifiant les capacités nécessaires, telles que les plateformes de renseignement sur les menaces ou les outils d’analyse des logiciels malveillants. Ensuite, évaluer les outils open source qui peuvent être rentables et personnalisables, mais qui peuvent nécessiter le soutien de la communauté et des mises à jour fréquentes. En revanche, les outils propriétaires pourraient offrir des fonctionnalités avancées, un support dédié et une meilleure intégration avec d’autres produits.
Enfin, pensez à l’évolutivité et à la flexibilité, car la croissance future pourrait nécessiter des solutions évolutives.
Que pensez-vous de l’impact de l’IA et de l’apprentissage automatique sur l’automatisation de la recherche sur les menaces, et comment les RSSI peuvent-ils évaluer leur efficacité ?
Je pense que le secteur de la sécurité et le travail que nous effectuons dans la recherche sur les menaces changent et évoluent avec la technologie de l’IA générative, mais le secteur de la sécurité est toujours en train de rattraper son retard.
La technologie n’est pas magique, mais c’est un outil puissant pour accélérer les processus et renforcer les procédures de sécurité tout en réduisant l’écart entre les analystes avancés et débutants. Cependant, à ce jour, la technologie nécessite encore une vérification et une validation.
À l’échelle mondiale, le besoin d’experts en sécurité possédant une double compétence en sécurité et en IA sera très demandé. À mesure que l’adoption de systèmes d’IA générative augmente, nous avons besoin de personnes qui comprennent ces technologies, car les acteurs de la menace apprennent également. Dans un futur proche, si vous rencontrez un incident impliquant ce type de système, comment y réagissez-vous ? Comment enquêtez-vous sur la violation ? Voici quelques-uns des événements auxquels les organisations doivent se préparer.
Si un RSSI a besoin d’évaluer l’efficacité de ces outils, il doit d’abord comprendre ses besoins et ses points faibles, puis demander conseil à des experts. Adopter des solutions de sécurité génératives par IA simplement parce qu’il s’agit de la dernière tendance n’est pas la bonne approche. Comprendre la technologie et savoir où elle peut être appliquée dans la pratique est la clé pour évaluer son efficacité.
D’après votre expérience, comment les événements géopolitiques façonnent-ils l’orientation et la méthodologie de la recherche sur les menaces ?
Les événements géopolitiques ont un impact crucial sur l’orientation de la recherche sur les menaces. Par exemple, le profilage ou l’attribution des acteurs menaçants doit être adapté pour comprendre l’évolution des motivations et des tactiques des acteurs parrainés par l’État ou des groupes politiquement motivés. Les ressources devront peut-être être réaffectées pour se concentrer sur les menaces plus susceptibles de cibler les organisations en raison de leur situation géographique, de leur secteur d’activité ou de leurs affiliations.
La priorisation du paysage des menaces change parce que certaines menaces deviennent plus importantes en réponse aux tensions géopolitiques. Les organisations au centre de tensions peuvent également adopter une posture de cyberdéfense plus agressive, ce qui peut avoir un impact sur la manière dont les attaquants opèrent. Les efforts de collaboration peuvent améliorer les capacités de défense et nécessitent des méthodologies coordonnées de recherche sur les menaces.
Les événements géopolitiques peuvent donner lieu à des efforts de recherche ciblés, tels que des études spécifiques à une langue ou à des analyses de logiciels malveillants spécifiques à une région. Les chercheurs doivent également adapter leur méthodologie et élargir leur champ d’intervention aux opérations de désinformation et d’influence, de plus en plus souvent menées en synergie avec les cyberattaques et les opérations de terrain.
Il existe aujourd’hui un aspect multidimensionnel dans la recherche sur les menaces qui doit être abordé différemment avec les outils, la méthodologie et l’orientation appropriés.