L'analyse de la menace ou Threat
Intelligence (TI) s'est progressivement développée depuis une dizaine
d’années à mesure que le public prenait conscience de la réalité
des atteintes sur les systèmes d'information. Nous avions déjà présenté une série d'articles du magazine MISC traitant de la boucle OODA et de la TI, soulignant ainsi certains travaux de réflexion sur l'évolution des méthodes et outils propres à la cyberdéfense. Nous poursuivons ici la présentation de différents travaux s'appuyant pour certains sur des retours d'expérience récents (voir par exemple l'excellente présentation Six Years of Threat Intelligence: Have We Learned Nothing ?). Mais pourquoi parler de TI ? A-t-on abandonné la SSI ?
C'est poussé par le besoin
d'attribution que le marché de la Threat Intelligence se développe.
Les entreprises de cybersécurité ont rapidement intégré le fait que
sans l'apport de la Threat Intelligence leur crédibilité
s'émousserait rapidement. Elles semblent avoir également intégré le fait qu'en dépit des "produits et solutions de sécurité" qu'elles vendent, les attaquent se poursuivent et atteignent leurs objectifs.
Ainsi, pour rompre le cycle sisyphéen, outre les solutions de sécurité,
il leur faut maintenant proposer des services supplémentaires
capables de répondre aux exigences de leurs clients. Face aux
attaques quotidiennes et récurrentes, les strates de direction et
les décideurs politiques se retournent maintenant vers le monde de
la sécurité informatique et les DSI avec une seule question : "Qui
est derrière cette attaque ? Qui me vole mes données ?".
Conscient qu'une approche uniquement technique ne permettra pas
d'obtenir une protection absolue, la question de la réponse aux
attaques est devenue un enjeu stratégique, tant pour les États que
pour l'entreprise.
