Qui partage des renseignements sur les menaces ?
Il existe de multiples manières de valoriser les renseignements sur les menaces, notamment par le biais d'une plate-forme complète de renseignements sur les menaces, de l'intégration de flux de menaces ou simplement de l'exploitation des fonctionnalités disponibles dans les outils de sécurité courants en matière de renseignements sur les menaces. L'une des méthodes les moins utilisées pour exploiter les renseignements sur les menaces consiste à les partager avec d'autres groupes afin de réagir plus rapidement aux événements et d'appliquer des mesures préventives.
Les initiatives sectorielles menées par les gouvernements ont entraîné une nette intensification du partage de renseignements sur les menaces entre les gouvernements, les entreprises privées et les industriels. En voici quelques exemples :

Quels sont les types de partage de renseignements sur les menaces qui existent ?
Il existe deux types de partage, chacun étant défini par la personne qui partage les informations.
Partage unidirectionnel des renseignements sur la menace : une entité produit des renseignements sur les menaces et les partage avec d'autres entités, tandis que les personnes qui s'en servent n'apportent pas de contribution en retour. Voici quelques exemples de partage unidirectionnel de renseignements sur les menaces :
- Les renseignements de source libre, pouvant inclure l'intégration de flux de renseignements sur les menaces de source libre ou le téléchargement d'un rapport accessible au public portant sur une attaque récente et contenant les indicateurs et les méthodes employées.
- Les rapports et les flux de données de source fermée.
Partage bidirectionnel des renseignements sur les menaces : les renseignements sont envoyés en vue d'être utilisés, mais les organisations membres peuvent également les intégrer. Bien que ces programmes permettent le partage et l'encouragent, il n'existe aucune garantie que les organisations le fassent.

Préoccupations concernant le partage des renseignements sur les menaces
Malgré l'utilité incontestable des renseignements sur les menaces, les organisations partagent quelques craintes qui les empêchent de s'engager dans cette voie :
- • Questions relatives à la confidentialité et à la responsabilité : il est possible de résoudre ces questions en offrant une vision plus précise du partage des renseignements, en prévoyant des clauses de protection dans les accords juridiques, en utilisant une législation récente et en restant attentif aux éléments partagés.
- Avant de partager des données, quel que soit le type de partage, il est conseillé de rechercher les informations privées ou les informations professionnelles à caractère sensible en vue de les effacer.
- La loi américaine de 2015 relative au partage de renseignements en matière de cybersécurité (CISA) contient des dispositions visant à traiter les questions relatives à la confidentialité et à la responsabilité. Certaines de ces mesures de protection sont subordonnées au respect d'un certain nombre de dispositions. Par ailleurs, il est toujours vivement recommandé de recourir à des services de conseil juridique afin de comprendre les modalités d'application de la CISA dans des situations particulières.
- “Les contributions n'ont pas de valeur en soi” : aucune organisation ne voit toutes les attaques. Le partage de détails apparemment insignifiants permet de renforcer la visibilité et de produire des analyses plus exhaustives en matière de renseignements.
- Manque d'expertise : même sans être un professionnel qualifié, il est toujours utile de fournir les détails des attaques observées, quel que soit le contexte, et l'analyse développée par les membres du personnel, le cas échéant.
- La crainte de révéler qu'une organisation a été piratée : il est courant de redouter de partager les détails de la violation au-delà des entités absolument nécessaires, mais on peut y remédier en effectuant les partages conformément aux meilleures pratiques.
Procédure de partage des renseignements sur les menaces
Que votre organisation partage déjà activement des renseignements ou non, voici quelques conseils sur la manière de démarrer le partage ou d'améliorer celui en cours :
- Outils et groupes : choisissez les outils et les groupes appropriés pour le partage des renseignements sur les menaces. Les options possibles sont les suivantes :
- Le courrier électronique, qui constitue le plus simple des points de départ
- Des outils tels qu'Anomali STAXX, une solution gratuite offerte par Anomali qui permet de partager des indicateurs par le biais de STIX et TAXII
- Les ISAC et autres organisations professionnelles qui disposent généralement de mécanismes de partage
- Le partage ad hoc avec des entités locales ou des partenaires dans d'autres secteurs
- Les utilisateurs d'Anomal ThreatStream disposent déjà d'une solution très robuste permettant de partager des indicateurs et d'autres renseignements avec d'autres organisations ou de créer leurs propres groupes de partage
- Partage et contribution : le partage des comportements indésirables observés, du contexte supplémentaire, des attaques constatées et des détails de la réaction aux incidents constitue un excellent point de départ. Ne vous inquiétez pas si peu d'analyses viennent s'ajouter au partage initial.
- • Partage hors de votre secteur : recherchez des possibilités de partage avec des organisations extérieures à votre secteur, notamment des entités localisées comme les centres de regroupement. Comme à chaque fois, il est indispensable de travailler en étroite collaboration avec les équipes juridiques et les avocats afin d'élaborer des accords appropriés visant à faciliter le partage entre les entités.
- Partage des techniques de lutte et de défense : plus nous les partageons, plus la tâche est ardue pour les personnes mal intentionnées. Pensez au partage :
- Détails sur la lutte contre les menaces, tels que les recherches, les entrées de journal spécifiques, etc.
- Techniques ou règles de défense réussies telles que les règles YARA, les signatures Snort, les règles Bro et les scripts
- Partage des détails sur les failles : plus les détails sur les failles sont communiqués rapidement, plus la probabilité est grande qu'une autre personne y mette fin rapidement au lieu d'en subir les conséquences. En outre, les ressources supplémentaires fournies par d'autres organisations peuvent apporter une aide considérable en matière de renseignements complémentaires et de rapidité de réaction aux incidents.
Le partage est utile.

Vous souhaitez en savoir plus concernant le partage de renseignements sur les menaces ?
Téléchargez le livre blanc pour en savoir plus sur le partage au-delà des secteurs verticaux, sur le partage d'informations ciblées, etc.