Par Cédric Boucly Directeur Cybersécurité chez Tenexa.
Nous assistons depuis
quelque temps à une mutation profonde des cybermenaces de plus en plus
sophistiquées au sein d’un environnement IT distribué dans un paysage
réglementaire croissant. L’enjeu est devenu existentiel. Une brèche de sécurité
majeure peut paralyser l’activité d’une entreprise ou d’une organisation
pendant des semaines et impacter durablement leur image.
En l’occurrence,
l’avenir sera marqué par des attaques orchestrées par l’intelligence
artificielle qui devient un outil central dans les stratégies des
cybercriminels. L’explosion des attaques automatisées, plus ciblées et plus
difficiles à détecter, les rendra plus efficaces. Face à cela, la défense
commence à s’organiser en intégrant dans les outils de défense ces
technologies.
Les SOC modernes
passent d’un mode réactif à proactif, en recherchant de plus en plus
l’automatisation des réactions. La Cyber Threat Hunting, assistée par IA, sur
le Darkweb va alors présenter des avantages dans la stratégie de
cybersécurité :
·
Détection précoce de compromissions ou fuites (identifiant de
comptes d’employés en vente ou fuite, données clients exposées, clés API,
configurations VPN ou accès RDP compromis, etc.).
·
Surveillance de la réputation de l’organisation (discussions de
groupes APT ou hackers ciblant l’entreprise, offres d’achat ou d’accès à des
infrastructures, campagnes de phishing en préparation contre des utilisateurs
ou marques, etc.).
·
Renseignement sur les menaces ciblées (connaître les
techniques, outils et infrastructures utilisés contre des cibles similaires
[sectorielles ou géographiques], détection de nouveaux malwares ou kits
d’attaque diffusés sur des forums spécialisés, etc.)
Ce gain représentant un avantage temporel combiné à une automatisation va être un levier dans la gestion des risques pour l’organisation. La mise à jour des bases d’IOCs envoyée au SIEM, le déclenchement d’actions de réinitialisation des mots de passe, le blocage des IPs/domaines liés à des groupes malveillants et autres actions rapides permettront aux analystes d’être plus concentrés sur des analyses plus profondes.
Le SOC augmenté prend alors tout son sens : le bot, véritable radar permanent, fait 80% du travail (collecte + détection + push IOC) et le hunter (le cerveau humain) intervient sur les 20% restants. Cette approche riche de sens permettra d’avoir le plus d’impact.