Qu'est-ce que la chasse aux menaces ?

Auteur

Matthew Kosinski

Staff Editor

IBM Think

Qu'est-ce que la chasse aux menaces ?

Également appelée traque des cybermenaces, la traque des menaces est une approche proactive visant à identifier les cybermenaces inconnues ou en cours sur le réseau d’une entreprise.

Elle aide les entreprises à renforcer leur posture de sécurité contre les ransomwares, les menaces internes et autres cyberattaques qui pourraient autrement passer inaperçues.

Si les outils de sécurité automatisés et les analystes vigilants des centres d’opérations de sécurité (SOC) peuvent détecter la plupart des menaces de cybersécurité avant qu’elles ne causent des dommages importants, certaines menaces sophistiquées peuvent échapper à ces défenses.

Lorsqu’un acteur malveillant pénètre dans un système, il peut passer inaperçu pendant des semaines, voire des mois. Selon le Rapport sur le coût d’une violation de données publié par IBM, il faut en moyenne 194 jours pour détecter une violation de données. Pendant tout ce temps, les pirates informatiques siphonnent des données et volent des identifiants pour obtenir un accès supplémentaire. 

Quels dommages ces menaces potentielles peuvent-elles causer ? Selon le Rapport sur le coût d’une violation de données, une violation coûte en moyenne 4,88 millions de dollars aux entreprises touchées. Plus le délai entre l’accès initial et le confinement est long, plus cela revient cher.  

Une traque efficace des menaces implique que les équipes de sécurité recherchent de manière proactive ces menaces dissimulées. Ainsi, les entreprises peuvent détecter les intrusions et déployer des mesures d’atténuation beaucoup plus rapidement, ce qui réduit les dommages que les attaquants peuvent causer.

Newsletter Think

Votre équipe sera-t-elle en mesure de repérer la prochaine attaque de type zero-day à temps ?

Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.

Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.

https://www.ibm.com/fr-fr/privacy

Fonctionnement de la traque des cybermenaces

Les traqueurs de cybermenaces sont des professionnels qualifiés de la cybersécurité. Il s’agit généralement d’analystes de sécurité du service informatique qui connaissent bien les activités de l’organisation, mais il s’agit parfois d’analystes externes. Les équipes de traque des menaces s’appuient sur l’automatisation de la sécurité pour rechercher, consigner, surveiller et neutraliser les menaces avant qu’elles ne causent de graves problèmes.

Les programmes de traque des menaces s’appuient sur des données, en particulier les jeux de données recueillis par les systèmes de détection des menaces et d’autres solutions de sécurité d’entreprise.  

Au cours du processus de traque des menaces, les experts ratissent ces données de sécurité à la recherche de logiciels malveillants cachés, d’attaquants furtifs et de tout autre signe d’activité suspecte que les systèmes automatisés auraient pu manquer.  

Lorsqu’ils décèlent une menace, ils passent à l’action en l’éradiquant et en renforçant les défenses pour s’assurer qu’elle ne se reproduise plus.

Types de traque des menaces

Les traqueurs commencent par une hypothèse basée sur leurs observations, des données de sécurité ou un autre élément déclencheur. Cette hypothèse sert de tremplin à une enquête plus approfondie sur les menaces potentielles.  

Les enquêtes prennent généralement l’une des trois formes suivantes : la traque structurée, la traque non structurée ou la traque situationnelle.

Chasse structurée

Les cadres formels, tels que le cadre MITRE ATT&CK (Adversary Tactics Techniques and Common Knowledge), guident les traques structurées. Ils ciblent des indicateurs d’attaque (IOA) définis et les tactiques, techniques et procédures (TTP) d’acteurs connus comme étant des menaces.  
Traque non structurée

Une traque non structurée est plus réactive qu’une traque structurée. Elle est souvent déclenchée par la découverte d’un indicateur de compromission (IOC) dans le système d’une organisation. Les traqueurs cherchent alors à déterminer la cause de l’IOC et s’il est toujours présent dans le réseau.  
Chasse situationnelle ou axée sur les entités

Une traque situationnelle est une réponse à la situation unique de l’organisation. Elle est généralement motivée par les résultats d’une évaluation interne des risques ou d’une analyse des tendances et des vulnérabilités de l’environnement informatique.  

La traque axée sur les entités se focalise spécifiquement sur les actifs et les systèmes critiques d’un réseau. Les traqueurs identifient les cybermenaces susceptibles de représenter un risque pour ces entités et recherchent des signes de compromissions en cours.  

Modèles de traque

Traque basée sur les renseignements

La traque basée sur les renseignements s’appuie sur les IOC provenant de sources de renseignements sur les menaces. Les traqueurs ont recours à des outils tels que les systèmes de gestion des informations et des événements de sécurité (SIEM) pour surveiller les IOC connus, tels que les valeurs de hachage, les adresses IP, les noms de domaine et les artefacts hôtes. Lorsque des IOC sont découverts, les traqueurs enquêtent sur les activités potentiellement malveillantes en examinant l’état du réseau avant et après l’alerte.

Traque basée sur les hypothèses

La traque basée sur des hypothèses est guidée par les IOA connus enregistrés dans des cadres tels que MITRE ATT&CK. Elle explore la possibilité pour les attaquants d’exploiter certaines TTP pour accéder à un réseau particulier. Lorsqu’un comportement est identifié, les traqueurs peuvent surveiller les habitudes d’activité pour détecter, identifier et isoler toute menace reposant sur ce comportement.  

En raison de leur nature proactive, les traques basées sur les hypothèses peuvent aider à identifier et à arrêter les menaces persistantes avancées (APT) avant qu’elles ne causent des dommages importants.

Traque personnalisée

La traque personnalisée est basée sur le contexte de l’organisation : incidents de sécurité antérieurs, problèmes géopolitiques, attaques ciblées, alertes des systèmes de sécurité et autres facteurs. Ces traques peuvent réunir les qualités de la traque basée sur les renseignements et de celle basée sur les hypothèses.  

Outils de traque des menaces

Les équipes de sécurité emploient divers outils pour faciliter la traque des menaces. Les plus courants sont notamment :

Gestion des informations et des événements liés à la sécurité (SIEM)

Le SIEM est une solution de sécurité qui aide les entreprises à reconnaître et à traiter les menaces et les vulnérabilités avant qu’elles n’aient la possibilité de perturber les opérations métier. Ces systèmes contribuent à détecter les attaques plus tôt et à réduire le nombre de faux positifs que les traqueurs de menaces doivent examiner.

Détection et réponse des terminaux (EDR) 

Les logiciels EDR s’appuient sur des analyses en temps réel et une automatisation pilotée par l’IA pour protéger les utilisateurs finaux, les terminaux et les ressources informatiques de l’entreprise contre les cybermenaces qui échappent aux outils de sécurité traditionnels.

Détection et réponse gérées (MDR) 

La MDR est un service de cybersécurité qui surveille, détecte et répond aux menaces en temps réel. Elle allie technologie de pointe et analyse experte pour permettre une traque proactive des menaces, une réponse efficace aux incidents et une résolution rapide des menaces.

Analyse de la sécurité

Ces systèmes offrent une meilleure compréhension des données de sécurité en combinant le big data avec des outils sophistiqués de machine learning et d’intelligence artificielle. L’analyse de la sécurité peut accélérer la traque des cybermenaces en fournissant des données d’observabilité détaillées.

Traque des menaces et renseignements sur les menaces

Parfois appelés « renseignements sur les cybermenaces », les renseignements sur les menaces sont des informations détaillées et exploitables que les entreprises peuvent exploiter pour prévenir et combattre les menaces de cybersécurité.

Ils permettent aux entreprises de mieux comprendre les dernières menaces ciblant leurs réseaux et le paysage plus large des menaces. 

Les traqueurs s’appuient sur ces renseignements pour mener des recherches approfondies sur l’ensemble du système à la recherche d’acteurs malveillants. En d’autres termes, la traque des menaces est le prolongement des renseignements sur les menaces. Elle convertit les connaissances acquises en actions concrètes nécessaires pour éradiquer les menaces existantes et prévenir les attaques futures.
Solutions connexes
Services de gestion des menaces

Prévoyez, prévenez et répondez aux menaces modernes pour accroître la résilience de l’entreprise.

 

 Découvrir les services de gestion des menaces
Solutions de détection et de réponse aux menaces

Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.

 Découvrir les solutions de détection des menaces
Solutions de défense contre les menaces mobiles (MTD)

Protégez votre environnement mobile avec les solutions complètes de défense contre les menaces mobiles d’IBM MaaS360.

 Explorer les solutions de défense contre les menaces mobiles
Passez à l’étape suivante

Bénéficiez de solutions complètes de gestion des menaces, afin de protéger votre entreprise avec compétence contre les cyberattaques.

 Découvrir les services de gestion des menaces Demander une séance d’information sur les menaces