Vous savez maintenant quelles informations collecter selon vos objectifs. C’est une étape cruciale, mais les données brutes ne sont que le point de départ. Pour tirer pleinement parti de votre veille en cybersécurité, voyons maintenant comment traiter et analyser efficacement l'information que vous avez collectée.
Traitez les données
Le traitement des données est la phase où les données brutes collectées sont transformées en informations utiles. C'est le moment où vous allez extraire à partir des données que vous avez catégorisées ce qui a du sens pour en faire une base solide à la prise de décision.
Imaginez que vous identifiez et référencez les vulnérabilités nouvellement annoncées. Sans traitement, ces données ne sont pas actionnables. Cette phase inclut les étapes suivantes :
repérer les vulnérabilités susceptibles d’impacter votre organisation (en fonction du SI et tes technologies utilisées ;
les prioriser en fonction de leur criticité ;
en apprendre plus sur l’exploitation d’une vulnérabilité par des acteurs de la menace ;
prioriser les actions correctiveset préventives pour maintenir un niveau de sécurité optimal.
Imaginons que votre entreprise utilise un logiciel de gestion de base de données particulier. Durant votre veille, vous découvrez qu'une nouvelle vulnérabilité a été identifiée dans ce logiciel. Le traitement de ces données brutes impliquerait une :
évaluation de la pertinence : vous déterminez si cette vulnérabilité affecte l'une des versions du logiciel que votre entreprise utilise. C’est le cas ! Alors, vous passez à l’étape suivante.
analyse de la criticité : c’est le moment de lire le bulletin d’alerte dans le détail pour en savoir plus. Ici, la vulnérabilité permet à n’importe quel attaquant de devenir administrateur du système exécutant le logiciel, le tout depuis Internet et sans privilège préalable. À la clé : intrusion, propagation, fuite de données… C’est très critique !
exploitation par les acteurs de la menace : lorsque vous apprenez que la vulnérabilité est activement exploitée, il devient d'autant plus crucial d'identifier rapidement les méthodes d'attaque utilisées.
plan d’action : pour le moment, l’éditeur du logiciel ne propose aucune mise à jour corrigeant la vulnérabilité. La seule solution envisageable est l’adoption de mesures de contournement. Par exemple, si la vulnérabilité concerne l'accès SSH, un fix temporaire consisterait à bloquer l'accès aux ports SSH depuis Internet, réduisant ainsi l'exposition aux attaquants potentiels et limitant les risques en attendant un correctif officiel.
L'objectif de cette étape est bien de structurer les données de manière à les rendre prêtes pour une analyse en profondeur.
Analysez vos résultats de veille
L'analyse des résultats de veille est une compétence essentielle pour tout professionnel de la cybersécurité. Elle va au-delà du simple traitement des données. Cette analyse transforme les données traitées en perspectives opérationnelles, tactiques ou stratégiques, permettant ainsi de comprendre non seulement ce qui se passe, mais aussi pourquoi cela se passe et comment réagir efficacement.
Cette phase inclut les étapes suivantes :
analyser les tendances pour identifier les modèles émergents dans les données ;
évaluer les risques associés à différentes vulnérabilités ou menaces ;
formuler des recommandations basées sur les données analysées pour guider les actions de cybersécurité.
Continuons le scénario précédent. L’analyse des données que vous avez récoltées et qui vous ont permis d’identifier une vulnérabilité dans le logiciel de gestion de base de données de votre entreprise impliquerait une :
analyse des tendances : votre équipe examine les rapports historiques pour déterminer si des vulnérabilités similaires ont été signalées dans le passé et comment elles ont été gérées. Cette analyse des tendances aide à comprendre la fréquence et la gravité des problèmes liés à ce logiciel, offrant une perspective sur la fiabilité globale du système et les risques potentiels à long terme
évaluation des risques : vous évaluez les risques associés à cette vulnérabilité spécifique. Cela implique de considérer l'impact potentiel sur la confidentialité, l'intégrité et la disponibilité des données gérées par le logiciel. Vous prenez en compte des facteurs tels que la sensibilité des données stockées, la facilité d'exploitation de la vulnérabilité et les conséquences d'une éventuelle attaque.
formulation de recommandations : sur la base de cette analyse, des recommandations sont formulées. Cela pourrait inclure des actions immédiates comme l'application d'un correctif de sécurité, la modification des configurations de sécurité ou l'implémentation de mesures de contournement. Des recommandations stratégiques peuvent également être proposées, comme la réévaluation de l'utilisation de ce logiciel ou l'exploration d'alternatives plus sûres.
De plus, il est important de démontrer une valeur ajoutée pour les destinataires de vos rapports de veille. Vous ne vous contentez pas de présenter des données brutes, mais vous les contextualiser et les interprétez pour fournir des informations exploitables. Je vous montre quelques exemples dans la partie 3 du cours.
En résumé
Le traitement des données est essentiel pour transformer les données brutes en informations utiles en cybersécurité.
L'analyse des résultats de veille implique la synthèse des informations, l'identification des tendances et des risques et la démonstration de la valeur ajoutée pour les destinataires.
Il est crucial de présenter les résultats de manière claire et compréhensible, en mettant en avant les actions à entreprendre pour renforcer la sécurité.
Maintenant que vous avez une méthode pour collecter, traiter et analyser l’information, voyons comment les outils de veille peuvent vous aider. C’est le sujet du prochain chapitre : on y va !