Cette approche émerge en réponse au besoin croissant des organisations de comprendre les menaces auxquelles elles sont exposées, et qui mutent de plus en plus vite.
Faisons le point sur l’approche TDIR, ses avantages, et ce qu’elle implique sur le plan stratégique et opérationnel. Retour sur un webinaire animé par Anouck Teiller, CSO chez HarfangLab, et François Khourbiga, CEO de Defants.
Qu’est-ce que l’approche TDIR : définition
Au centre de l’approche TDIR, il y a ce concept majeur : adresser la gestion des menaces par le risque qu'elles représentent pour les organisations. Cette approche est composée de trois volets :
- la donnée, et les possibilités de l’agréger - volet bien maîtrisé par les SOC Managers, et duquel découle les deux autres ;
- la détection, notamment à l’aide des EDR, en vue de réaliser des analyses fines, et au plus près des endpoints et des utilisateurs du SI ;
- l’investigation, en vue d’apporter une réponse appropriée et de réadapter en continu la posture de cybersécurité.
Une organisation doit évidemment être en mesure de réagir à la suite d’un incident, mais aussi de prévenir ces incidents en tirant parti des données et de ses ressources expertes de façon proactive.
Dans ce sens, l’approche TDIR va peut permettre à la fois d’anticiper les menaces en s’appuyant sur la connaissance de la donnée, et de faire appel à ces données pour adapter la réponse en cas d’attaque.
Le TDIR vise ainsi à optimiser la gestion des ressources en priorisant les menaces selon le contexte de l’organisation. Elle favorise une meilleure remédiation, la plus efficace, au bon moment, en construisant une capacité de réponse cohérente sur toute la chaîne de traitement de la menace.
Quels sont les avantages concrets de l’approche TDIR ?
L'approche TDIR présente un réel intérêt pour les organisations, et pour les fournisseurs de services de cybersécurité (MSSP). Plus qu’un acronyme, c'est avant tout une méthodologie sous-tendue par la recherche d'efficacité et de performance opérationnelle dans le traitement de tous les événements de sécurité d'un parc informatique.
Premièrement, elle consiste à créer un pont entre les équipes qui assurent la détection et la supervision (SOC), et celles qui assurent la réponse à incident et la remédiation (CERT).
Grâce au décloisonnement et à la mutualisation des investigations, la qualification des alertes est plus pertinente, ce qui permet de mieux les prioriser.
Deuxièmement, la connaissance et la priorisation des menaces permet d’ajouter de l’intelligence dans la gestion des ressources et des outils à déployer. Ainsi, l’approche TDIR permet d'adapter systématiquement les moyens à la menace en présence.
Enfin, en complétant la documentation des risques – travail documentaire généralement réalisé à échéances fixes, dont l’actualisation est souvent espacée de plusieurs mois voire plusieurs années - l’approche TDIR contribue à une amélioration continue de la sécurité du SI pour faire face à une menace qui évolue elle aussi en continu.
Cette approche permet ainsi d’adapter une stratégie cyber en temps réel, notamment en s’appuyant sur l'analyse des données fournies par un EDR, en vue de comprendre et prioriser les menaces qui pèsent sur l’organisation au quotidien.
En résumé, cette amélioration continue induite par la connaissance et l’agrégation de la donnée a un impact sur :
- la capacité à réagir de façon adéquate en cas d’incident de sécurité,
- la capacité à concentrer les ressources et les moyens sur les menaces prioritaires pour l’organisation.
Pour conclure, voyons comment HarfangLab et Defants appliquent l’approche TDIR sur le terrain.
Comment HarfangLab et Defants mettent en œuvre une approche TDIR ?
Pour une équipe de supervision, coupler un EDR et une plateforme de Threat Investigation peut permettre une première mise en œuvre de l’approche TDIR :
- en définissant finement la granularité des événements de sécurité et des données souhaitées au regard de la menace pesant sur l’organisation ;
- en priorisant la réponse aux différents événements de sécurité sur la base d’investigations ciblées ;
- en réagissant de manière proportionnée aux alertes.
Par la suite, toujours en s’appuyant sur les données remontées par l’EDR, les analystes sont en mesure mener des investigations poussées sur la base d’informations enrichies et exhaustives et contextualisées par rapport à leurs besoins. Ils peuvent aussi gagner du temps grâce aux automatisations prévues dans l’EDR, à l'aide de ses fonctionnalités natives ou celles proposées par une solution tierce.
Cas concret : dans le cadre d’une approche TDIR, via la collecte et l’agrégation des données, leur analyse, et l’automatisation des actions de remédiation, les MSSP équipés d’HarfangLab et Defants peuvent identifier des menaces communes pour leurs différents clients, anticiper sur les besoins en réaction et apporter de ce fait des réponses communes.
En somme, la connaissance de la donnée, et donc de la menace, est essentielle pour être proactif et apporter la meilleure réponse en cas d’incident. Ce sont des enjeux cruciaux pour les SOC, auxquels l’approche TDIR, avec comme pierres angulaires l’EDR et la Threat Investigation, contribue à répondre.
Vous voulez en savoir plus sur l'approche TDIR ?
Rattrapez notre webinaire avec Defants :