Les données sur le paysage des menaces sont essentielles pour sécuriser l’entreprise, mais filtrer le bruit, analyser ce qui est pertinent pour votre entreprise et votre infrastructure spécifiques, et l’opérationnaliser ce que vous trouvez restent des obstacles importants.
L’utilisation des renseignements sur les menaces est standard pour les CISO depuis des années, les chefs de la sécurité reconnaissant que les données supplémentaires sur le paysage des menaces les aident à mieux se préparer et se défendre contre les mauvais acteurs.
Cependant, un pourcentage important de CISO disent qu’ils échouent toujours dans leur utilisation de l’intelligence des menaces.
Selon un rapport de 2025 intitulé The Mind of the Ciso: Croling the Fat entre la réaction et la préparation du fabricant de logiciels de cybersécurité Trellix, 95% des CISO interrogées ont convenu que faire partie d’une communauté ou de réseau de partage de renseignement sur les menaces améliorait leur capacité à se préparer à des menaces, mais un pourcentage encore plus élevé (98%) a déclaré que leur organisation faisait face à des barrières lorsqu’ils agissent sur les renseignements sur les menaces.
Ces chiffres donnent juste un aperçu de ce qui se passe, selon les dirigeants de la sécurité, qui disent que le vrai défi n’est pas de savoir si les CISO ont accès ou reçoivent des renseignements, car presque toutes les équipes de sécurité ont des menaces intégrées dans leurs outils de sécurité.
La question est plutôt de savoir si les CISO sont efficaces pour utiliser cette menace Intel et dans quelle mesure ils peuvent opérationnaliser l’intelligence.
Voici cinq défis auxquels les CISO sont généralement confrontées dans l’utilisation efficace de la menace – et des stratégies pour les surmonter.
1. Conserver la menace la plus pertinente pour leur entreprise
La menace Intel, également connue sous le nom de cyber-menace Intelligence (CTI), vient des CISO par divers canaux; Certains sont gratuits, et une grande partie est basée sur les frais. Bien que certains CISO aient les ressources pour recueillir leur propre menace, la plupart l’obtiennent des agences gouvernementales, des chercheurs et des ISAC (centres d’information et d’analyse).
Les CISO achètent également des renseignements sur les menaces auprès des sociétés commerciales de cybersécurité et de fournisseurs qui fournissent des Intel par le biais de flux et de rapports et / ou de mises à jour automatisées des technologies et des services qu’ils vendent aux équipes de sécurité.
Mais les CISO peuvent constater que certains flux de renseignement sur les menaces ne sont pas utiles pour leurs organisations, explique Theresa Lanowitz, chef évangéliste chez le fournisseur de services de sécurité gérée, LevelBlue.
Le problème n’est pas la qualité du flux mais plutôt son applicabilité à une organisation spécifique.
«Il y a tellement de choses là-bas, mais les CISO doivent déterminer l’intelligence des menaces qui est pertinente pour leur propre industrie et organisation», explique Lanowitz.
Certaines menaces, telles que les ransomwares, le phishing et les attaques de compromis par courrier électronique d’entreprise, sont presque universelles, explique-t-elle, tandis que d’autres tactiques, techniques et procédures (TTP) sont plus répandues dans certaines industries que d’autres – ou plus susceptibles d’être utilisées contre des actifs spécifiques par rapport à d’autres.
Lanowitz affirme que les CISO qui sont les plus efficaces pour utiliser des informations de menace savent quelles menaces ils sont le plus susceptibles de rencontrer afin qu’ils puissent se concentrer sur l’obtention des données liées à ces menaces.
L’approche adoptée par Chuck Kelser, CISO chez la société technologique Pendo, en est un exemple. Il a rejoint des réseaux professionnels de pairs dans son industrie afin qu’il puisse identifier plus précisément les menaces les plus probables tout en suivant les menaces émergentes et en obtenant des nouvelles sur les vulnérabilités zéro-jour.
«Cela nous donne des informations que nous trouvons utiles», dit-il.
2. Opérationnaliser la menace Intel conformément à la posture de sécurité de l’environnement informatique
Un autre défi important auxquels sont confrontés les CISO, c’est opérationnaliser les renseignements sur les menaces une fois qu’ils ont été rassemblés et analysés, explique Chris Simpson, directeur du Centre de cybersécurité de l’Université nationale.
Simpson dit qu’il est crucial pour les CISO d’intégrer les données CTI dans le programme de gestion de la vulnérabilité de l’organisation, son système de gestion de la sécurité et de la gestion des événements (SIEM), ses efforts de chasse aux menaces, etc.
Alors que Simpson reconnaît que c’est une tâche difficile pour de nombreux chefs de la sécurité, John Denning, CISO chez les services financiers ISAC, dit que c’est un défi qui peut et devrait être surmonté.
«Quelle que soit la taille d’une organisation, il devrait y avoir un processus transparent pour alimenter l’intelligence des menaces dans la pile technologique défensive», explique Denning. «Cela nécessite que le système soit architecté, configuré et conçu pour consommer l’intelligence. Il est tout aussi important de la capacité du système à générer des rapports et des métriques pour déterminer la qualité et l’efficacité de l’intelligence ingérée.»
De plus, l’équipe de sécurité a besoin de suffisamment de connaissances sur l’environnement informatique, les opérations commerciales, la stratégie et le secteur de l’organisation pour opérationnaliser efficacement les informations de menace. Avoir ces informations permet aux analystes d’identifier, premièrement, ce que les aliments et les rapports de renseignement sur la menace comptent le plus à l’organisation et, deuxièmement, à la maison sur les données de ces rapports de renseignement qui sont les plus significatifs pour l’organisation et sa posture de sécurité unique afin qu’ils puissent le mettre à utiliser.
3. Filtrer le bruit pour réduire les charges de travail de sécurité
Même lorsque les CISO ont des Intel pertinents intégrés dans leur programme de sécurité, ils ont souvent encore du mal à filtrer le bruit pour se concentrer sur les données qui indiquent réellement une menace potentielle, dit Simpson.
Le bruit est considéré comme des informations non pertinentes ou de faible valeur qui n’ont pas besoin d’attention immédiate – ni peut-être – d’attention ou d’action. Le bruit pourrait être de faux positifs ou un trafic bénin qui est signalé à tort comme malveillant.
Il y a des moyens de contourner cela. Une stratégie, selon le rapport de l’État de cybersécurité de 2025 de Wipro, est «l’adoption de l’approche du« tissu de données de sécurité »qui regroupe les données de tous les outils de sécurité de l’entreprise pour obtenir un contexte et des informations améliorés.
4. prioriser l’enquête sur l’alignement sur les objectifs organisationnels et l’appétit des risques
Tout ce travail pour se rendre à la renseignement des menaces les plus pertinents pour que son organisation laisse encore beaucoup d’informations aux équipes de sécurité. Bien que l’automatisation des réponses à la menace Intel puisse aider à réduire davantage la charge de travail, Allison Wikoff, directrice et les Amériques dirigeant les renseignements sur les menaces mondiales chez PWC, a déclaré que les équipes de sécurité doivent toujours apprendre à hiérarchiser efficacement les Intel qui nécessitent un examen plus approfondi.
Pour ce faire, les équipes de sécurité doivent connaître les objectifs organisationnels et les actifs de l’organisation, en plus de comprendre le paysage des menaces, dit-elle. Cela leur permet de concevoir et de mettre en œuvre une approche basée sur les risques pour hiérarchiser les éléments que leur menace indique une enquête plus approfondie.
«Les renseignements sur les menaces permettent aux équipes d’évaluer les menaces pertinentes pour leur organisation et, aux points ci-dessus, à prendre des décisions éclairées sur ce qui doit être fait», ajoute David Sandell, PDG de Ci-ISAC Australia, qui sert le secteur des infrastructures critiques du pays. «Le contexte est la clé de l’intelligence de menace utilisable: quelle est la menace? Comment se produit-elle? Dans quelle mesure est-ce complexe de mettre en place? Qui est responsable? Suis-je probablement ciblé? Suis-je vulnérable?»
5. Utilisation de la menace Intel pour façonner la stratégie
Les équipes de sécurité commencent généralement à utiliser le renseignement des menaces tactiquement, une utilisation qui est souvent autour de l’automatisation des tâches de sécurité de bas niveau. Par exemple, les outils de sécurité qui bloquent les adresses IP dangereuses sont automatiquement mises à jour à mesure que les fabricants d’outils obtiennent des informations sur les nouvelles adresses jugées problématiques.
Alors que les équipes de sécurité mûrissent leur utilisation de la menace Intel, ils opérationnalisent CTI. Ici, les équipes de sécurité utilisent Intel pour éclairer leurs plans de réponse aux incidents. Par exemple, Intel peut informer une équipe de ce à quoi les prochaines étapes s’attendent s’ils voient un certain type de menace dans leur environnement.
Le niveau suivant sur la courbe de maturité est stratégique – l’utilisation la plus sophistiquée de la menace Intel. C’est là que les CISO intègrent Intel au paysage des menaces, à leur environnement informatique, à leur organisation et à leur industrie pour façonner les décisions stratégiques au sein de la fonction de sécurité et pour l’organisation dans son ensemble.
La plupart des CISO ne sont pas encore là: l’enquête Trellix a révélé que 60% des CISO interrogées ont déclaré que leurs organisations n’avaient pas pleinement intégré l’intelligence des menaces dans leur stratégie de cybersécurité plus large.
«Souvent, les CISO ne tiennent que l’intelligence des menaces pour les indicateurs de compromis, alors qu’il existe de nombreuses façons dont les renseignements sur les menaces peuvent être intégrés dans plusieurs domaines de cyber-défense et de gestion des risques», a déclaré Denning d’Isac aux services financiers. «Les CISO qui tirent parti des renseignements sur les menaces en dehors des indicateurs peuvent construire un réseau de défense intégré à Intel pour leurs entreprises.»
Pour utiliser la menace Intel pour éclairer la stratégie, Wikoff de PwC dit que les CISO doivent communiquer efficacement le profil de menace de l’organisation vers le haut afin que le conseil d’administration puisse non seulement le comprendre mais utiliser cette perspicacité pour prendre des décisions.
De plus, les CISO doivent comprendre ce qui stimule les menaces qui leur sont venues, dit-elle. En d’autres termes, ils ont besoin de savoir ce qui motive les acteurs de la menace. Les CISO devraient poser des questions telles que: les acteurs de la menace sont-ils les plus susceptibles de m’attaquer les opportunistes à la recherche d’un paiement financier rapide? Ciblent-ils ma propriété intellectuelle? Ou espèrent-ils utiliser mes systèmes comme un conduit pour d’autres cibles?
Wikoff dit que les CISO peuvent utiliser les idées que la menace que Intel leur donne, ainsi que la suite C et les évaluations des risques organisationnelles du conseil d’administration, pour créer une stratégie de sécurité qui aborde plus précisément et efficacement les risques et menaces à venir à l’organisation.
Voir aussi:
- Guide de l’acheteur de la plate-forme de renseignement des menaces: meilleurs fournisseurs, conseils de sélection
- Conseils supérieurs pour une utilisation réussie de l’intelligence des menaces
- 5 défis auxquels les CISO sont confrontées à l’utilisation efficace de la menace
- Arrêtez de gaspiller de l’argent sur Intelligence inefficace des menaces: 5 erreurs pour éviter
- Comment l’IA génératrice peut aider les organisations à surmonter les défis du programme de renseignement sur les menaces
- 5 meilleures pratiques pour gérer une défense réussie des menaces en cybersécurité
