De nos jours, le partage de renseignements sur les cybermenaces est considéré comme nécessaire pour survivre aux cyberattaques actuelles et futures en travaillant de manière proactive. Les organisations peuvent se voir contraindre d’avoir un programme de renseignement sur les menaces et de partager leurs informations. À ce titre, les parties prenantes pourraient être tenues responsables à l’avenir de ne pas partager les menaces connues qui pourraient affecter d’autres organisations.
L’idée de base du partage de renseignements sur les menaces est de sensibiliser les parties prenantes par l’échange d’informations sur les menaces et les vulnérabilités les plus récentes. De plus, le partage de renseignements peut aider les parties prenantes à prendre des décisions tactiques.
Cet article visait à connaître l’état actuel du partage des renseignements et à définir les orientations de recherche futures. Les auteurs ont analysé 102 articles, rapports et projets de loi mettant l’accent sur le partage de renseignement sur les cybermenaces ou sur des domaines connexes.
Il peut être difficile de mettre en œuvre un programme de partage de renseignements qui utilise et diffuse les informations en temps opportun. Les parties prenantes peinent par ailleurs à mettre en œuvre un système qui se sert correctement des renseignements sur les cybermenaces et qui rend les informations pertinentes. Le partage manuel est largement utilisé pour échanger des informations sur les vulnérabilités. Cependant, cette approche peut être inefficace et exigeante en main-d’œuvre (courriers électroniques, appels téléphoniques, bases de données partagées, etc.). Par conséquent, l’automatisation de certains processus peut en augmenter l’efficacité.
Pour être efficaces, les renseignements sur les cybermenaces doivent être échangés à l’échelle mondiale, mais les différences culturelles peuvent entraver les échanges. Les défis résident dans la communication et dans la compréhension des mots spécialisés. En outre, les organisations qui ne partagent pas leurs renseignements pensent généralement qu’elles ne possèdent rien qui mérite d’être partagé et que les concurrents pourraient utiliser ces informations contre elles. Certaines organisations hésitent encore à partager leurs renseignements en raison du manque d’incitatifs, mais s’attendent tout de même à recevoir de l’information de leurs homologues. Ainsi, le soutien pour une collaboration efficace est très limité.
L’établissement d’une collaboration de partage des renseignements sur les cybermenaces nécessite une relation de confiance totale entre les parties prenantes. La confiance s’établit normalement au fil du temps et lors de réunions en personne. Elle est considérée comme l’attribut le plus difficile de l’écosystème de partage des informations sur les menaces, car les renseignements peuvent contenir des informations qui ne doivent être révélées qu’aux parties prenantes de confiance. La fiabilité d’une partie prenante est évaluée par la confiance et la réputation, et la confiance est établie par le contact direct et la réputation par l’opinion d’autres pairs.
Les parties prenantes doivent construire leur réputation pour devenir des membres de confiance d’une communauté de partage des renseignements sur les menaces. La réputation se construit au fil du temps en partageant des informations de haute qualité et exploitables sur les menaces et en se conformant aux politiques de partage des menaces. Au contraire, dès qu’une mauvaise réputation est enracinée, il est difficile d’en renverser l’effet.
Le partage des menaces a incité de nombreuses organisations à être plus proactives à l’égard des cybermenaces. Bien qu’il y ait encore des recherches à faire sur les CTI, cet article a souligné les défis du partage des renseignements dans les organisations.
Pour citer cet article : Wagner, T. D., Mahbub, K., Palomar, E. et Abdallah, A. E. (2019). Cyber threat intelligence sharing: Survey and research directions. Computers & Security, 87.
