Un Centre de partage et d’analyse de l’information, sous son acronyme anglais ISAC, est une structure à but non lucratif réunissant des membres qui partagent un intérêt commun: même secteur, même zone géographique…
L’ISAC constitue une ressource centrale pour recueillir des informations sur les cybermenaces et les partager avec ses membres.
L’objectif d’un ISAC est d’aider les organisations à se protéger. Et par la même occasion à élever le niveau de résilience et protection de leurs secteurs contre les cybermenaces.
Dans de nombreux États membres de l’UE, des initiatives similaires existent sans nécessairement porter formellement le nom d’ISAC. Par exemple, en France, nous avons des CSIRT sectoriels (ou ISAC sectoriels) qui sont des entités formées par des entreprises opérant dans un même secteur d’activité, y compris entre concurrents.
Ces entités servent de plateforme de partage de renseignements sur les attaques. Toutes les parties prenantes peuvent partager des informations sur les incidents, y compris des alertes sur des menaces spécifiques. Ces informations sont mises à la disposition de toutes les parties prenantes intéressées. Grâce à ce processus, les entreprises membres ont la possibilité d’unir leurs forces pour mieux se protéger contre les risques communs.
Ils peuvent utiliser les connaissances produites par le CSIRT ou l’ISAC pour prendre des décisions éclairées sur les menaces. Et mieux détecter les campagnes qui ciblent leurs secteurs d’activité, leurs entités commerciales ou d’autres institutions.
Comment fonctionne un ISAC ?
Les principales activités d’un ISAC consistent à :
- Partager des renseignements sur les menaces (y compris les plus récents) et surtout mettre à la disposition de ses membres, des analyses et un renseignement actionnable;
- Partager des conseils sur les meilleures pratiques en matière de cybersécurité;
- Élaborer de nouvelles normes et directives techniques permettant de renforcer le cycle de renseignement.
Pour leur mise en œuvre, un comité exécutif ou de direction a pour mission de superviser les activités et fournir les orientations stratégiques de l’ISAC.
Bien souvent, une plateforme de gestion de type TIP est déployée. Elle sert à :
- Centraliser tous les renseignements recueillies sur les cybermenaces;
- Partager les meilleures pratiques en matière de mesures de sécurité;
- Élaborer un renseignement spécifique.
Quels sont les avantages et les défis d’un ISAC ?
Les cyberattaques sont devenues plus fréquentes et sophistiquées, présentant des défis importants pour les organisations qui doivent se défendre contre des acteurs de menace capables.
Ces acteurs sont composés de :
- Hackers isolés,
- Cybergangs organisés
- Et des groupes parrainés par des État.
Ils utilisent différentes tactiques, techniques et procédures (TTP) pour compromettre les systèmes, perturber les services, voler des informations sensibles. Et leurs attaques sont pour la plupart motivées par des objectifs financiers ou autres.
En raison des risques que présentent ces menaces et de leur ampleur : chez SEKOIA.IO, nous pensons qu’il est de plus en plus important pour les organisations de partager des informations sur les cybermenaces au sein d’une communauté. D’autant plus que la plupart des organisations produisent déjà ce type d’informations sur les cybermenaces. Ces informations sont partagées en interne dans le cadre de leurs opérations de sécurité.
En France, ce modèle de partage d’informations sur les cybermenaces a déjà fait ses preuves au travers des CSIRT sectoriels, et l’émergence des CERT régionaux. Dans une tribune à ce sujet, François Deruty, COO chez SEKOIA.IO, explique qu’il est « dans l’intérêt des entreprises françaises d’accélérer le partage d’informations sur les cybermenaces entre elles…Car les cyberattaques ne visent pas souvent un seul acteur isolé, et contribuer à protéger son écosystème, c’est d’abord contribuer à protéger sa propre activité.»
De plus, l’échange d’informations sur les cybermenaces au sein d’une communauté de partage permet aux organisations de tirer parti :
- Des connaissances, de l’expérience
- Et des capacités collectives que chaque membre apporte.
En effet, cela peut aider les organisations à :
- Combiner leurs forces pour mieux se protéger contre les risques communs;
- Acquérir une compréhension plus complète des menaces auxquelles ils sont confrontés, ou une prise de conscience plus complète des menaces auxquelles ils peuvent être confrontés;
- Identifier la source d’une cyberattaque et prendre les mesures appropriées;
- Améliorer leur posture de sécurité en leur fournissant une meilleure compréhension des menaces auxquelles ils sont confrontés, leur permettant ainsi de prendre les mesures appropriées;
- Protéger leurs propres réseaux et systèmes contre les cybermenaces;
- Protéger leurs données sensibles des informations contre le vol par des groupes de ransomware;
- Atténuez l’impact d’un incident et réduisez le temps de récupération;
- Identifiez et répondez rapidement aux nouvelles menaces, y compris celles les plus récentes qui ciblent plusieurs organisations.
Comment déployer un ISAC ?
Pour déployer un ISAC, six actions sont nécessaires :
- Établir des objectifs de partage d’informations en conformité avec les processus métier et politiques de sécurité.
- Identifier les sources internes existantes d’informations sur les cybermenaces.
- Préciser la portée des activités de partage d’informations.
- Établir des règles de partage de l’information.
- Inciter les entreprises membres ou parties prenantes à participer de façon continue aux efforts de partage d’informations.
Si vous souhaitez renforcer vos connaissances sur le sujet, nous vous invitons à découvrir : la manière dont SEKOIA.IO TIP accompagne les entreprises dans l’accélération de leur cycle d’intelligence (de la découverte au partage d’intelligence en passant par le tri des qualifications).
D’autres contenus explicatifs sont disponibles sur : CERT, SOC, IOC, CTI, XDR, EDR, SIEM.
Si vous consultez pour la première fois notre site web, sachez que nous sommes un éditeur de logiciels de cybersécurité. Nous fournissons aux équipes cyber et MSSP une plateforme de sécurité opérationnelle clé en main. À travers notre plateforme XDR, notre outil CTI et notre plateforme de Threat Intelligence, nous permettons à nos usagers de neutraliser les menaces informatiques, quelle que soit la surface d’attaque.