DuPont

Comment DuPont accélère la prise de décisions avec la solution de Threat Intelligence de Recorded Future

OBJECTIF

Renforcer la recherche sur les menaces et perturber les adversaires.

DÉFI

Doter le nouveau SOC de la capacité de trier, d’atténuer et de remédier aux menaces plus rapidement.

SOLUTION

La plateforme Recorded Future

RÉSULTATS

Accélération du triage et temps moyen de réponse divisé par 10.
Équilibrage des capacités humaines par l’automatisation pour permettre des décisions plus rapides et plus fiables et amplifier les efforts.
Rationalisation et justification des efforts de gestion des vulnérabilités.
Assurance d’une réduction complète et cohérente des risques en temps réel à l’échelle d’une vaste entreprise restructurée.

Défi

Depuis plus de 200 ans, DuPont est synonyme de découvertes révolutionnaires et d’innovations technologiques. Au fil du temps, l’entreprise a connu de nombreuses fusions et acquisitions. Plus récemment, elle a mené une restructuration d’envergure destinée à pérenniser ses activités et continuer à fournir des innovations essentielles pour aider les gens à vivre de manière plus sûre et plus saine. Ces périodes de transition introduisent inévitablement de nouveaux risques en matière de cybersécurité. Elles modifient généralement la structure des équipes, apportent avec elles de nouvelles technologies et font cohabiter des pratiques de sécurité disparates ou incohérentes : autant d’ouvertures potentielles pour les acteurs malveillants.

Consciente de ces risques, DuPont a renforcé sa stratégie en constituant une équipe mondiale chargée des cybermenaces et un programme durable pour les gérer efficacement à l’échelle de l’entreprise. Lorsque Bob Stasio, responsable mondial des cybermenaces, est arrivé fin 2019, il s’est immédiatement attelé à ce problème. Il a commencé par créer un nouveau centre interne d’opérations de sécurité chargé d’enquêter sur des incidents allant des compromissions d’e-mails professionnels et fraudes aux pertes de données et menaces persistantes avancées visant les informations commerciales et la propriété intellectuelle de l’organisation.

« Il n’y avait pas une forte culture du renseignement sur les menaces », se souvient Bob Stasio. « Tout était externalisé et les incidents étaient transmis sans contexte. Nous avions besoin de comprendre ce qui se passait. »

Il a commencé par assurer lui-même une grande partie de la gestion des incidents tout en constituant l’équipe. Il explique : « Pendant cette phase initiale, notre temps moyen de réponse était élevé : lorsqu’une alerte arrivait, il nous fallait beaucoup de temps pour la trier, l’atténuer ou y remédier. »

Mais Stasio avait une vision claire : réduire drastiquement ce KPI critique grâce à une approche de « réponse aux incidents 2.0 » fondée sur le renseignement sur les menaces.

Solution

Ancien militaire américain, avec une carrière impressionnante dans la NSA, l’U.S. Cyber Command et des géants du secteur privé comme Bloomberg et IBM, B. Stasio établit un parallèle fort entre les activités de renseignement sur les menaces et les opérations dans le cyberespace. « En cybersécurité, comme dans l’armée, on doit souvent opérer dans un environnement avec très peu d’informations », dit-il. « Il faut repérer les premiers signaux et les tendances indiquant que quelque chose se prépare, puis extrapoler et prendre une décision très rapidement. »

La capacité à comprendre ses adversaires, et les conditions dans lesquelles il faudra les perturber, est essentielle pour accélérer et amplifier ces efforts. C’est là qu’intervient le renseignement sur les menaces. « Je connaissais Recorded Future depuis de nombreuses années, et j’ai travaillé avec eux et je leur ai fait confiance durant mon passage dans le secteur privé », explique Bob Stasio. « C’est l’un des premiers appels que j’ai passés après avoir rejoint DuPont. »

La technologie unique de Recorded Future collecte et analyse d’immenses volumes de données pour fournir des informations pertinentes en temps réel. Cela permet aux équipes de sécurité d’écarter rapidement les faux positifs, d’identifier automatiquement les alertes prioritaires et d’examiner facilement un éventail inégalé de sources et de preuves pour des analyses plus poussées. Après l’intégration de Recorded Future, l’équipe mondiale de cybermenaces de DuPont (24 personnes) a rapidement compris la puissance d’un renseignement exploitable pour renforcer la recherche et accélérer les cycles.

Nous avons structuré notre équipe de manière à ce qu’une grande partie du filtrage et du triage soit effectuée en amont. Grâce au machine learning et an renseignement sur les menaces automatisé de Recorded Future, seules les alertes vraiment importantes remontent jusqu’à mon équipe, et les faux positifs sont très rares.

Bob Stasio

Leader mondial des menaces cybernétiques

Stasio cite de nombreux exemples montrant comment Recorded Future a permis à DuPont de perturber ses adversaires. Par exemple, il déclare : « Une attaque de phishing ciblée a touché l’une de nos usines en Asie avec le malware Formbook. » Grâce aux Intelligence Cards™ de Recorded Future et aux excellentes notes de l’équipe Insikt, nous avons pu analyser le malware dans un sandbox et remonter l’attaque jusqu’à un fournisseur tiers compromis : réduisant rapidement une liste de 300 fournisseurs à seulement 2. Nous n’aurions jamais pu faire cela sans Recorded Future. »

À une autre occasion, l’équipe s’est appuyée sur Recorded Future pour identifier et démanteler rapidement un kit de malware avancé, puis communiquer ce succès à la direction. « Avoir la capacité d’aller plus loin et de créer des rapports professionnels fournissant des analyses stratégiques, basées sur le risque, et appuyées par un groupe académique reconnu est un atout considérable », dit-il.

L’équipe s’appuie également sur le renseignement sur les menaces pour rationaliser et justifier les efforts de gestion des vulnérabilités. « Il est très difficile de convaincre le département informatique de mettre l’infrastructure hors ligne, ne serait-ce qu’une minute, pour appliquer un correctif », indique B. Stasio. « Recorded Future nous permet de prioriser les vulnérabilités qui présentent un risque réel. On peut dire : "Sur ces 10 000 vulnérabilités, c’est sur ces 10-là que nous devons nous concentrer". »

Résultats

Bob Stasio peut quantifier sans hésitation les résultats obtenus grâce à Recorded Future. « En utilisant le renseignement sur les menaces pour comprendre la gravité et le contexte des menaces, nous avons divisé notre temps moyen de réponse par 10. »

Il poursuit : « Je vois la réponse aux incidents comme un processus en trois étapes. La première consiste à confirmer ou infirmer l’existence d’un problème. La seconde à en déterminer la portée et l’échelle. Et la dernière à y remédier et à revenir à la normale. Pour confirmer ou infirmer un faux positif, le renseignement sur les menaces est absolument vital. Impossible d’aller plus loin tant que vous n’avez pas vérifié qu’il y a réellement un problème et que vous n’avez pas ajouté du contexte. S’agit-il d’un simple malware opportuniste ou d’une menace persistante avancée qui tente d’entrer dans mon réseau ? Cela détermine la réponse à apporter, le temps à y consacrer, et les efforts à déployer face à une alerte particulière. Le renseignement sur les menaces est vraiment la pièce maîtresse de tout ce processus. »

Perspectives

DuPont possède des bureaux et des sites de production en Asie, en Europe et aux États-Unis, ainsi que des réseaux SCADA dans ses centres de recherche et ses usines. Avec autant d’actifs physiques et numériques dans le monde, l’automatisation est indispensable pour se défendre et répondre aux menaces émergentes à grande échelle. À mesure que l’équipe étend ses efforts d’automatisation, B. Stasio prévoit d’intégrer le renseignement sur les menaces de Recorded Future directement dans les outils automatisés que son équipe utilise déjà, afin de permettre des décisions plus rapides et plus pertinentes, et ce sans perturber les workflows.