Cas d’utilisation :

Chasse aux menaces ; Surveillance du dark web ; Détection des usurpations de marque (abus de domaine, y compris les typosquats) ; Surveillance des données divulguées ; Surveillance des divulgations de vulnérabilités ; Surveillance des risques liés à la localisation et aux événements

Défi :

Un renseignement orchestré pour guider la réponse aux incidents, la chasse aux menaces et la gestion des vulnérabilités dans plusieurs équipes et régions

Solution :

Le Recorded Future Intelligence Cloud, y compris :

• Threat Intelligence
• Vulnerability Intelligence
• Brand Intelligence
• Geopolitical Intelligence
• Identity Intelligence

Résultats :

• Les équipes internes et les dirigeants reçoivent des alertes couvrant un vaste paysage de menaces
• Les processus d’évaluation des risques et de décision en matière de sécurité sont rationalisés pour soutenir les opérations de fusion-acquisition
• L’automatisation et le renseignement exploitable renforcent l’ensemble du programme de sécurité de Visma
• Une approche de la sécurité guidée par le renseignement permet à Visma de garder une longueur d’avance sur les menaces émergentes

Les analystes centralisés utilisent le Recorded Future Intelligence Cloud pour fournir des informations exploitables à 170 équipes autonomes sur les menaces et vulnérabilités détectées

Basée en Norvège, Visma est une fédération de 170 entreprises bénéficiant d’une infrastructure et de services partagés, ainsi que d’un soutien au développement commercial. Ses 14 000 employés fournissent des solutions logicielles sécurisées et innovantes à plus de 1,5 million de clients en Europe et en Amérique latine.

Le CSO, Espen Johansen, a introduit Recorded Future pour obtenir des informations exploitables, des capacités analytiques et une automatisation à grande échelle, pour plus d’agilité grâce au renseignement. E. Johansen raconte avoir modifié la stratégie de son équipe après avoir constaté la puissance de l’Intelligence Cloud.

« Nous envisagions de construire notre propre plateforme de renseignement sur les cybermenaces », dit-il, « mais après avoir découvert Recorded Future et la profondeur de son renseignement open source, de sa collecte et de son analyse de données, il était clair que nous ne pourrions pas offrir un meilleur service à nos équipes sans y consacrer du temps et des efforts considérables. » Catalin Curelaru, responsable des opérations de sécurité, à la tête du programme de sécurité des infrastructures de Visma et du service de renseignement sur les cybermenaces (CTI) basé sur l’Intelligence Cloud de Recorded Future, explique que l’équipe transmet les renseignements exploitables fournis par Recorded Future à ses nombreuses entreprises membres.

« Concrètement, notre équipe accompagne les sociétés de notre portefeuille via le programme de sécurité Visma, grâce à notre service CTI qui fournit les capacités de surveillance, avec une expertise tactique et opérationnelle offerte par quelques analystes en sécurité », explique-t-il. « Nous proposons des services de sécurité à de nombreuses équipes, ce qui n’est pas une approche très top-down. Nous travaillons donc plutôt latéralement avec les équipes applicatives, d’infrastructure, de solutions et RH. »

En plus de contribuer à prévenir les attaques, les informations, analyses et capacités d’automatisation que Visma obtient grâce à Recorded Future jouent un rôle déterminant dans l’évolution même de leur programme de sécurité. Catalin Curelaru ajoute : « Nous avons lancé notre CTI il y a quelques années avec un focus sur la sécurité produit. Maintenant, nous créons des services pour soutenir d’autres domaines comme la sécurité de l’infrastructure et le renseignement sur les vulnérabilités. »

Exploiter le renseignement et la recherche sur les menaces lors d’une attaque ciblée

Peu après l’intégration de Recorded Future, Visma a été victime d’une cyberattaque très ciblée. « Tout a commencé environ sept jours avant qu’ils ne nous attaquent », se souvient Johansen en décrivant la campagne : un domaine de commande et contrôle, suivi d’attaques de phishing visant les employés, de credential stuffing, puis de la compromission d’un ancien serveur Citrix. Avec des identifiants volés, les intrus ont élevé leurs privilèges, se sont déplacés latéralement, puis ont exfiltré la ruche Active Directory.

Avec l’aide de Recorded Future, l’attaque n’est pas passée inaperçue. « Nous avons découvert l’attaque au moment même de l’exfiltration et avons immédiatement déployé la Blue Team pour nous préparer à stopper la deuxième vague : le véritable objectif de l’attaque », explique E. Johansen. « Grâce à nos programmes de sécurité existants, à la coordination de nos équipes et aux bons conseils de nos partenaires, nous avons pu empêcher toute compromission de données client. »

L’Insikt Group de Recorded Future a analysé l’intrusion et a déterminé qu’il s’agissait d’une campagne de cyberespionnage menée par APT10, un acteur malveillant soutenu par l’État chinois. « Heureusement, j’ai pu appeler Recorded Future, en qui j’avais confiance, pour approfondir l’incident, rassembler des renseignements supplémentaires et confirmer l’attribution », raconte Johansen. L’équipe a même collaboré avec Recorded Future pour publier une analyse détaillée de l’attaque afin que d’autres puissent s’en protéger.

« Le rapport de Recorded Future contient des indicateurs de compromission et des méthodologies qui peuvent être utiles à d’autres », explique le CSO. « Ils peuvent apprendre comment cet acteur opère, en détail, puis préparer leurs défenses. Si vous ne partagez pas ces témoignages, vous empêchez le public de se défendre. »

Une surveillance automatisée qui accélère la résolution. Les analystes de sécurité au sein de l’écosystème Visma s’appuient régulièrement sur l’Intelligence Cloud pour mettre en évidence les risques de leur paysage de menaces dynamique. Grâce à la personnalisation facile des listes de surveillance et des alertes, l’équipe de Visma peut suivre l’activité sur le dark web, les mentions hostiles de la marque, les typosquats, les discussions sur des attaques imminentes et les vulnérabilités touchant l’ensemble de sa pile technologique.

« Nous créons beaucoup d’alertes sur certains mots-clés afin de prévenir des incidents potentiels », explique Catalin Curelaru. « Les alertes via Recorded Future nous sont très utiles, notamment lorsque nous recherchons des renseignements opérationnels très précis, comme des mentions sur des dépôts de code ou des forums. »

Le responsable se souvient d’une occasion où Recorded Future a alerté l’équipe sur du code exposé publiquement dans un dépôt GitHub : la résolution a pu être menée très rapidement. Le renseignement exploitable a également accéléré l’atténuation d’une vulnérabilité majeure dans Microsoft Outlook, en apportant du contexte sur les entreprises de Visma qui utilisaient l’application populaire.

« Nous pouvons aussi détecter les infostealers, les premières portes d’entrée des cybercriminels », explique C. Curelaru. « Globalement, Recorded Future détecte des menaces très pertinentes qui passeraient autrement inaperçues. »

Les modules Threat Intelligence et Geopolitical Intelligence soutiennent les décisions de fusion-acquisition et l’intégration des partenaires

Alors que Visma poursuit sa stratégie de croissance par fusions et acquisitions, Recorded Future apporte de la valeur à chaque étape. Selon Catalin Curelaru, les modules Threat Intelligence et Geopolitical Intelligence éclairent les décisions stratégiques concernant les partenaires potentiels, les secteurs et les zones géographiques, tout en accélérant l’onboarding sécurité. « Nous utilisons Recorded Future pour mener les processus de diligence raisonnable lors de l’évaluation des entreprises dans les phases de fusion-acquisition, afin de savoir à quoi nous attendre », explique-t-il. « Nous créons des rapports indiquant si les entreprises ont eu des incidents de cybersécurité dans le passé, et si elles ont tenté de dissimuler ces informations. »

Une fois une entreprise acquise, Visma lui fournit un accompagnement, mais lui laisse son autonomie. « Nous accompagnons les entreprises qui utilisent le programme de sécurité Visma, et nous offrons aussi un support à celles qui disposent de leurs propres experts en sécurité », précise C. Curelaru. « Si une entreprise possède déjà son propre département ou une vision différente de la cybersécurité, elle peut garder cette approche. Nous ne cherchons pas à imposer les contrôles, seulement à disposer d’un socle commun et à connaître leur niveau de maturité. »

La stratégie de croissance unique de Visma amène constamment de nouvelles équipes sécurité dans l’écosystème, leur donnant accès à des outils et services puissants comme le renseignement sur les cybermenaces. En parallèle, l’Intelligence Cloud permet à l’équipe centrale de garder une longueur d’avance sur les risques associés à la présence numérique croissante de Visma.

« Recorded Future est une source clé de renseignements que nous utilisons pour les IoC lorsque nous menons des opérations de chasse aux menaces », explique Catalin Curelaru. « Lorsqu’une alerte est déclenchée par les journaux de malwares de Recorded Future, cela peut concerner un employé de Visma, et nous sommes responsables de ces appareils. L’alerte signifie que nous devons chasser en interne pour déterminer quel appareil pourrait être compromis, à quel moment c’est arrivé, et pourquoi nos autres outils EDR ne l’ont pas détecté. »

Le renseignement aide les dirigeants à rester informés face à la crise entre la Russie et l’Ukraine

En plus d’aider à prioriser la réponse aux incidents et les efforts de chasse aux menaces, le renseignement ciblé permet à l’équipe d’alerter les dirigeants sur les risques potentiels liés à des événements mondiaux. Après la pandémie mondiale, l’attention s’est tournée vers le conflit en Ukraine.

« Nous opérons en Finlande, en Pologne et en Roumanie, donc nous surveillons très attentivement la région à la recherche de tout risque cyber pertinent », indique C. Curelaru. « Au début, il s’agissait de savoir quels étaient les éléments déclencheurs, quelles étaient les opérations cyber un mois avant le début de la guerre. Grâce au Ukraine Resource Center de Recorded Future et à d’autres sources, l’équipe a pu suivre les différents types de wipers et d’attaques survenant dans la région. »

Lorsque le conflit a éclaté, l’équipe de Visma s’est appuyée sur les recherches du Recorded Future Insikt Group® et sur le module Geopolitical Intelligence pour contextualiser les menaces liées à la guerre. « Les rapports étaient très informatifs », indique Catalin Curelaru. « Recorded Future aide l’équipe de sécurité à sélectionner et structurer le renseignement afin que nous puissions présenter à la direction des synthèses concises sur ce qui mérite son attention. Le module Geopolitical Intelligence nous offre une compréhension précise des menaces de sécurité physiques auxquelles nos dirigeants doivent prêter attention lorsque nous évaluons les renseignements issus de sources variées. »

Encourager la maturité en matière de sécurité au sein de l’entreprise

Le programme de sécurité de Visma adopte une approche moderne pour inciter les entreprises autonomes du groupe à renforcer leurs cyberdéfenses. En gamifiant le programme, l’équipe encourage chaque entité à monter en maturité en gagnant des points selon ses pratiques de sécurité, points ensuite échangeables. L’utilisation de Recorded Future est d’ailleurs considérée comme l’un des marqueurs d’une entreprise plus mature.

« Le programme de sécurité Visma propose une approche gamifiée pour mesurer le niveau de maturité de nos entreprises et de nos applications en matière de sécurité », explique C. Curelaru. « En fonction de certains critères d’intégration, les entreprises peuvent bénéficier de notre service de protection des points de terminaison et/ou du service CTI », indique Catalin Curelaru. « En rassemblant tous les éléments dans cet outil gamifié, nous obtenons une meilleure visibilité sur les entreprises et applications les plus matures, ainsi que sur les contrôles qu’elles utilisent. Une entreprise utilisant un service de scanning ou un service CTI basé sur Recorded Future, ainsi que d’autres services, peut atteindre le niveau platine. »

L'automatisation favorise l'efficacité

À mesure que le programme évolue, Visma prévoit d’intégrer le renseignement sur les menaces à davantage d’opérations de sécurité. C. Curelaru indique que le groupe compte exploiter davantage les capacités d’automatisation de Recorded Future pour maximiser l’efficacité et renforcer la collaboration.

« Chaque fois que je vois une nouvelle fonctionnalité, je demande : "Est-ce qu’il y a une API pour qu’on puisse l’automatiser ?" » explique C. Curelaru. « L’automatisation, c’est ce qui crée de la valeur pour notre programme de sécurité de l’infrastructure. Nous prévoyons également d’intégrer le renseignement de Recorded Future dans une refonte de notre service de gestion des vulnérabilités de l’infrastructure. Quand une vulnérabilité présente un score de risque élevé, nous utilisons l’outil pour collaborer avec plusieurs équipes afin d’évaluer l’impact sur nos différentes entreprises. »

Une approche pilotée par le renseignement maintient Visma à l’avant-garde

La transparence de Visma et sa maturité en matière de renseignement positionnent l’organisation comme une référence en bonnes pratiques de cybersécurité. Au final, explique le CSO, adopter une stratégie pilotée par le renseignement est un véritable levier d’autonomisation.

« Nous avons complètement renversé la sécurité traditionnelle », déclare Johansen. « En intégrant un renseignement exploitable dans les workflows des équipes, l’attention portée à la sécurité finit par s’ancrer dans leur culture. »