ThreatQ Investigations se veut la réplique d’une salle de crise (Situation Room) pour aider les entreprises à mieux analyser et partager les informations lors d’un incident afin de mieux coordonner la réponse.
Il arrive, et ce n’est pas rare, que l’information nécessaire pour bloquer ou anticiper une attaque informatique soit présente dans un des silos chargés de la sécurité de l’entreprise. Le manque de visibilité globale fait que cet élément est souvent noyé dans d’autres informations et passe inaperçu. De plus, par l’automatisation, les entreprises souhaitent réduire le temps moyen de détection des attaques et réduire tout autant le temps moyen de réponse à l’incident (MTTD et MTTR, Mean time to detect et Mean time to respond). Mais plus que de répondre vite, il convient de répondre de manière pertinente ! ThreatQ Investigation propose une plate-forme collaborative apportant une vision unique et globale de la situation comprenant les actions prises par qui et quand. Le logiciel a été présenté lors de la dernière RSA Conference aux USA et sera disponible dans le courant du mois de mai juste après la sortie de la V4 de ThreatQ.
Un ensemble pour collaborer
La solution s’appuie sur la plate-forme de Threat Intelligence de l’éditeur, ThreatQ, et permet de capturer, d’apprendre et de partager l’ensemble des connaissances. L’outil peut s’adapter à tous les types de situation : anticipation, suivi d’un incident ou analyse rétrospective. La plate-forme est assez souple et autorise la création d’objets spécifiques comme pour la fraude. La solution propose un tableau des preuves, une timeline pour suivre les différents éléments impliqués et un tableau pour les actions prises. Le point central de la solution est le partage de l’ensemble de ces informations dans les équipes de sécurité permettant une meilleure coordination des actions à entreprendre et le partage des tâches à accomplir.
Une vue de l'outil ThreatQ Investigations.