La Threat Intelligence est une discipline clé de la cybersécurité. En s’intéressant aux intentions, méthodes et moyens des cyberattaquants, elle fournit aux entreprises des données précieuses sur les risques, les attaques et les moyens de s’en prémunir. Décryptage…
La Threat Intelligence (TI), ou « renseignements sur les cybermenaces », consiste en « l’analyse de l’intention de l’adversaire, de ses occasions et de ses moyens », selon la définition du SANS Institute. Autrement dit, c’est la collecte de données et d’informations sur les criminels, leurs techniques et leurs tactiques.
Cette discipline permet d’établir des prédictions, aide à détecter des attaques et fournit de précieuses données aux équipes et à tous ceux qui travaillent dans l’écosystème de la sécurité de l’information. Mais voyons plus en détails ce en quoi cette discipline consiste et comment s’en servir.
Les niveaux de la Threat Intelligence : stratégique, opérationnelle, tactique
Chacun de ces trois niveaux a son propre « client », utilise certains outils et a des effets propres sur le fonctionnement du système de sécurité de l’information de l’entreprise.
Le niveau stratégique est celui de la collecte et de l’analyse des informations sur les tendances actuelles des attaques, les risques, les groupes de hackers ayant attaqué telle entreprise ou tel secteur d’industrie. Ces informations permettent d’évaluer les dynamiques dans le monde de la cybersécurité et d’en savoir plus sur les menaces en circulation dans certaines régions. Il permet d’évaluer, de dresser un état des lieux, de fixer les priorités et de développer en interne des compétences en cybersécurité.
Le niveau opérationnel couvre généralement ce qui a trait aux tactiques et techniques des cybercriminels. La matrice MITRE ATT&CK est une source d’information réputée sur les conditions d’infiltration des systèmes par les agresseurs. Les données de niveau opérationnel servent à bien répartir les budgets et ressources humaines lors de la création d’un système de protection. C’est là que l’on comprend comment se protéger des menaces externes dans telle région ou tel secteur.
Le niveau tactique, quant à lui, donne accès à des informations techniques sur certains groupes de cybercriminels. Elles sont utiles pour identifier les indicateurs d’attaques et détecter les menaces.
Le niveau de mise en œuvre de la TI dans l’entreprise dépend pour beaucoup du degré de maturité des processus de sécurité de l’information. Beaucoup d’entreprises vont vouloir acheter des flux d’information (des indicateurs de menaces) et bâtir autour un écosystème de cyber intelligence. Il s’agit là d’une mise en œuvre essentiellement technique de la Threat Intelligence.
Chasse aux menaces vs Threat Intelligence
La TI est un élément essentiel de la recherche proactive de menaces ou chasse aux menaces, qui consiste à détecter des traces de piratage ou de présence d’un malware. Elle fournit des informations de nature opérationnelle pour la chasse aux menaces. Les deux sont directement liées. Lorsqu’une entreprise détient des informations sur le contexte d’un incident (avéré ou non), elle saura détecter les bons indicateurs et les signes d’attaque des appareils compromis. La chasse aux menaces consiste à établir des contrôles en fonction des indicateurs et d’une liste des attaques contrôlées.
Rapports de niveau stratégique
De nombreux fournisseurs de solutions TI publient régulièrement des rapports des menaces avec le nombre des attaques récentes par catégorie sur une période donnée et ils font des prévisions pour l’année à venir. Ces rapports sont de nature stratégique pour les entreprises. Ils permettent aux clients de mieux focaliser leurs efforts, de savoir quels aspects privilégier et quelles compétences acquérir pour mieux faire face aux types des attaques futures. Les entreprises qui n’ont pas leurs propres sources de renseignements sur les menaces peuvent se fier à ces rapports pour s’informer sur les tendances de la sécurité de l’information. Mais attention : ces rapports ont aussi une vocation marketing, si bien qu’il est important de distinguer les statistiques live et les analyses des menaces des arguments marketing.
La Threat Intelligence dans la pratique
Plus de 80 % des professionnels utilisent plusieurs sources d’informations TI simultanément (étude SANS Institute 2021). Beaucoup d’entreprises utilisent jusqu’à huit sources de renseignements sur les cybermenaces. Les données open-source sur les menaces aident surtout à repousser les menaces connues et massives. Pour des attaques ciblées complexes, il faut passer au niveau opérationnel. Les données concernant des menaces ciblées complexes ne sont pas faciles à trouver, analyser et recouper. Cela suppose des efforts soutenus.
Dans ce cas, la présence d’une équipe dédiée est plus que recommandée au moment de déployer une solution TI. La réussite d’une réponse à un incident dépend de la rapidité avec laquelle l’entreprise comprend à quel groupe de hackers elle a affaire, quels dommages ils ont déjà occasionnés et quelles sont les conséquences pour l’entreprise. La TI peut ici être riche en informations vitales.
Comment utiliser efficacement les outils d’intelligence des menaces
L’efficacité de la TI s’évalue sur plusieurs niveaux. Au niveau stratégique, seul le temps peut prouver l’efficacité de la solution mise en œuvre : compréhension a posteriori que la décision prise était effectivement la bonne et que l’évaluation des risques et la protection intégrée étaient justes. En plus des considérations techniques, il faut évaluer les aspects géopolitiques en jeu, hacktivisme, conflits.
Au niveau opérationnel, l’efficacité de la TI s’exprime par la qualité de la protection mise en œuvre. À première vue, si rien ne se produit, on peut penser que les efforts de mise en œuvre de la TI ont été superflus. Cependant, cela peut vouloir dire que le choix des sphères de contrôle a été resserré. Le système TI ne voit pas ce qui se passe aux alentours. Ainsi, l’évaluation d’efficacité de la TI mise en œuvre ne peut se faire qu’au cas par cas, dans chaque entreprise.
Perspectives de développement
Les tendances actuelles laissent penser que les développements futurs de la Threat Intelligence viseront surtout à augmenter les niveaux stratégique et opérationnel dans l’entreprise. Cela induit une intégration plus étroite entre les clients et les fournisseurs de solutions TI. Les clients vont analyser les données de leur côté, poser des questions et aider l’industrie à progresser. Cette interaction contribuera à une plus grande maturité TI du côté des fournisseurs et des clients.
____________________________
Par Matthieu Jouzel, Senior Solutions Engineer chez BeyondTrust