Introduction à la Threat Intelligence — le renseignement sur les menaces
Pour inaugurer cette première publication Medium de SEKOIA, quoi de mieux qu’une série de billets sur les principaux concepts et modèles en Threat Intelligence ?
Découvrez la formation Cyber Threat Intelligence de SEKOIA !
DEFINITION
Il est difficile de donner une définition simple et partagée par tous de la Threat Intelligence (ou « renseignement sur les menaces » en français). Il en existe des dizaines. Chez SEKOIA, nous définissions d’abord la Threat Intelligence comme un processus visant à fournir du renseignement actionnable et contextualisé sur les cybermenaces et les groupes d’attaquants informatiques ciblant une organisation. Il s’agit d’un véritable outil d’aide à la prise de décision (stratégique) et à l’action (opérationnelle) pour améliorer son niveau de cybersécurité.
La Threat Intelligence contribue à des finalités à la fois stratégique et très opérationnelle. Au niveau stratégique, une bonne connaissance du paysage des cybermenaces qui ciblent son organisation permet aux responsables (de la direction générale au RSSI en passant par le DSI et le Risk Manager ) de faire évoluer régulièrement leurs politiques de cybersécurité et de mieux prioriser leurs budgets et plans d’actions.
Au niveau opérationnel, la Threat Intelligence va contribuer à améliorer les capacités défensives (prévention, protection, détection et réponse) d’une organisation en lui fournissant du renseignement contextualisé et actionnable sur les cybermenaces auxquelles elle fait face. Ces dernières dépendent notamment de son secteur d’activité et de ses différentes implantations géographiques.
Pour cela, une démarche de Threat Intelligence va mettre en œuvre des processus de collecte, d’analyse et de diffusion d’informations internes et externes sur les cybermenaces et les différents groupes d’attaquants, notamment leurs motivations, leurs moyens, leur victimologie et leurs modes opératoires. Tous ces éléments doivent également être mis en perspective avec l’environnement économique et géopolitique de l’organisation à protéger. Le produit de toute cette analyse deviendra du renseignement.
Cette démarche de Threat Intelligence, qui a émergé depuis plusieurs années dans les pays anglo-saxons, est un peu moins connue en Europe et notamment en France. Le concept est parfois mal compris et souvent dénaturé par le marketing de certaines entreprises de cybersécurité.
La Threat Intelligence, beaucoup en parlent mais combien l’appliquent concrètement au sein de leur organisation ? Le faible niveau de maturité d’une grande majorité d’entreprises en matière de sécurité informatique, qui n’est pas souvent considérée par leurs dirigeants comme un enjeu stratégique explique également le faible intérêt porté à la Threat Intelligence dans notre pays. De nombreuses entreprises ne disposent pas toujours de la visibilité nécessaires sur leurs systèmes d’informations (pas de gestion des logs centralisés, pas de SOC, pas d’EDR, etc.) ni des capacités organisationnelles et techniques pour « consommer » cette Threat Intelligence.
Elles sont également souvent mobilisées par d’autres priorités, par exemple, les chantiers de mise en conformité. Les réglementations en matière de cybersécurité et de protection des données à caractère personnel sont de plus en plus nombreuses et exigeantes comme le RGPD (Règlement général sur la protection des données), la directive NIS (directive sur la sécurité des réseaux et des systèmes d’information) pour les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Service Numérique (FSN) ou encore la Loi de Programmation Militaire (LPM) pour les Opérateurs d’Importance Vitale (OIV).
Mais une approche de la cybersécurité par la Threat Intelligence s’adapte à tout type et toute taille d’organisation, quelle que soit sa maturité en matière de sécurité informatique. En effet, face à des menaces toujours plus nombreuses, diffuses et des attaquants agiles et innovants, toute organisation se doit aujourd’hui d’adopter une posture d’anticipation, que seule une démarche de Threat Intelligence, combinée à des dispositifs de détection (de type SOC) va permettre de mettre en place.
Comme toute discipline, la Threat Intelligence fait également l’objet de nombreuses réflexions, de la part d’experts et de chercheurs. Une littérature assez riche existe déjà sur le sujet. Cette dernière, essentiellement anglo-saxonne, a fait émerger plusieurs concepts et modèles qui sont rapidement devenus des références internationales pour les analystes en Threat Intelligence. Certains d’entre eux répondent notamment au besoin d’échanger de la Threat Intelligence (notamment très opérationnelle et technique) de façon structurée et en utilisant un vocabulaire commun.
Dans cette série de billets, la “Purple Team” de SEKOIA vous propose de revenir sur ces différents modèles, en les présentant avec des exemples concrets issus de nos activités quotidiennes de Threat Intelligence. Mais ces modèles ne sont pas parfaits. Ils doivent être adaptés au contexte de chaque organisation. C’est donc également avec un regard critique et la vision de SEKOIA qu’ils seront détaillés.
Au programme de cette série :
- Le cycle du renseignement appliqué à la (Cyber) Threat Intelligence ;
- Le modèle en diamant (Diamond Model) ;
- La Cyber Kill Chain ;
- MITRE ATT&CK : le nouveau standard de modélisation des attaques informatiques ? ;
- Boucle OODA & Threat Intelligence ;
- Le format STIX v2 ;
- Le format OpenC2.
La “Purple Team” de SEKOIA alimente nos clients ainsi que nos consultants, notre Blue Team (SOC-as-a-Service & CERT) et notre Red Team (test d’intrusion, simulation d’APT & émulation d’adversaires) en Threat Intelligence : des renseignements pertinents et contextualisés (flux d’IoC, signatures, rapports stratégiques et techniques, etc.) sur les cybermenaces et l’évolution des modes opératoires des attaquants informatiques.
