La Threat Intelligence au service de la cybersécurité en entreprise — “De la donnée au renseignement”(1/2)
Ci-dessous, un article écrit il y a quelques semaines pour la revue de la gendarmerie nationale, publié aux côtés d’excellents autres écrits ! Je remercie chaleureusement l’équipe chargée de la relecture et de la publication.
La threat intelligence peut se définir comme un processus visant à fournir du renseignement actionnable et contextualisé sur les cybermenaces et les groupes d’attaquants informatiques ciblant une organisation. Il s’agit d’un véritable outil d’aide à la prise de décision (stratégique) et à l’action (opérationnelle) pour améliorer son niveau de cybersécurité.
La threat intelligence (TI) reste toutefois en proie aux buzz words et abus de langage générés par les approximations de vendeurs de cybersécurité. Le renseignement sur les menaces est en réalité une matière à démystifier.
Les produits estampillés « TI » proposent souvent un contenu décorrélé de la réalité de l’entreprise, de ses besoins et de ses enjeux. Il s’agit parfois d’une veille de luxe, où de nombreuses données sont collectées en sources ouvertes, sans mise en perspective. Il peut s’agir d’analyses de tendances généralistes qui, bien que stimulantes intellectuellement, n’apportent rien aux challenges quotidiens du RSSI. Les « feeds » ou flux d’indicateurs de compromission sont souvent bruts et non contextualisés. S’ils constituent un matériau facile et prêt à consommer, ils sont régulièrement fournis en vrac et sans priorisation. Les alertes qui en sont issues sont alors trop nombreuses et de piètre qualité (problématique des faux-positifs).
Elitiste, inutilisable ou dépourvue de contexte, la threat intelligence pêche parfois à convaincre certains de son utilité au quotidien. Il s’agit là d’une mauvaise application de la matière. Le renseignement sur les menaces est essentiel à l’entreprise qui souhaite prendre les devants sur les menaces qui l’entourent. Les produits dits de « TI » doivent être accessibles, sur-mesure, et donc utiles à leur destinataire, dans une véritable logique de « renseignement ».
De la donnée au renseignement
L’objectif du renseignement sur les menaces est de convertir les efforts de collecte d’information et d’analyse de l’équipe interne dédiée ou du prestataire de threat intelligence, en recommandations concrètes et personnalisées, afin d’améliorer la compréhension de la menace, la détection des incidents et, plus globalement, l’état de cybersécurité du client final.
Le cycle traditionnel du renseignement est constamment ressassé. Nous en oublions cependant trop souvent les fondamentaux, et confinons la threat intelligence aux étapes de collecte, d’analyse et de dissémination. Toutefois, les besoins du client sont au cœur du cycle de renseignement, aux étapes « d’Expression des besoins » et « d’ajustement ». Ce sont ces besoins qui conditionnent la collecte, et qui influencent l’analyse.
Les activités de recherche et d’investigation en threat intelligence sont les plus connues. Le hunting à partir de sources ouvertes (OSINT) permet la collecte d’informations sur les groupes d’attaquants, les modes opératoires et les différentes campagnes d’attaques. Mais ces productions ne suffisent pas à elles seules à qualifier une démarche de threat intelligence. Bien qu’intéressant, un rapport sur une campagne ne ciblant ni votre secteur d’activité, ni de potentiels partenaires ou sous-traitants, ni votre zone géographique, ou aucune des technologies et équipements que vous managez, ne vous apportera que peu d’éléments concrets au quotidien. La veille et la capitalisation de ces données sont elles aussi insuffisantes, si elles ne se réalisent pas dans l’objectif de vous fournir des pistes d’action.
Pour convaincre, la threat intelligence doit gagner en valeur intrinsèque, et proposer, comme son nom l’indique, du renseignement.
Le terme « renseignement » est régulièrement employé pour décrire les données factuelles collectées sur un adversaire hostile. Le terme peut cependant se définir comme le résultat d’un processus de collecte, d’analyse, de mise en perspective, d’évaluation et d’interprétation de données à la lumière des réalités du destinataire. Car ce qui est du renseignement qualitatif pour l’un ne sera qu’une donnée sans valeur ajoutée pour un autre. Le produit final est donc un ensemble d’informations qui, une fois analysées, fournissent des pistes concrètes d’amélioration du niveau de cybersécurité. C’est une aide à la prise de décision.
Une telle définition contredit l’idée d’une threat intelligence élitiste, ou simplement constituée de feeds ou de rapports sur des précédentes campagnes, annexés d’IOCs, sans mise en perspective, sans recommandations concrètes, voire sans inputs du client.
