La Threat Intelligence au service de la cybersécurité en entreprise — “De la TI informative à la TI appliquée”(2/2)
La threat intelligence n’est pas — ou ne devrait pas être — un produit de luxe. Toute entreprise ou institution, quelque soit sa taille ou ses moyens, de la jeune pousse à la multinationale, peut tirer profit de la connaissance de son environnement et des risques cyber la concernant. Mais pour cela, la matière doit s’appuyer sur plusieurs critères :
- Les critères dits « objectifs » sont ceux qui permettent d’identifier et de prioriser les données et informations qui seront utiles : zone géographique, secteur d’activité, nature du marché, description des logiciels et équipements gérés, exposition médiatique de l’entreprise…
- Les critères dits « subjectifs » permettent d’ajuster le produit aux besoins et au niveau de maturité du récipiendaire : moyens humains et organisationnels de consommation de la threat intelligence, moyens financiers, objectifs de l’organisation, politique de sécurité des systèmes d’information, contraintes légales, nature du capital à protéger…
La threat intelligence ainsi cadrée abonde en faveur d’une forme de ruissellement, où le renseignement sur les menaces impacte la stratégie de cybersécurité de l’entreprise de façon globale. Elle irrigue l’ensemble des métiers et des acteurs impliqués dans la stratégie de cybersécurité du client final.
Le renseignement sur les menaces cyber peut adresser les enjeux business et renouveler le management du risque traditionnel. Loin des indicateurs de compromission et des rapports sur diverses campagnes d’attaques, la threat intelligence a vocation à apporter des pistes de réflexion et des éléments de réponse aux questions suivantes :
· A quelles menaces mon entreprise est-elle exposée ? A quels risques faisons-nous face ? Quelles décisions dois-je prendre pour améliorer l’état de cybersécurité de mon entreprise ? Quel est l’impact potentiel de ces menaces sur mon activité, mes investissements, mes partenariats ?
L’anticipation des dégâts engendrés par un rançongiciel sur le système d’information, l’identification de risques accrus dans une zone géographique en proie à des attaques informatiques destructrices, l’occurrence d’incidents ou d’acte de cyber espionnage chez un partenaire ou sous-traitant… sont autant d’informations pouvant peser dans la prise de décisions, le choix de budgets et de polices d’assurances, ou encore l’engagement d’investissements en matière de solutions de sécurité.
Dans ce cas précis, la threat intelligence est, à l’image de l’intelligence économique ou de la veille concurrentielle, une source d’informations supplémentaire sur son écosystème. Elle peut se matérialiser par l’évaluation de probabilités de risques, de coûts associés à l’occurrence de ces risques (remplacement, remédiation…). La connaissance des groupes d’attaquants et de leurs capacités, des tendances et des attaques précédentes, permet de réduire les incertitudes et d’anticiper un certain nombre de scénarios, en faveur d’une gestion active des risques. La résilience et la continuité d’activité sont ici nourris par la démarche de threat intelligence, qui intègre pleinement la stratégie commerciale de l’entreprise.
Le management de vulnérabilités à l’aune du renseignement sur les menaces est également un enjeu primordial. Le nombre de vulnérabilités rendues publique chaque jour est considérable. La gestion du patching de ces vulnérabilités est décisive en matière de cybersécurité opérationnelle. Se renseigner sur les menaces, les acteurs et leurs capacités peut éclairer sur le statut et la criticité d’une vulnérabilité. Cette vulnérabilité est-elle publique ? Est-elle exploitée activement par un ou des groupes d’activité ? Si oui, lesquels ? Ces groupes d’activité sont-ils susceptibles de s’attaquer à mon secteur d’activité ? La priorisation dans l’application de correctifs peut permettre un gain de temps et d’efficience considérable.
La sécurité des systèmes d’information d’une organisation doit s’adapter à la connaissance de la menace. Qu’il s’agisse de la mission d’architecture sécurité, ou des différents contrôles mis en place, ceux-ci peuvent bénéficier d’une orientation supplémentaire afin de répondre aux risques identifiés. La politique de sécurité des systèmes d’information ainsi que les vagues de sensibilisation peuvent également être ajustées afin de coller aux réalités des menaces actuelles.
Le Security Operation Center et l’activité de détection font partie des principaux bénéficiaires du renseignement technique sur les menaces. La contextualisation des données permet une meilleure qualification des alertes et diminue le nombre de faux positifs. L’intégration de flux d’indicateurs de compromission contextualisés en est la première étape pour une détection périphérique. Mais c’est une stratégie globale de collecte de logs qui peut être envisagée. L’utilisation d’un modèle de standardisation tel que MITRE ATT&CK™ Entreprise oriente vers la détection comportementale et en profondeur. L’utilisation d’outils de collecte plus précis que Windows Event Manager, tels que Sysmon, autorise la confection d’algorithmes de détection sur-mesure en réponse aux modes opératoires connus. MITRE ATT&CK™ est un point de départ intéressant pour une démarche de threat intelligence, qu’il convient de compléter au fil du temps par ses propres données et analyses.
La threat intelligence devrait idéalement permettre d’anticiper les différentes attaques pouvant survenir. Mais cette matière n’a malheureusement pas pour objectif de prédire le futur et l’analyste n’est pas devin. Il collectera et mettra en perspective nombre d’éléments (modes opératoires et signaux faibles et forts) afin de fournir un panorama complet des risques en présence. Certains signaux peuvent alerter : hausse du nombre de typosquatting, reprise d’anciens domaines, ou encore fuites de données contenant des identifiants d’utilisateurs du système d’information. L’anticipation est un véritable challenge. L’analyse et la connaissance des différents acteurs, groupes d’activité et campagnes peut donner des indices sur les intentions et mobiles de certains groupes.
Lorsqu’un incident survient, qu’il ait été anticipé ou non, l’analyste en threat intelligence peut fournir des éléments cruciaux aux équipes de réponse à incident. Quel groupe d’activité attaque ? Pourquoi, et dans quel contexte ? Dispose-t-on d’indicateurs, d’observables et de règles YARA permettant de rechercher les traces supplémentaires de l’attaquant ? Existe-t-il des informations en sources ouvertes, sur les réseaux sociaux, au sujet de cette attaque ? Mon organisation est-elle la seule touchée ? L’attaque est-elle ciblée ou globale ? Des samples du maliciel utilisé sont-ils disponibles en ligne et analysés ?
Le renseignement sur les cybermenaces peut transformer la démarche traditionnelle de pentest en véritable Red Teaming. Les scénarios de simulation basés sur une réelle connaissance des groupes d’activités ciblant notre secteur d’activité, et des risques pesant sur notre entité, gagnent en réalisme, et donc en pertinence dans l’évaluation de la couverture défensive. Parce que rien ne vaut une mise en situation dans des conditions réelles, il est possible, en se concentrant sur quelques acteurs, ou quelques modélisations, de construire des simulations très pertinentes, reproduisant fidèlement les TTPs d’un cluster d’activité, ou panachées selon l’appréciation de l’analyste.
Enfin, le partage est la clé de voûte d’une démarche de threat intelligence réussie. Dialoguer, échanger avec ses pairs, dans des cercles de confiance, permet d’enrichir sa base de connaissance en renseignement technique, opérationnel et stratégique. C’est également l’occasion de collecter des indicateurs contextualisés, ainsi que de nombreux retours d’expérience.
Toutes ces applications concrètes sont accessibles, adaptables, et challengent une threat intelligence jusque-là paradoxalement éloignée des préoccupations de son principal consommateur. En somme, il s’agit simplement de s’adapter aux risques existants, et de faire des choix éclairés, priorisés et rationalisés, et non plus « par défaut ». La threat intelligence est à la portée de tous ; elle a le pouvoir de révolutionner la SSI et l’analyse de risques traditionnelles en y apportant un nouveau souffle. De cette démarche évidente, ne pourra ressortir qu’une amélioration de la cybersécurité des organisations.
