Comment protéger efficacement son système d’information si l’on n’a pas conscience de la réalité des menaces et des modes opératoires utilisés par les attaquants ? Voilà tout l’enjeu de la Threat Intelligence : collecter des données de sécurité pour prendre conscience des menaces cyber et prévenir efficacement les attaques.
Qu’est-ce que la Threat Intelligence et quel est son intérêt en matière de cybersécurité ? Quelles données de sécurité collecter et comment les exploiter ? Comment utiliser la Threat Intelligence pour renforcer sa sécurité informatique ? Cet article passe au crible l’intérêt de la Threat Intelligence en matière de prévention des attaques et d’amélioration des stratégies de défense.
Qu’est-ce que la Threat Intelligence ?
Threat Intelligence : définition
La Threat Intelligence est une branche essentielle de la cybersécurité. Il s’agit d’une activité de collecte, d’analyse et de partage de données sur les menaces cyber et les acteurs de ces menaces. On parle également de « Cyber Threat Intelligence » (CTI) ou de « renseignement sur les cybermenaces ».
Quel est l’objectif principal du renseignement sur les menaces ?
L’objectif de la Threat Intelligence est de fournir aux équipes de sécurité des informations contextualisées et pertinentes relatives aux vulnérabilités, aux menaces et aux attaques. Elle permet donc aux organisations de mieux anticiper les menaces cyber et de développer une approche proactive en matière de cybersécurité.
Quels sont les trois types de Cyber Threat Intelligence ?
Renseignement technique
Le renseignement technique a vocation à identifier des indicateurs de compromission (IoCs) au sein de son système d’information. Il permet notamment de repérer une attaque en cours et donc de la neutraliser rapidement.
Exemples : adresses IP, noms de domaines, empreintes (listes de "hashs") de fichiers malveillants.
Renseignement opérationnel
Il porte sur l’analyse des tactiques, techniques et modes opératoires utilisés par les attaquants.
Renseignement stratégique
Le renseignement stratégique fournit une vue globale des menaces, des tendances et même des menaces émergentes. Sa vocation est d’orienter les stratégies de sécurité (de long terme) en fonction des éléments techniques et des modes opératoires préalablement identifiés, en prenant en compte le contexte de l’entreprise. Ce type de renseignement est utile lors de prises de décisions stratégiques.
Pourquoi la Threat Intelligence est-elle si importante en cybersécurité ?
Meilleure évaluation des vulnérabilités et réduction des risques
Grâce à des informations actualisées et contextualisées sur les menaces, les organisations peuvent mieux prendre conscience de leurs vulnérabilités et améliorer leur gestion des risques. C’est justement le travail des analystes et des équipes chargées de la défense opérationnelle. En obtenant une vue d’ensemble sur les différentes menaces, les équipes peuvent ensuite déterminer des priorités lorsqu’il s’agit de sécuriser leurs infrastructures : modifier si besoin la politique de sécurité, changer certaines configurations, mettre en place des correctifs de sécurité, etc.
Prévention des attaques et approche proactive de la sécurité informatique
La Threat Intelligence joue également un rôle essentiel dans la prévention des attaques. Elle permet par exemple de hiérarchiser les menaces en fonction de leur type, du niveau de risques qu’elles représentent et de l’impact éventuel qu’elles auraient sur l’organisation si elles étaient effectivement exploitées. Ces informations contextuelles permettent de traiter les menaces de manière plus efficace. Tout le profilage réalisé sur les auteurs des menaces (tactiques, techniques, procédures) aide également à anticiper leurs agissements.
L’attaque par supply chain Kaseya, un exemple d’utilisation de la Threat Intelligence
Si les renseignements issus de la Threat Intelligence ne sont pas toujours suffisants pour bloquer une cyberattaque, ils peuvent en revanche contribuer à en atténuer les impacts dans le cadre du processus de réponse à incident. C’est ce qui s’est passé en juillet 2021 avec l’attaque du logiciel VSA, édité par la société Kaseya. Les attaquants ont réussi à y diffuser un rançongiciel en s’appuyant sur une faille de type « Zero-Day ».
Suite à cette attaque, l’ONG Cyber Threat Alliance a diffusé des informations et des analyses de la situation, la Threat Intelligence permettant de comprendre concrètement l’incident. Des mesures d’atténuation ont été proposées aux clients utilisateurs du logiciel VSA. L’objectif était d’aider les organisations concernées à réagir au mieux face à cet incident afin d’en limiter les impacts.
Processus de collecte et d’analyse de données de sécurité
Les outils et méthodes de collecte d’informations
Les meilleures méthodes de collecte de données sont celles qui agrègent de nombreuses sources de données afin de croiser les informations et de détecter des éléments de manière fiable. Les outils de surveillance des réseaux et des systèmes constituent une source importante de données, permettant d’identifier des comportements anormaux sur le réseau ou des schémas d’activités malveillantes. De leur côté, les scanners de vulnérabilités collectent des données relatives aux vulnérabilités connues et aux menaces qui y sont liées. Autre source importante de données, les flux automatisés de renseignements sur les menaces (« CTI feeds ») délivrent des informations sur les indicateurs de compromission, les domaines et adresses IP suspects, les "hashs" de fichiers malveillants, etc.
Certaines organisations font également appel à des plateformes de Cyber Threat Intelligence agrégeant de multiples sources de données, internes et externes, ouvertes et fermées. L’intérêt de ces plateformes réside dans leur capacité à s’intégrer de manière fluide avec les outils déjà utilisés, d’automatiser la collecte et de structurer les données.
L’apport de la cartographie du système d’information : l’exemple d’OverSOC
Les outils de cartographie du système d’information constituent également une source importante de données. La méthodologie déployée par OverSOC pour réaliser une cartographie de système d’information s’appuie sur une analyse de la cartographie réseau. Concrètement, OverSOC utilise les caractéristiques des machines sur le plan réseau (IP, adresse MAC, OS, ports ouverts, services actifs, etc.) pour identifier des risques de sécurité de chaque asset d’un système d’information.
L’algorithme mis au point par OverSOC calcule ensuite, pour chaque asset, un score de risque de compromission. Situé sur une échelle de 0 à 100, le score permet d’évaluer si l’asset représente un risque pour le système d’information. Ce calcul s’appuie notamment sur les données issues de la Cyber Threat Intelligence : bulletins de sécurité (l’actif est-il concerné par un bulletin de sécurité publié ?), Deep Web et Dark Web (l’actif est-il affecté par une fuite de données? ), Code Repository, etc. L’utilisation d’un tel outil s’inscrit bien dans une démarche proactive de détection des menaces.
L’importance de la contextualisation dans l’analyse de données
Le travail de collecte des données n’a de sens que si les données sont ensuite contextualisées. Et c’est précisément ce travail de contextualisation qui donne de la valeur aux données et permet de les exploiter correctement. Examiner les données dans leur contexte et étudier les relations entre les différentes informations constituent des étapes préalables à toute bonne analyse de données. La représentation en 3D et en temps réel facilite ce travail de contextualisation et de compréhension.
Défis et solutions dans la mise en œuvre de la Threat Intelligence
Éviter la surcharge de données de sécurité
L’un des principaux défis de la Threat Intelligence est de parvenir à faire le tri dans la masse de données disponibles, de réussir à prioriser les alertes en fonction du contexte de l’organisation et de l’analyse des menaces. L’automatisation permet désormais de traiter de grandes quantités de données. Correctement implémentée, une plateforme de CTI doit limiter le nombre de faux positifs et les informations non pertinentes. Les équipes reçoivent des alertes plus fiables et peuvent concentrer leur attention dessus. Les menaces sont mieux identifiées, classées et gérées, en temps réel. Les opérations de sécurité gagnent ainsi en efficacité.
Intégrer les données issues de la Threat Intelligence à ses stratégies de défense
La collecte de données de sécurité n’est pas une fin en soi. Pour en tirer toute leur valeur, encore faut-il les exploiter correctement et les intégrer à ses stratégies de défense. Et c’est souvent ce point qui fait le plus défaut. D’après le rapport « Threat Intelligence : les perspectives mondiales » publié par Mandiant en février 2023, « les décisions de cybersécurité les plus critiques sont prises sans tenir compte des acteurs malveillants et de leurs modes opératoires ». Si les personnes sondées par Mandiant reconnaissent la nécessité de bien connaître le profil des attaquants, exploiter efficacement ces données de sécurité est beaucoup plus compliqué. Moins d’un sondé sur deux (47 %) considère qu’appliquer efficacement la Threat Intelligence à tous les « systèmes et processus de sécurité » est l’une de leurs plus grandes difficultés.
Quelques conseils pour utiliser efficacement les données de sécurité issues de la Cyber Threat Intelligence
• Mettre en corrélation les modes opératoires des attaquants (issus de flux tiers) avec les données et les vulnérabilités de son système d’information
• Prioriser les menaces cyber en leur attribuant des scores de risques
• Traiter en priorité les risques les plus élevés/urgents
• « Industrialiser » la démarche sur l’ensemble des systèmes et processus de sécurité
S’adapter à un environnement cyber en évolution constante
L’un des gros défis dans la mise en place d’une Cyber Intelligence proactive est de réussir à s’adapter à des cybermenaces qui évoluent constamment. Les cybercriminels ont tout intérêt à utiliser des techniques inconnues pour passer entre les mailles des dispositifs de détection et de défense le plus longtemps possible. Structurer efficacement sa collecte de renseignements nécessite donc de consacrer du temps à la recherche proactive et à l’identification de comportements suspects et de menaces inconnues.
C’est là toute la force de la Cyber Threat Intelligence en matière de prévention des attaques : aider les organisations à identifier les risques émergents, à rechercher les faiblesses dans leurs dispositifs de défense et à renforcer en continu leur sécurité informatique, dans un contexte de sophistication croissante des menaces cyber.
Comment intégrer la Threat Intelligence dans votre politique de sécurité ?
Activité indispensable dans le cadre d’une stratégie de cybersécurité efficace, la Threat Intelligence agrège, contextualise et analyse de grandes quantités de données de sécurité, issues de différentes sources. L’objectif de cette collecte de renseignements sur les menaces et de mettre en place des stratégies de défense destinées à réduire les risques. La Cyber Threat Intelligence joue un rôle crucial en matière de prévention des attaques, à condition de bien exploiter les données et de les restituer de manière compréhensible, tout en prenant en compte l’évolution permanente des menaces.
Vous aimeriez savoir comment OverSOC peut vous aider à intégrer la Threat Intelligence dans votre politique de cybersécurité ? Contactez-nous.
