Les renseignements sur les menaces, souvent appelés renseignements sur les cybermenaces, résultent d'analyses de données ayant pour but de fournir des informations exploitables permettant de mieux comprendre les risques de sécurité.
Les points de données, collectés auprès de multiples sources, sont organisés de sorte à aider les professionnels de la sécurité.En tenant compte des possibles motivations et capacités des attaquants, les renseignements sur les menaces aident les équipes à adopter une position proactive face aux cybermenaces ; ils permettent également d'établir un panorama des risques encourus, plus large que celui que pourrait établir seule toute organisation unique.
Le flux de renseignements est souvent personnalisé pour mettre l'accent sur les vulnérabilités et les actifs propres à l'organisation concernée, lui offrant ainsi la possibilité de mettre en place une stratégie de défense sur mesure.
Les renseignements sur les menaces sont des connaissances fondées sur des éléments probants. Ils fournissent un contexte, des mécanismes et des indicateurs, précisent les implications et s'accompagnent de conseils pratiques pour contrer les menaces actuelles ou émergentes qui pèsent sur les actifs d'une organisation. Ils peuvent orienter la prise de décisions en matière de réponse aux menaces, permettant aux équipes de sécurité de prioriser les vulnérabilités, d'évaluer les outils de cybersécurité et de mettre en œuvre des mesures de remédiation.
En substance, les renseignements sur les menaces identifient les indicateurs de compromission (IoC) et précisent les tactiques, techniques et procédures (TTP) utilisées par les acteurs malveillants. Ces signaux aident les organisations à détecter et à déjouer les cyberattaques aussi rapidement que possible. Tout cela réduit le délai de détection, minimisant ainsi les conséquences potentielles d'une violation.
Correctement mis en œuvre, les renseignements sur les menaces dotent les organisations des outils nécessaires pour faire face aux attaques futures, en renforçant leurs mesures de sécurité au moyen d'outils de sécurité du réseau et du cloud.
Les renseignements sur les menaces reposent principalement sur la compréhension du paysage de la cybersécurité et sur la surveillance des formes émergentes de malwares, d'exploits zero-day, d'attaques de phishing et d'autres problèmes cybersécuritaires.
En matière de cybersécurité, la dynamique qui s'opère entre les attaquants et les défenseurs n'est pas sans rappeler celle d'une partie d'échecs ; chacune des parties passe son temps à mettre au point des stratégies visant à déjouer l'autre. Les attaquants sont à la recherche de nouveaux vecteurs d'attaque, les défenseurs font de leur mieux pour bloquer les attaques, et les deux « équipes » réutilisent et adaptent leurs tactiques à chaque manche. Trouver un moyen d'avoir la main dans cette lutte permanente est la meilleure raison pour une organisation d'investir dans des renseignements avancés sur les cybermenaces.
Les mécanismes de défense de base, tels que les pare-feu et les systèmes de prévention des intrusions (IPS), sont importants, mais ils sont essentiellement de nature passive. Dans le cadre d'un régime de sécurité actif, les renseignements sur les menaces visent à neutraliser les menaces, y compris les menaces persistantes avancées (APT).
Les APT sont mises en œuvre par des acteurs malveillants sophistiqués qui cherchent à s'introduire de manière prolongée dans les systèmes à des fins de vol de données, d'espionnage, voire de perturbation ou de destruction des systèmes, le tout pouvant se conclure par le recours à un ransomware une fois les données utiles exfiltrées. Une compréhension approfondie des stratégies APT est profitable quand il s'agit de structurer une défense efficace.
Une approche plus active de la cybersécurité recourt aux renseignements sur les menaces afin que les équipes de sécurité n'évoluent pas dans le noir. Les renseignements sur les menaces apportent un éclairage non seulement sur les motivations des adversaires, mais aussi sur les tactiques, techniques et procédures (TTP) qu'ils sont susceptibles d'utiliser.
Enfin, les départements informatiques peuvent utiliser les renseignements sur les menaces comme un outil leur permettant d'élargir les discussions autour des risques avec les parties prenantes (par exemple, conseils d'administration et directeurs de la technologie). Ainsi armées, elles peuvent recevoir des informations sur les menaces et les utiliser pour prendre les décisions stratégiques les mieux adaptées à la tolérance au risque de l'entreprise.
Les renseignements sur les menaces s'inscrivent dans le cadre d'un processus itératif globalement structuré en six grandes étapes. Au cours de ces étapes, les experts de la cybersécurité prennent des données brutes qu'ils contextualisent, transformant ces données en informations et en conseils.
L'expression « cycle de vie », empruntée à la biologie, est utilisée ici car les étapes sont permanentes et se répètent en boucle.
1. Planification
Cette étape fondamentale implique de déterminer les besoins en matière de renseignements. Bien souvent, ils sont présentés sous la forme de questions permettant de comprendre les menaces spécifiques qui pèsent sur l'organisation. Les analystes de la sécurité collaborent avec les parties prenantes, telles que les cadres et les chefs de service, afin de définir ces besoins. C'est également au cours de cette étape que sont priorisés les objectifs en matière de renseignements, sur la base de divers facteurs (impact, sensibilité au facteur temps, alignement sur les valeurs organisationnelles, etc.).
2. Collecte de données sur les menaces
Les données brutes, essentielles à la précision du processus de renseignement sur les menaces, peuvent provenir de différents canaux. Les flux utilisés pour la collecte des données sont à la fois de nature open source et commerciale et permettent d'obtenir toutes sortes de données (mises à jour en temps réel des indicateurs de compromission, analyses approfondies d'attaques réelles, etc.). Parmi les autres sources de collecte de données figurent les journaux internes (par exemple, les systèmes SIEM - systèmes de gestion des informations et des évènements de sécurité) ou les informations spécialisées provenant de centres de partage et d'analyse de l'information (ISAC).
3. Traitement
Le principal objectif de cette étape consiste à agréger et à normaliser les données brutes collectées afin de les rendre pus facilement exploitables. Les analystes de sécurité utilisent des outils spécialisés de renseignement sur les menaces, dont bon nombre sont dotés de technologies d'intelligence artificielle et de Machine Learning afin d'identifier des tendances dans les données. Des métadonnées sont ajoutées, facilitant les analyses et le suivi futurs. À ce stade, les équipes de cybersécurité éliminent les faux positifs afin d'améliorer la précision de l'ensemble de données.
4. Analyse
Cette phase est la plus importante pour la production d'informations, dans la mesure où elle met l'accent sur la conversion des données traitées en renseignements exploitables sur les menaces. Les analystes de sécurité travaillent avec des cadres établis, tels que MITRE ATT&CK, et de nombreuses bases de connaissance élaborées à partir d'observations concrètes des tactiques et techniques employées par les adversaires.
En testant, en vérifiant et en interprétant les tendances des données, les analystes mettent au jour des vulnérabilités et des tactiques potentiellement utilisées par des groupes spécifiques de cybercriminels. Adaptés au public cible, les résultats de l'analyse peuvent être présentés sous la forme de courtes listes de menaces ou de rapports détaillés évalués par des pairs.
5. Diffusion
Les conclusions de la phase précédente sont partagées avec les parties prenantes concernées, y compris les équipes de sécurité et la haute direction de l'organisation. Les actions résultant de cette étape peuvent inclure des mises à jour des règles de détection SIEM ou le blocage d'adresses IP suspectes. Par souci d'efficacité, les informations sont communiquées par le biais de logiciels spécialisés qui s'intègrent à des systèmes de renseignements de sécurité tels que les systèmes SOAR (orchestration, automatisation et réponse aux incidents de sécurité) et XDR (détection et réponse étendues).
6. Rétroaction
Le cycle de vie se termine par une évaluation ou un examen des étapes précédentes, avec pour objectif de soulever de nouvelles questions ou de mettre au jour des lacunes jusque-là ignorées. Les conclusions de la rétroaction sont intégrées au cycle suivant, refermant ainsi la boucle afin d'améliorer constamment l'ensemble du processus sur le long terme.
Les renseignements sur les cybermenaces (CTI) offrent un large éventail de capacités, qu'il s'agisse de cas d'utilisation tactiques, opérationnels ou plus stratégiques.
Threat Intelligence tactique
Les renseignements tactiques sur les menaces s'adressent à un public plus technique : personnel de SOC (centre des opérations de sécurité), personnes qui interviennent en cas d'incident, experts de la sécurité, etc. Les renseignements tactiques sur les menaces sont généralement disponibles dans un format lisible par machine. Ils s'intègrent facilement à divers outils et plateformes de renseignement sur les menaces par le biais d'API et de flux programmatiques de renseignements sur les menaces.
Les points de données utilisés pour détecter des activités malveillantes sont appelés indicateurs de compromission (IoC) et constituent des éléments clés de ce type de fourniture de renseignements sur les menaces. Les IoC incluent des adresses IP liées à des menaces connues, à des noms de domaine malveillants et à des hachages de fichiers identifiés comme dangereux.
Ces indicateurs évoluant très rapidement, il est important de disposer d'une source constamment mise à jour.
Dans la mesure où ils fournissent des données immédiates et exploitables sans analyse à long terme ni informations générales, les renseignements tactiques sur les menaces complètent les renseignements opérationnels et stratégiques. Lorsqu'une organisation se fie uniquement à des renseignements tactiques sur les menaces, le risque de faux positifs (autrement dit, les cas où des activités anodines sont signalées à tort comme étant malveillantes) augmente.
Utilisations et exemples de renseignements tactiques sur les cybermenaces (CTI tactiques)
· Flux de menaces : flux de données continus fournissant des informations sur les menaces potentielles.
· Alertes en temps réel : notifications informant instantanément les organisations des menaces actives présentes dans leur environnement.
· Analyse automatisée des malwares : processus automatisés permettant d'examiner les logiciels malveillants afin de comprendre leur fonction et le niveau de menace qu'ils représentent.
Renseignements opérationnels sur les menaces
Les renseignements opérationnels sur les menaces concernent le contexte. Ils rassemblent des informations sur les cyberattaques en vue d'identifier des questions essentielles sur les campagnes et les opérations adverses. L'accent est mis sur les tactiques, techniques et procédures (TTP), ainsi que sur les motivations et le calendrier des attaques.
L'obtention d'informations n'est pas un processus simple, car il nécessite de faire appel à de multiples sources : forums de discussion, réseaux sociaux, journaux antivirus, dossiers relatifs à d'anciennes attaques, etc. Cette approche pose de nombreux défis, notamment en raison du recours fréquent par les acteurs malveillants au chiffrement, à un langage codé ou ambigu et à des forums de discussion privés. Le forage de données et le Machine Learning sont souvent utilisés pour traiter d'importants volumes de données mais, pour aboutir à une analyse définitive, les informations doivent être contextualisées par des experts.
Les renseignements opérationnels sur les menaces, exploités dans les centres des opérations de sécurité (SOC), enrichissent les différentes méthodologies cybersécuritaires, telles que la gestion des vulnérabilités, la surveillance des menaces, la réponse aux incidents, etc.
Utilisations et exemples de renseignements opérationnels sur les cybermenaces (CTI opérationnels)
· Profilage des acteurs : compréhension et catégorisation des cyber-adversaires selon les tactiques, techniques et procédures qu'ils utilisent.
· Priorisation des correctifs : identification des vulnérabilités logicielles à traiter en priorité sur la base de renseignements sur les menaces.
· Réponse aux incidents : actions entreprises pour gérer et atténuer les menaces après qu'elles ont été détectées.
Renseignements stratégiques sur les menaces
Les renseignements stratégiques sur les menaces traduisent des informations complexes et détaillées dans un langage exploitable par les parties prenantes (y compris les membres du conseil d'administration, les cadres et les hauts responsables). Les produits des renseignements stratégiques sur les menaces peuvent prendre la forme de présentations, de rapports sur les risques à l'échelle de l'organisation et de comparaisons des risques passés, présents et futurs (au sein d'une organisation et par rapport aux normes et pratiques exemplaires de l'industrie). L'identification des lacunes en matière de conformité est un moteur fondamental des renseignements stratégiques sur les menaces.
Bien que faisant l'objet de rapports synthétiques, la restitution de ce type de renseignements sur les menaces doit également inclure une analyse approfondie des tendances locales et mondiales, des cyber-risques émergents et même des facteurs géopolitiques. Les offres de renseignements stratégiques sur les menaces jouent un rôle essentiel dans la planification à long terme, la gestion des risques et les décisions de politique générale. Les renseignements stratégiques sur les menaces doivent s'intégrer à la planification stratégique à long terme afin d'aider les organisations à aligner leurs stratégies cybersécuritaires sur leurs objectifs commerciaux.
Utilisations et exemples de renseignements stratégiques sur les cybermenaces (CTI stratégiques)
· Menaces internes : élaboration de stratégies globales permettant d'identifier et de traiter les menaces provenant de l'organisation au moyen des méthodes telles que l'analyse des modèles comportementaux et des journaux d'accès.
· Opérations de tromperie : conception et mise en œuvre de stratégies de tromperie visant à induire en erreur et à traquer les attaquants potentiels, en mettant au jour leurs techniques et leurs intentions sans risquer la compromission d'actifs réels.
· Allocation des ressources : détermination de la meilleure façon d'allouer les ressources à la cybersécurité en fonction du paysage des menaces (investissements dans de nouvelles technologies de sécurité, recrutement de personnel spécialisé ou allocation de fonds aux programmes de formation des employés).
L'intégration des renseignements sur les menaces à la stratégie de cybersécurité globale de votre organisation renforcera la nature proactive de vos défenses et vous permettra de garder une longueur d'avance sur d'éventuelles violations. Le processus d'adoption est plus stratégique qu'une simple sélection d'outils ; il nécessite une bonne coopération des équipes internes pour que la mise en œuvre des renseignements sur les menaces soit efficace.
· Comment les CTI (renseignements sur les cybermenaces) s'intègrent-ils aux objectifs de revenus de mon entreprise ?
Une approche CTI adaptée protège vos sources de revenus et vos processus en assurant la sécurité de vos systèmes critiques, en maintenant la confiance de vos clients et en garantissant le bon fonctionnement de votre entreprise, sans interruptions. Veillez à trouver le bon équilibre entre votre investissement CTI et le niveau de protection dont vous avez besoin.
· Qu'entend-on par informations exploitables ?
Les informations exploitables fournies par les CTI fournissent des mesures claires que l'équipe de sécurité ou l'équipe des opérations peut immédiatement mettre en œuvre afin de renforcer les défenses de l'entreprise. Il est important de bien définir ces informations et d'y recourir le plus possible, car elles permettent de renforcer la sécurité et de réduire les coûts résultant d'éventuelles violations.
· Comment puis-je intégrer au mieux les renseignements sur les menaces à mes systèmes existants ?
L'intégration des CTI à vos systèmes existants vous aide à tirer parti de la puissance de votre infrastructure de sécurité actuelle, en renforçant ses capacités avec un minimum d'investissements supplémentaires. Par exemple, grâce à l'automatisation des processus manuels, votre équipe, libérée des tâches routinières, peut réagir plus rapidement aux menaces. L'intégration des renseignements sur les menaces devrait aider votre équipe existante à faire plus, plus rapidement et, plus précisément, à augmenter le retour sur investissement.
· Comment puis-je améliorer mes renseignements sur les menaces sur le long terme ?
Pour améliorer vos renseignements sur les menaces au fil du temps, optez pour une solution CTI adaptée à vos besoins spécifiques. Recherchez des systèmes offrant des mécanismes de rétroaction adaptables, permettant d'affiner et d'améliorer les CTI en permanence. Trouvez des partenaires de cybersécurité qui vous aident à mettre en œuvre un système CTI qui non seulement correspond à vos opérations actuelles, mais évolue également avec elles, permettant d'apporter des améliorations et de gagner de la valeur sur le long terme.
Outre les trois principales catégories de renseignements sur les cybermenaces décrites ci-dessus (tactiques, opérationnels et stratégiques), il convient de mentionner les autres outils et techniques utilisés pour le renseignement sur les menaces que vous devriez connaître lors du processus de mise en œuvre :
· Plateformes de renseignement sur les menaces (TIP) : les plateformes centralisées, telles que les TIP, sont essentielles pour consolider, enrichir et analyser en temps réel les données sur les menaces provenant de multiples sources. Dans la pratique, pensez à des plateformes proposant des périodes d'essai ou des démonstrations, qui permettront à votre équipe d'évaluer leur compatibilité avec vos systèmes existants. Une plateforme comme celle de Bitdefender, Advanced Threat Intelligence (ATI), en offre un aperçu avec IntelliZone, qui fournit des données provenant d'un vaste réseau de capteurs et d'un écosystème de licences technologiques.
· Renseignements de sécurité : cette approche plus large intègre des données externes et internes permettant de brosser un tableau complet de votre paysage des menaces. Commencez par réaliser des audits internes afin d'identifier les sources de données susceptibles d'enrichir vos renseignements de sécurité, puis intégrez-les aux données externes sur les menaces.
Ces outils et techniques nécessitent tous une attention particulière et une approche stratégique de l'intégration. Adaptez-les à vos besoins et objectifs spécifiques en matière de sécurité, et n'hésitez pas à solliciter des conseils d'experts afin de maximiser leur efficacité.
La mise en œuvre d'une solution de renseignement sur les menaces dans l'infrastructure de sécurité de votre organisation est une étape stratégique importante qui nécessite une planification et une réflexion minutieuses.
Choisissez une solution professionnelle de renseignements sur les cybermenaces, qui correspond à vos besoins et à vos préférences. Nous vous recommandons vivement d'impliquer les équipes informatiques et les professionnels de la cybersécurité de votre organisation dans ce processus.
Non, il n'y a pas de risques inhérents aux CTI, mais certains problèmes, dont vous devez avoir conscience, peuvent apparaître suite à une mauvaise planification ou à une mauvaise allocation des ressources.
Les organisations doivent être conscientes du risque de surcharge d'informations.
En l'absence de mécanismes de filtrage et d'analyse adaptés, la survenue de faux positifs et de faux négatifs pourrait conduire au gaspillage de précieuses ressources. La clé du succès réside dans l'investissement dans des renseignements supérieurs sur les cybermenaces, obtenus à l'aide d'une approche multicouche automatisée associant solutions externes de qualité et ressources internes stratégiques (dont l'habilitation continue des équipes).
Les renseignements techniques sur les cybermenaces se concentrent sur les preuves tangibles de l'existence de cybermenaces. Souvent considérés comme un sous-ensemble des renseignements opérationnels sur les menaces, ils mettent l'accent sur les preuves directes de l'existence de menaces.
Cela signifie qu'ils peuvent aussi jouer un rôle dans les renseignements tactiques et opérationnels. Les renseignements techniques sur les cybermenaces fournissent des informations spécifiques sur les attaques en cours et les attaques potentielles, en identifiant des indicateurs de compromission (IoC), tels que des adresses IP associées à des activités malveillantes, des contenus d'e-mails de phishing, des échantillons de malwares connus et des URL fallacieuses.