Ali Moutaib

La threat intelligence : une nouvelle arme contre les cyber menaces ?

Publié le

Par Ali Moutaib, Responsable marketing produit, LEXSI

Une cybercriminalité plus organisée mais moins opaque

Les cyberattaques n’ont jamais été aussi nombreuses ces derniers mois : SONY, TV5 Monde, Vtech… aucune structure n’est épargnée et ne le sera dans les prochaines années, voire dans les prochains mois.
Que ces attaques soient de l’ordre du vol de données stratégiques (cyber-espionnage) ou du vol de données personnelles (groupes cybercriminels organisés), les organisations sont aujourd’hui démunies face à des hackers déployant des ruses et des méthodes de plus en plus ciblées. Et malgré les investissements importants (et toujours en augmentation) dans des solutions de protection, ces dernières ne font pas le poids face à des attaquants capables de tout mettre en œuvre pour faire évoluer leurs techniques d’effractions et pour en savoir toujours plus sur leurs cibles. Une véritable asymétrie entre les organisations et les attaquants s’est constituée, fournissant à ces derniers un temps d’avance technologique et organisationnel, qui leur permet d’adapter leurs méthodes d’attaques pour augmenter leur pouvoir de nuisance.

Avec un coût de près 440 milliards de dollars chaque année (1), le cyber-crime est une industrie florissante de plus en plus structurée autour de places de marché où tout se vend et tout s’achète. 
S’il y a encore quelques années, les cybercriminels se sont professionnalisés dans la manière de mener leurs attaques (coordination, communication,…), aujourd’hui on observe l’apparition d’une verticalisation des acteurs par secteur ou par typologie d’attaques. Une verticalisation qui implique dans leurs méthodologies des modes opératoires récurrents et facilement identifiables. Ce qui apparaît comme un danger/une menace grandissante est au contraire une opportunité qui pourrait permettre de réduire le déséquilibre entre les attaquants et leurs cibles grâce à la threat intelligence.

La threat intelligence pour rééquilibrer les forces

Apparue il y a près de deux ans dans le monde anglo-saxon, la notion de threat intelligence est calquée sur l’organisation des agences de renseignement faisant face à des menaces asymétriques pouvant porter à atteinte à la sécurité nationale des États. Selon la définition du Gartner, la threat intelligence est « la connaissance fondée sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications et des conseils concrets, concernant une menace nouvelle ou existante ou un risque pour les actifs d’une organisation qui peuvent être utilisés afin d’éclairer les décisions concernant la réponse du sujet à cette menace ou un danger. »

La threat intelligence permet ainsi de faire la distinction entre les notions d’information et de renseignement. L’information délivrée aujourd’hui par les solutions dites de threat intelligence représente un volume de données non filtrées, non évaluées et collectées indistinctement ne pouvant pas être actionnables, c’est-à-dire ne pouvant faire l’objet d’un plan d’actions efficace. Par ailleurs n’étant pas vérifiée elle peut s’avérer être fausse. A contrario, le renseignement fourni par des outils de vraie/pure threat intelligence est contextualisé, pertinent, collecté via des sources fiables, vérifié et recoupé par des experts (pour éviter les faux-positifs) et peut être actionnable pour anticiper les attaques.

Si l’on combine la threat intelligence et l’évolution des cybercriminels, il devient tout à fait possible de pouvoir identifier des modus operandi, par exemple déterminer la manière dont tel ou tel groupe coordonne ses attaques : qui sont ses cibles de prédilection en matière de social ingénierie, comment les adresse-t-il ? Quel cheminement prend-il pour atteindre ses objectifs ? etc … et de pouvoir mettre en place des actions en adéquation avec ces menaces, comme une campagne de sensibilisation dans le cadre de social ingénierie.
Autre exemple qui s’appuie sur cette verticalisation : en utilisant les renseignements contextualisés au secteur bancaire, un organisme bancaire peut anticiper les menaces et ainsi déployer ses protections, allouer efficacement ses ressources pour prévenir toute attaque à venir.

On l’aura compris, l’objectif principal de cette méthode est de réagir efficacement et de mettre les équipes du RSSI dans une posture de vigilance en les informant des modes opératoires mis en place par les hackers, afin d’adapter de manière dynamique leurs tactiques de défense. On notera également que la threat intelligence participe à une meilleure compréhension des enjeux du RSSI par le comité de direction de l’entreprise.

Loin d’être un concept marketing, la threat intelligence a vocation à redistribuer les cartes en fournissant aux entreprises et organisations les atouts pour endiguer l’impact des cyberattaques sur leurs activités. Toujours selon Gartner, en 2018, près de 60% des entreprises utiliseront la « threat intelligence » afin de définir leur stratégie.

Les grands principes de la threat intelligence

Le renseignement sur les menaces informatiques est organisé en différentes strates correspondant à différents besoins :

  • Renseignements opérationnels (ou technique) : il s’agit de données techniques liées à des attaques pouvant affecter une entreprise en particulier: malware ciblant l’entreprise et ses clients, IPs compromises, vulnérabilités spécifiques, recèle d’informations etc… Ces données exploitées permettent aux entreprises de visualiser les signaux faibles d’une attaque passée ou imminente afin de la bloquer ou de la détecter rapidement.
  • Renseignements tactiques : l’objectif de ce renseignement est de fournir aux équipes du SSI des prévisions méthodologiques à 6 mois, contextualisées en fonction de leur propre secteur. Ces informations font l’objet d’une qualification très fine réalisée par des analystes spécialisés. Ce renseignement permet ensuite à l’organisation d’être en mesure de positionner ses forces face aux menaces à venir.
  • Renseignements stratégiques : toujours nourri par une analyse humaine et prospective, ce renseignement permet aux entreprises de prévoir l’impact de la sécurité sur leurs activités business : implantation dans un pays à risques, impact sur le lancement d’une nouvelle offre etc…

Force est de constater que de plus en plus d’entreprises et acteurs de la SSI ont d’ores et déjà engagé des mutations profondes pour intégrer ces données dans leur organisation. L’abonnement des entreprises à des flux de renseignements, l’engagement d’ « infiltrés » chargés d’effectuer des veilles sur les forums cybercriminels ou encore l’embauche d’analystes polyglottes fait partie de ces nouvelles démarches qui permettront aux entreprises d’exploiter toute donnée qui permettra de rééquilibrer les forces.

Pour nombre d’analystes et d’acteurs, la threat intelligence va devenir l’arme la plus efficace pour contre les cybermenaces. Reste cependant à savoir faire le choix d’un bon prestataire, capable de fournir un renseignement contextualisé permettant la mise en place d’actions efficaces.

(1) Rapport Symantec 2014

Dernière publication

Olivier LIGNEUL, membre du comité de pilotage apporte un éclairage sur le couple IOT/Blockchain.

Lire