La Threat Intelligence : Pilier de votre stratégie de Cybersécurité

Le plus simple pour comprendre le concept de Threat Intelligence est de sortir du contexte purement informatique et de prendre quelques analogies : lorsque l’équipe de France de football décortique les tactiques, points forts et points faibles d’une équipe adverse en vidéo, lorsqu’un chef militaire prend en compte les capacités de l’ennemi ou lorsque un chef d’entreprise analyse les données concurrentielles d’un marché, dans ces trois cas, il s’agit d’une démarche de renseignement sur les menaces potentielles.

La Threat Intelligence peut se définir comme l’ensemble des processus et des moyens qui permettent de passer d’une menace inconnue non qualifiée à une menace connue et non qualifiée dans un premier temps, puis d’une menace connue non qualifiée à une menace connue et qualifiée, dans un deuxième temps.

Il est vrai que, depuis plus de 10 ans, la recherche de maîtrise de risque informatique fait partie du quotidien des professionnels de l’informatique. Des « Indicateurs de compromission (IOC) » permettent, depuis plusieurs années, d’identifier une adresse IP, un type de données ou encore un objet, afin de les prendre en compte dans divers outils de sécurité pour identifier ou prévenir une menace. Cette approche classique pose aujourd’hui plusieurs problèmes :

• Une qualification imprécise du risque déclenche de nombreux « faux positifs », par exemple en déclarant un flux venant d’un site ou d’une zone géographique comme une menace qui finalement n’en est pas une.
• Les campagnes de « patch management » sont insuffisamment suivies, organisées et priorisées.
• La prise en compte efficace d’une menace au moment où celle-ci se réalise peut être partielle si l’on ne connait pas en amont la source ainsi que les intentions de l’auteur et ses moyens. Les mesures incomplètes laissent parfois des brèches de sécurité non traitées.
• La prise en compte de simples données techniques dans la démarche de renseignement permet d’élaborer quelques techniques de protection, mais ne permet pas de construire une véritable stratégie de cybersécurité prise en compte par le board de l’entreprise et d’y allouer les budgets associés.

La Threat Intelligence s’aborde à quatre niveaux :

Un premier niveau stratégique vise le board de l’entreprise qui doit disposer d’une bonne compréhension des risques, mesurer l’impact financier de  la cyber criminalité, de l’évolution des menaces. Ces informations sont obtenues généralement à partir d’études et rapports.

Le niveau opérationnel concerne les équipes en charge de réagir aux incidents. Ces professionnels doivent disposer des meilleures informations sur les attaques à venir. Les forums et les données accessibles en open source sont généralement les sources privilégiées. Pour les entreprises, cet exercice est devenu un véritable challenge étant donné la nature des attaques qui peuvent avoir pour origine, aujourd’hui, des États-nations.

Les architectes et administrateurs systèmes doivent, d’un point de vue tactique, comprendre le modus operandi des attaquants en s’appuyant sur des livres blancs et en échangeant avec d’autres organisations.

Au niveau technique, les informations accessibles via des data feeds permettent de mettre en place les bons niveaux de supervision et actions de blocage.

En 2019, le simple accès à des informations, qu’elles soient en open source ou via des rapports commercialisés par des organismes, nécessitent d’être systématiquement recoupées et analysées par des professionnels.

Les équipes Exaprobe ont mis en place une démarche bicéphale prenant en compte deux types de renseignements technologiques et stratégiques.

Les renseignements technologiques vont s’appuyer sur des bibliothèques d’indicateurs, des feeds d’informations et l’utilisation d’outils d’analyse. Les renseignements stratégiques se font à partir de rapports, l’application d’outils de visualisation, mais également le recours à l’OSINT (Open Source Intelligence). L’OSINT est un ensemble d’informations qui a été délibérément ouvert et diffusé à un public choisi, pour répondre à une question spécifique. Ce type d’information permet aux professionnels de l’informatique et des affaires de sécurité mondiale de détecter les fraudes potentielles telles que les escroqueries, le phishing ou le blanchiment d’argent.

« De façon très concrète, notre méthodologie nous permet notamment d’identifier précisément certains groupes de pirates, les méthodes et outils qu’ils vont utiliser et d’évaluer spécifiquement la menace qu’ils peuvent représenter pour les clients que nous gérons, comme par exemple une banque ou une compagnie d’assurance », explique les experts de STARC.

« Nos clients qui ont mis en place une telle démarche n’ont pas les moyens et les ressources pour aller dans ce niveau de détail. Au mieux, pour certains, ils vont acquérir un rapport auprès d’un prestataire spécialisé et prendre des décisions à partir de ces informations. La clé, pour être efficace, reste de chercher à recouper en permanence les informations à partir de diverses sources provenant de différents pays ».

Généralement, lorsqu’une information sur une cyber menace est bien connue et communiquée par une source d’information accessible par le plus grand nombre, il y a de fortes chances que les pirates les plus motivés soient déjà passés à autre chose.

Accéder le plus en amont possible aux données et les faire analyser par des professionnels de la cyber criminalité est le meilleur moyen de concevoir les scénarios de protection réellement efficaces. « L’investissement réalisé par Exaprobe pour offrir un service de protection intégrant nativement une cellule de Threat Intelligence représente 1.800 jours/homme de R&D, 2 Datacenters, 2 PoP (Point of Présence). 500.000 utilisateurs sont au final protégés quotidiennement, ce qui représente pour nos analystes plus de 300 incidents de sécurités investigués », conclut le responsable du centre de service.