Nouveau : Candidatures pour rentrée décalée en janvier 2025 ouvertes !

Candidater

Boite à outils

Comprendre la Threat Intelligence : un processus essentiel à l’entreprise en cybersécurité

IBM révèle dans son rapport en 2022 qu’une violation de données coûte 4,35 millions en moyenne à ses victimes. La détection et l’escalade occupent une part importante de ce montant. La Threat Intelligence permet à l’entreprise de diminuer ce coût grâce à une détection plus tôt des attaques.

 

Par Hugo Poiblanc
Contenu mis à jour le
La Threat Intelligence ou renseignement sur les menaces est une démarche visant à obtenir des informations sur les menaces potentielles auxquelles est exposée une organisation.
NB : Contenu en cours de réécriture.

Qu’est-ce que la Threat Intelligence ?

La technologie numérique a renforcé la connectivité entre les appareils, réseaux, systèmes, etc. Cela augmente pourtant les risques de cyberattaque chez les entreprises. Entre le vol de données, la propagation de programmes malveillants, les atteintes à la sécurité, etc., les entreprises sont plus exposées que jamais. Dans son dernier rapport, l’ANSSI met en avant l’augmentation des attaques visant les smartphones des employés. Les piratages à des fins d’extorsion ne fléchissent pas avec une hausse de 30% en 2023 par rapport à 2022.

Dans ce contexte, le budget consacré à la cybersécurité augmente progressivement dans les entreprises. En 2022, ces dernières y ont alloué 22% de leur budget IT. La Threat Intelligence fait partie des démarches essentielles dans cette politique de sécurité. Mais en quoi consiste-t-elle exactement ? Pourquoi occupe-t-elle une place importante en cybersécurité ?

Dans le domaine judiciaire, les forces de l’ordre diffusent une affiche « wanted » pour rechercher un criminel. Celle-ci donne des renseignements précieux sur le suspect. Le même principe s’applique à la cybersécurité avec la Threat Intelligence.

La Threat Intelligence ou renseignement sur les menaces est une démarche visant à obtenir des informations sur les menaces potentielles auxquelles est exposée une organisation. Elle ne s’arrête pas à la collecte de données, elle offre également aux organisations des marges de manœuvre pour contrer une attaque. Cette collecte et traitement des données pour identifier une menace s’opère en continu.

Les 6 étapes qui composent la Threat Intelligence

Les 6 étapes qui composent la Threat Intelligence

Elle est ainsi différente des données sur les menaces, un autre terme utilisé en cybersécurité. Celui-ci désigne simplement une liste de différentes menaces. Les analystes de sécurité obtiennent ces renseignements à travers plusieurs sources, comme le pare-feu d’applications web (WAF) par exemple. Ils analysent ensuite les données et identifient les corrélations pour construire des modèles et mettre en avant des tendances.

Les renseignements obtenus doivent présenter les caractéristiques suivantes :

  • spécifiques à l’organisation, c’est-à-dire axés sur des menaces spécifiques à la surface d’attaque et les actifs vulnérables.
  • détaillés et contextuels, c’est-à-dire qu’ils offrent aussi des détails sur les techniques et les tactiques utilisées par les pirates.
  • exploitables, c’est-à-dire des données que l’équipe de sécurité peut utiliser pour résoudre la menace.

Pourquoi la Threat Intelligence est-elle si importante ?

Grâce au Threat Intelligence, l’entreprise adopte des mesures proactives plutôt que réactives face aux menaces. Pour cela, l’équipe de sécurité s’appuie sur les indicateurs de menace, elle essaie ensuite de comprendre les vulnérabilités de sécurité pour y répondre efficacement.

Les indicateurs de compromission

Pour savoir qu’une attaque est en cours ou s’est déjà produite, l’entreprise s’appuie sur les indicateurs de compromission (IoC). Ils sont généralement basés sur l’intelligence artificielle. Un IoC est l’équivalent d’une preuve physique qu’un policier utilise pour déterminer l’auteur d’un crime dans le monde judiciaire. En tant que preuve numérique, l’IoC peut être une activité inhabituelle transcrite dans les journaux, un trafic non autorisé, etc.

Les IoC les plus courants sont :

  • anomalies de connexion : un utilisateur se connecte au réseau en dehors des heures de bureau, un autre accède à des fichiers non autorisés, etc.
  • activité inhabituelle d’un compte privilégié : l’objectif des attaques est de compromettre un compte ayant des privilèges plus élevés.
  • augmentation de la lecture des bases de données : la base de données enregistre une hausse soudaine du trafic. Cela signifie qu’une personne tente d’extraire des données.
  • augmentation des requêtes sur un même fichier : les pirates informatiques répètent les attaques jusqu’à trouver une faille. Si un même fichier enregistre par exemple une centaine de requêtes en une journée, cela signifie qu’ils tentent plusieurs méthodes pour trouver la vulnérabilité.
  • modification des fichiers système.

En l’absence de l’indicateur de compromission, il n’est pas évident de savoir si une attaque a eu lieu. C’est le cas lorsque l’attaquant souhaite passer inaperçu après le vol de données sensibles.

Quelles sont les certifications en cybersécurité ?

Quelles sont les certifications en cybersécurité ?

Les différents outils utilisés dans la Threat Intelligence

L’équipe de sécurité peut mener le renseignement sur les menaces à travers différents outils. Certains sont payants, d’autres sont gratuits et open source. Voici les plus courants :

  • outils de gestion des informations et des événements de sécurité (SIEM) : ils permettent d’assurer une surveillance en temps réel du réseau. L’équipe de sécurité obtient ainsi des informations détaillées sur le trafic suspect et les comportements malveillants.
  • désassembleurs de logiciels malveillants : il faut le considérer comme un médecin légiste qui analyse un corps pour connaître les causes de la mort. Un désassembleur permet de comprendre le fonctionnement du logiciel malveillant. Cette rétro-ingénierie aide les équipes de sécurité à mettre en place des mesures efficaces contre des attaques futures.  
  • communauté de renseignement sur les menaces désigne les sites web et forums en libre accès qui partagent tous les indicateurs connus. Ces plateformes constituent une source précieuse en matière de renseignement.
Gratuit
Téléchargez Le Grand Livre de la cybersécurité
Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.
Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Comment se présente le cycle de vie du Threat Intelligence ?

Ce cycle de vie désigne le processus répété et continu auquel l’entreprise s’appuie pour améliorer son renseignement sur les menaces. Le processus présente la même base bien qu’il puisse changer légèrement d’une organisation à une autre.

Planification

Dans cette première étape, l’équipe de sécurité consulte les différentes parties prenantes dans la cybersécurité de l’entreprise (chefs de service, équipe du management, le département IT, analystes CSIRT etc.) L’objectif est de connaître leur besoin en matière de renseignement.

Collecte de données

La collecte de données s’appuie sur ces besoins de chaque partie prenante. Prenons l’exemple d’un ransomware qui a mis à mal une autre organisation. Les dirigeants craignent que cela affecte également leur entreprise. L’équipe de sécurité mène alors une enquête sur le groupe ayant mené l’attaque, la faille de sécurité exploitée, etc.

Traitement

Le traitement des données brutes permet de trouver des corrélations. Il permet également d’exclure les faux positifs. Il est aujourd’hui possible d’automatiser cette étape grâce à des outils basés sur l’intelligence artificielle (IA) et l’apprentissage automatique.

traitement des données brutes

Analyse

C’est à ce stade que les données deviennent des renseignements qui contribuent à la prise de décision au sein de l’entreprise. Le RSSI (responsable de la sécurité du système d’information) décide par exemple d’augmenter le budget prévu dans l’achat de solutions de cybersécurité. L’équipe de sécurité applique immédiatement les mesures face à une menace réelle ou potentielle.

Diffusion

Les résultats de l’analyse sont ensuite compilés et accompagnés de recommandations et conclusions. L’ensemble est diffusé auprès des parties prenantes. Il est important de bien choisir le contenu à diffuser pour chaque équipe. Les besoins en renseignement ne sont pas les mêmes pour le département IT et le conseil d’administration par exemple.

Commentaires

Cette dernière étape consiste à laisser les parties prenantes présenter leur avis sur les renseignements fournis, s’ils ont bien répondu à leurs exigences. Les recommandations et remarques permettent aux analystes de sécurité d’entamer un nouveau cycle de Threat Intelligence.

Vous souhaitez travailler dans la cybersécurité ?
2 FORMATIONS DE POST BAC À BAC+5 100% dédiées à la cybersécurité
Nos programmes de formation sont pensés avec les entreprises du secteur de la cybersécurité et du digital pour maximiser l’employabilité de nos étudiants. Le Bachelor a été construit pour transmettre de solides bases de développement informatique tout en parcourant progressivement les notions clés de la cybersécurité. Le MSc est à 100% dédié à la cyber et spécialise dans un métier de la cybersécurité. Nos diplômes sont reconnus par les entreprises et par l’Etat, ils délivrent en fin de cursus un titre RNCP de niveau 6 (Bac+3) ou 7 (Bac+5).

Quels sont les différents types de Threat Intelligence ?

Les experts identifient trois catégories de renseignement sur la menace en se basant sur leur cycle de vie

Threat Intelligence stratégique

Ce type de renseignement sur la menace s’adresse à un public non technique comme le conseil d’administration. L’analyse porte par exemple sur les risques et les impacts d’un incident de cybersécurité sur la stratégie commerciale d’une entreprise.

La Threat Intelligence stratégique repose généralement sur des sources ouvertes où la communauté cyber partage des livres blancs, des rapports ou encore des résultats de leur recherche.

Cyberstratégiste

Cyberstratégiste

Threat Intelligence tactique

L’approche est destinée à un public ayant une notion avancée sur le plan technique. Le renseignement sur les menaces s’appuie sur les indicateurs de compromission (IoC) pour identifier et éliminer les menaces. Cela peut être l’utilisation d’adresses IP non autorisées par exemple, la hausse du trafic, l’augmentation du nombre de téléchargements d’un fichier, etc.

Cette approche est considérée comme la plus facile à mettre en place. De plus, les IoC permettent d’automatiser l’obtention des renseignements. Néanmoins, l’évolution constante des cyberattaques accélère l’obsolescence des IoC.  

Threat Intelligence opérationnelle

Dans ce type de renseignement sur la menace, l’objectif est de répondre aux questions « qui », « comment » et « pourquoi ». Pour cela, l’équipe de sécurité analyse les menaces passées pour en tirer des leçons sur l’intention et le niveau de sophistication.

C’est pourquoi l’entreprise doit fournir davantage de ressources pour mener cette approche. Par contre, la Threat Intelligence opérationnelle présente une durée de vie plus longue. Pour cause, les pirates informatiques mettent plus de temps à changer leur TTP (tactique, technique et procédures).