Comprendre la Threat Intelligence : un processus essentiel à l’entreprise en cybersécurité

Dans le domaine judiciaire, les forces de l’ordre diffusent une affiche « wanted » pour rechercher un criminel. Celle-ci donne des renseignements précieux sur le suspect. Le même principe s’applique à la cybersécurité avec la Threat Intelligence.

La Threat Intelligence ou renseignement sur les menaces est une démarche visant à obtenir des informations sur les menaces potentielles auxquelles est exposée une organisation. Elle ne s’arrête pas à la collecte de données, elle offre également aux organisations des marges de manœuvre pour contrer une attaque. Cette collecte et traitement des données pour identifier une menace s’opère en continu.

Elle est ainsi différente des données sur les menaces, un autre terme utilisé en cybersécurité. Celui-ci désigne simplement une liste de différentes menaces. Les analystes de sécurité obtiennent ces renseignements à travers plusieurs sources, comme le pare-feu d’applications web (WAF) par exemple. Ils analysent ensuite les données et identifient les corrélations pour construire des modèles et mettre en avant des tendances.

Les renseignements obtenus doivent présenter les caractéristiques suivantes :

• spécifiques à l’organisation, c’est-à-dire axés sur des menaces spécifiques à la surface d’attaque et les actifs vulnérables.
• détaillés et contextuels, c’est-à-dire qu’ils offrent aussi des détails sur les techniques et les tactiques utilisées par les pirates.
• exploitables, c’est-à-dire des données que l’équipe de sécurité peut utiliser pour résoudre la menace.

Grâce au Threat Intelligence, l’entreprise adopte des mesures proactives plutôt que réactives face aux menaces. Pour cela, l’équipe de sécurité s’appuie sur les indicateurs de menace, elle essaie ensuite de comprendre les vulnérabilités de sécurité pour y répondre efficacement.

Pour savoir qu’une attaque est en cours ou s’est déjà produite, l’entreprise s’appuie sur les indicateurs de compromission (IoC). Ils sont généralement basés sur l’intelligence artificielle. Un IoC est l’équivalent d’une preuve physique qu’un policier utilise pour déterminer l’auteur d’un crime dans le monde judiciaire. En tant que preuve numérique, l’IoC peut être une activité inhabituelle transcrite dans les journaux, un trafic non autorisé, etc.

Les IoC les plus courants sont :

• anomalies de connexion : un utilisateur se connecte au réseau en dehors des heures de bureau, un autre accède à des fichiers non autorisés, etc.
• activité inhabituelle d’un compte privilégié : l’objectif des attaques est de compromettre un compte ayant des privilèges plus élevés.
• augmentation de la lecture des bases de données : la base de données enregistre une hausse soudaine du trafic. Cela signifie qu’une personne tente d’extraire des données.
• augmentation des requêtes sur un même fichier : les pirates informatiques répètent les attaques jusqu’à trouver une faille. Si un même fichier enregistre par exemple une centaine de requêtes en une journée, cela signifie qu’ils tentent plusieurs méthodes pour trouver la vulnérabilité.
• modification des fichiers système.

En l’absence de l’indicateur de compromission, il n’est pas évident de savoir si une attaque a eu lieu. C’est le cas lorsque l’attaquant souhaite passer inaperçu après le vol de données sensibles.

L’équipe de sécurité peut mener le renseignement sur les menaces à travers différents outils. Certains sont payants, d’autres sont gratuits et open source. Voici les plus courants :

• outils de gestion des informations et des événements de sécurité (SIEM) : ils permettent d’assurer une surveillance en temps réel du réseau. L’équipe de sécurité obtient ainsi des informations détaillées sur le trafic suspect et les comportements malveillants.
• désassembleurs de logiciels malveillants : il faut le considérer comme un médecin légiste qui analyse un corps pour connaître les causes de la mort. Un désassembleur permet de comprendre le fonctionnement du logiciel malveillant. Cette rétro-ingénierie aide les équipes de sécurité à mettre en place des mesures efficaces contre des attaques futures.  
• communauté de renseignement sur les menaces désigne les sites web et forums en libre accès qui partagent tous les indicateurs connus. Ces plateformes constituent une source précieuse en matière de renseignement.

Ce cycle de vie désigne le processus répété et continu auquel l’entreprise s’appuie pour améliorer son renseignement sur les menaces. Le processus présente la même base bien qu’il puisse changer légèrement d’une organisation à une autre.

Dans cette première étape, l’équipe de sécurité consulte les différentes parties prenantes dans la cybersécurité de l’entreprise (chefs de service, équipe du management, le département IT, analystes CSIRT etc.) L’objectif est de connaître leur besoin en matière de renseignement.

La collecte de données s’appuie sur ces besoins de chaque partie prenante. Prenons l’exemple d’un ransomware qui a mis à mal une autre organisation. Les dirigeants craignent que cela affecte également leur entreprise. L’équipe de sécurité mène alors une enquête sur le groupe ayant mené l’attaque, la faille de sécurité exploitée, etc.

Le traitement des données brutes permet de trouver des corrélations. Il permet également d’exclure les faux positifs. Il est aujourd’hui possible d’automatiser cette étape grâce à des outils basés sur l’intelligence artificielle (IA) et l’apprentissage automatique.

C’est à ce stade que les données deviennent des renseignements qui contribuent à la prise de décision au sein de l’entreprise. Le RSSI (responsable de la sécurité du système d’information) décide par exemple d’augmenter le budget prévu dans l’achat de solutions de cybersécurité. L’équipe de sécurité applique immédiatement les mesures face à une menace réelle ou potentielle.

Les résultats de l’analyse sont ensuite compilés et accompagnés de recommandations et conclusions. L’ensemble est diffusé auprès des parties prenantes. Il est important de bien choisir le contenu à diffuser pour chaque équipe. Les besoins en renseignement ne sont pas les mêmes pour le département IT et le conseil d’administration par exemple.

Cette dernière étape consiste à laisser les parties prenantes présenter leur avis sur les renseignements fournis, s’ils ont bien répondu à leurs exigences. Les recommandations et remarques permettent aux analystes de sécurité d’entamer un nouveau cycle de Threat Intelligence.

Les experts identifient trois catégories de renseignement sur la menace en se basant sur leur cycle de vie

Ce type de renseignement sur la menace s’adresse à un public non technique comme le conseil d’administration. L’analyse porte par exemple sur les risques et les impacts d’un incident de cybersécurité sur la stratégie commerciale d’une entreprise.

La Threat Intelligence stratégique repose généralement sur des sources ouvertes où la communauté cyber partage des livres blancs, des rapports ou encore des résultats de leur recherche.

L’approche est destinée à un public ayant une notion avancée sur le plan technique. Le renseignement sur les menaces s’appuie sur les indicateurs de compromission (IoC) pour identifier et éliminer les menaces. Cela peut être l’utilisation d’adresses IP non autorisées par exemple, la hausse du trafic, l’augmentation du nombre de téléchargements d’un fichier, etc.

Cette approche est considérée comme la plus facile à mettre en place. De plus, les IoC permettent d’automatiser l’obtention des renseignements. Néanmoins, l’évolution constante des cyberattaques accélère l’obsolescence des IoC.  

Dans ce type de renseignement sur la menace, l’objectif est de répondre aux questions « qui », « comment » et « pourquoi ». Pour cela, l’équipe de sécurité analyse les menaces passées pour en tirer des leçons sur l’intention et le niveau de sophistication.

C’est pourquoi l’entreprise doit fournir davantage de ressources pour mener cette approche. Par contre, la Threat Intelligence opérationnelle présente une durée de vie plus longue. Pour cause, les pirates informatiques mettent plus de temps à changer leur TTP (tactique, technique et procédures).