Qu’est-ce que la threat intelligence ?

23 novembre 2020

La threat intelligence permet de recueillir des informations sur les attaquants, les stratégies utilisées ou encore les dernières tendances.
Dans cet article retrouvez les clés de compréhensions permettant de comprendre comment intégrer la threat intelligence dans votre politique de sécurité.

La cybersécurité est un vaste sujet.

Ransomware, phishing, fraude au président, déni de service, fuite de données, nous abordons le plus souvent le prisme de la cybersécurité par celui des menaces.

Le concept de cybersécurité et par analogie celui de la cyber résilience sont le plus souvent associés avec le besoin de protection.

Par défaut, un professionnel va chercher à faire de son système d’information une place forte imprenable, sans chercher préalablement à connaître le fonctionnement des attaquants.

C’est ici que le concept de threat intelligence entre en jeu.

La threat intelligence ou comment utiliser l’intelligence collective pour mieux se protéger

La threat intelligence est une discipline ayant pour but de recueillir des informations sur les attaquants pour mieux anticiper les cyberattaques.

Que ce soit sous la forme de collecte de données sur les organisations attaquantes (cybercriminalité, menace étatique), le profil des attaquants ou encore les stratégies adoptées et les dernières tendances d’attaques, la threat intelligence se révèle être un outil permettant la prise de décision en temps réel.

Comment utiliser cette donnée ?

Cette donnée est collectée puis utilisée sous la forme de flux par des outils de prise de décisions comme les Security Operation Center (SOC) au travers d’automations appelées Playbook.

Plus vous utiliserez des flux de données ( appelés CTI Feeds en anglais pour Cybersecurity threat intelligence feeds), plus vous aurez une vision exhaustive de l’état de la menace.

Il est donc important de souscrire à plusieurs sources de données dans le but de recouper les informations et d’adopter la bonne prise de décision au bon moment.

Comment collecter la donnée de renseignement ?

L’origine des données utilisées est variée et peut être le fruit d’échanges de données entre acteurs ou plus simplement d’une captation de signaux numériques.

Collecter les indicateurs de compromission.

Appelés IOC pour Indicator of compromise, les indicateurs de compromission sont des traces permettant d’affirmer qu’un système d’information a été compromis par un cyber attaquant.

Les IOC peuvent être une connexion TCP/IP inhabituelle, une escalade de privilèges, une augmentation du volume de requêtes en lecture de la base de données, une connexion depuis un pays à caractère suspect (Russie, Chine, Corée du nord…).

L’OSINT ou comment collecter des informations grâce aux moteurs de recherche

Discipline très intéressante de la threat intelligence, l’OSINT permet de diffuser de l’information sous la forme d’un moteur de recherche ouvert à la consultation.

De nombreuses plateformes permettent de rechercher de l’information comme :

Comment intégrer la threat intelligence dans mon entreprise ?

De prime abord, l’utilisation d’un SIEM, d’un SOAR et d’un flux de CTI s’adresse plutôt à des grandes entreprises.

Cependant les éditeurs intègrent maintenant depuis quelques années des flux de CTI dans leur moteur de détection.

C’est notamment le cas dans des produits de sécurité comme l’EDR InterceptX de Sophos ou l’outil de sécurité de l’email Vade Secure pour Microsoft 365. Contactez-nous pour savoir quelle solution est la plus adaptée aux besoins de votre structure.

EDR (Endpoint Detection and Response)

Sébastien GEST

Sébastien GEST

Sébastien Gest, expert en cybersécurité, décrypte les dernières menaces et les tendances du cyberespace.