| CERT

Bénéfices d’une Cyber Threat Intelligence pour les organisations

Dans l’Art de la guerre de Sun Tzu, il est écrit que le renseignement est le pilier central de la victoire. Le renseignement peut être d’ordre économique, militaire, financier, humain, etc. Cette pratique est employée depuis longtemps par les services de renseignement du monde entier. Pour les entreprises, le renseignement permet de définir leurs objectifs stratégiques et économiques en fonction du marché et de la concurrence. Dans ce billet, nous allons nous intéresser plus particulièrement au renseignement cyber.

Protection et surveillance des SI

Nos experts CERT répondent à vos questions

Définition et objectifs

Tout d’abord, il est acté que les cybermenaces sont désormais un enjeu majeur pour toutes les organisations. Elles peuvent en effet entraîner des répercussions financières, nuire à la réputation ou perturber le fonctionnement interne.

Pour être en mesure de se protéger des cyberattaques, il est nécessaire de connaître : 

  • Les modes opératoires des attaquants ;
  • Les différentes techniques et méthodes d’attaques.

Le renseignement sur les cybermenaces (ou Cyber Threat Intelligence, abrégé par le terme « CTI »), en français le renseignement sur la menace, répond à ces enjeux.

La CTI se définit comme le processus de collecte, d’analyse et d’organisation des informations sur les menaces potentielles et actuelles pesant sur les systèmes d’information. Ces menaces, qu’elles soient internes ou externes, peuvent inclure, sans s’y limiter, des groupes de rançongiciels, des hacktivistes ou des acteurs soutenus par des États.

Les missions de CTI permettent d’identifier et de prévenir. Les objectifs finaux de la CTI sont de hiérarchiser les plans de sécurisation d’une infrastructure, d’enquêter sur des événements (internes ou externes), de maintenir une surveillance des tendances des attaques, des campagnes de désinformation et de groupes d’opposition.

Les différents types de renseignement

Trois types de CTI sont à distinguer :

  • La CTI tactique regroupe tous les types de renseignement contenant des indicateurs de compromission (IoC) qui sont les traces laissées par un attaquant permettant de l’identifier. Ces IoCs sont généralement trouvés dans les systèmes d’information compromis des victimes et utilisés par un centre de sécurité opérationnel (SOC) pour détecter les menaces dans les systèmes d’informations.
  • La CTI opérationnelle consiste en la création de fiches de renseignement sur les attaquants, incluant des informations telles que leurs méthodes, habitudes, outils, tactiques, techniques et procédures. Ce type de renseignement permet entre autres de mieux connaître l’attaquant et d’assurer aux analystes d’un CERT une efficacité maximale lors de leurs interventions.
  • La CTI stratégique se concentre sur l’analyse de haut niveau des dangers et des tendances dans le cyberespace. Destinée principalement aux décideurs, elle vise à fournir une compréhension globale du paysage des risques cyber, incluant les motivations, capacités et intentions des adversaires. Dans ce contexte, des panoramas sectoriels de la menace sont élaborés, permettant d’identifier les risques majeurs et leurs impacts sur le secteur analysé. Cette composante est un accompagnement sur du long terme et doit permettre aux décideurs de prendre les meilleures décisions pour leur cybersécurité.

Le tableau ci-dessous synthétise les trois niveaux de renseignement en matière de cybersécurité :

tableau cti

Ces trois composantes de la CTI collaborent ainsi pour renforcer la sécurité des systèmes d’information. En effet, la CTI tactique peut être considérée comme un complément de la CTI opérationnelle qui elle-même peut être considérée comme un complément de la CTI stratégique.

L'importance de la CTI

Identifier les menaces potentielles dans le secteur spécifique de chaque organisation permet de mettre en œuvre des mesures préventives et proactives (éviter par exemple les attaques de type supply-chain). Connaître son environnement est donc essentiel pour assurer une protection optimale en matière de cybersécurité.

Anticiper les menaces permet donc de les prévenir efficacement.
Les intérêts d’une activité de type CTI sont triples :

  • Intervenir plus rapidement en cas d’attaque ;
  • Répondre aux interrogations des équipes de sécurité ;
  • Conseiller et orienter les décideurs.

Antoine Coutant,
Practice Manager CERT