En quoi consiste les renseignements sur les cybermenaces ? - SysDream
  • CENTRE D’URGENCE | 24/7
  • Vous êtes victime d’une cyberattaque ?
  • Contactez notre centre d’urgence cyber :
  • +33 (0)1 83 07 00 06

Cybersécurité : en quoi consiste les renseignements sur les cybermenaces ?

Les cybermenaces font référence aux activités malveillantes qui visent à compromettre la sécurité des systèmes d’information, des réseaux et des données. Au fil du temps, elles sont malheureusement devenues de plus en plus courantes et sophistiquées, et peuvent entraîner des conséquences graves sur les individus, les entreprises et les gouvernements. Pour se protéger contre les cybermenaces, il est important de mettre en place des mesures de sécurité appropriées et être capables d’anticiper les attaques. Pour cela, le CTI est devenu, ces dernières années, un élément essentiel de la stratégie de sécurité des entreprises, car il leur permet de se protéger de manière proactive contre les cybermenaces en constante évolution et sophistication. Comment cela fonctionne-t-il ? On vous explique tout.

Par Julien D.

Cybersécurité : en quoi consiste les renseignements sur les cybermenaces ?

Julien D. est analyste de la menace cyber depuis juin 2022, chez Sysdream, la division cybersécurité de Hub One. Comme tant d’autres de ses collègues, pour Julien, la cybersécurité est plus qu’un travail, c’est une véritable passion ! A tel point que Julien décide d’approfondir le sujet en s’intéressant à la psychologie des acteurs malveillants pour comprendre leurs comportements. Formé en intelligence économique, Julien se concentre surtout aujourd’hui sur la protection de l’information des organisations. Pour mieux appréhender ce volet défensif, Julien approfondit ses connaissances en s’intéressant aux sujets politiques, culturels et géoéconomiques, qui lui permettent d’avoir une vision globale des faits de société et de mieux appréhender les potentielles intrusions. Côté technologique, avec Julien, nous ne sommes jamais loin de son métier puisque son attrait va pour le logiciel Maltego, un outil de collecte d’informations qui permet l’exploration de données sur un sujet choisi. On ne se refait pas !

Sommaire

Qu’est-ce que le renseignement sur les cybermenaces ou Cyber Treat Intelligence (CTI) ?

La discipline des renseignements sur les cybermenaces, également appelée Cyber Threat Intelligence (CTI), est née du renseignement militaire, et de la nécessité d’identifier, analyser et prévoir les menaces qui ont une origine ou un intérêt pour le cyberespace. Contrairement à une simple information, le renseignement obtenu a pour but de répondre à un besoin de savoir, utile à la prise de décision dans un environnement incertain ou opaque [1].

Le Gartner définit les renseignements sur les menaces comme des connaissances basées sur des données décisives, telles que le contexte, les mécanismes, les indicateurs, les implications et les conseils pratiques, relatifs à une menace ou un danger existant ou à venir visant les ressources. Ces connaissances peuvent aider à éclairer les décisions sur la manière de réagir face à la menace ou au danger identifié.

Lors de la surveillance du cyberespace, il est crucial de comprendre les attaquants afin de mieux appréhender leur identité, leurs intentions, leurs motivations et leurs modes opératoires. Ainsi, des bases de connaissances sur ces menaces sont nécessaires pour les étudier plus efficacement. Le MITRE ATT&CK [2], la Cyber Kill Chain [3] et le Diamond Model [4] sont quelques exemples de ces bases de connaissances.

 

Quelles sont les différentes sous-catégories de renseignement sur les menaces ?

Le renseignement sur les menaces (CTI) est subdivisé en quatre sous-catégories :

  • Technique : Cette catégorie de renseignement vise à détecter et répondre rapidement aux incidents de sécurité en surveillant en permanence les nouvelles capacités technologiques des adversaires.
  • Tactique : Ce renseignement fournit des informations sur les tactiques, les techniques et les procédures (TTP) ainsi que sur les indicateurs de compromission (IOC) utilisés par les cybercriminels. Ce type de renseignement s’adresse aux personnes ayant des compétences techniques pour permettre aux équipes de sécurité informatique de rechercher et d’éliminer des menaces spécifiques au sein d’un réseau.
  • Opérationnel : ce renseignement s’intéresse aux outils (programmes, infrastructures, …) et aux techniques utilisées par les cyberattaquants pour atteindre leurs objectifs.
  • Stratégique : ce renseignement, également appelé renseignement de « haut niveau », se concentre sur les tendances et l’évolution des risques. Il permet de prendre des décisions proactives pour anticiper les menaces et agir au bon moment.

En somme, le but du renseignement sur les cybermenaces est d’aider à la prise de décision en fournissant des renseignements précis, actualisés et ciblés.

 

Quelles sont les missions d’un analyste en renseignement sur les cybermenaces ?

Le rôle principal d’un analyste en renseignement sur les cybermenaces est de comprendre les méthodes utilisées par les attaquants pour fournir des informations aux décideurs afin qu’ils puissent protéger leurs organisations. Les informations fournies par l’analyste permettent de renforcer la capacité de détection, d’anticipation et de réponse aux nouvelles menaces majeures qui pourraient cibler les systèmes d’information d’une organisation.

Pour accomplir sa mission, l’analyste doit se poser plusieurs questions, telles que :

  • Quelle est la surface d’attaque de mon organisation ?
  • Qui sont mes adversaires ?
  • Quelles sont leurs méthodes d’opération ?
  • Quels sont leurs objectifs (financiers, concurrentiels, géopolitiques…) ?
  • Quelles mesures puis-je prendre pour réduire le risque d’une cyberattaque sur mon organisation ?

 

Pour collecter les informations nécessaires, l’analyste utilise le cycle de production du renseignement, qui comprend les étapes suivantes [5] :

 

 

  1. Planification et direction : il s’agit de la gestion de l’ensemble de l’effort du renseignement, de l’identification des besoins en données jusqu’à la livraison au consommateur, d’un produit de renseignement.
  2. Collecte : cette étape implique la collecte des informations brutes indispensables à la production de renseignements finis. Pour être efficace, la collecte doit être planifiée, ciblée et dirigée. Les sources d’informations brutes peuvent être variées, telles que des sources ouvertes comme les archives publiques gouvernementales, les rapports des médias, Internet, les périodiques et les livres.
  3. Traitement : le traitement implique la conversion des informations brutes en une forme utilisable par les analystes, grâce à la gestion de l’information.
  4. Analyse et production : cette étape consiste à convertir les informations de base de toutes les sources en renseignements finis, en intégrant, évaluant et analysant toutes les données disponibles, même si elles sont fragmentaires ou contradictoires.
  5. Dissémination : cette dernière étape consiste à distribuer le renseignement utile aux consommateurs – ceux-là mêmes dont les besoins ont suscité les exigences en matière de renseignement.

L’analyste en renseignement sur les cybermenaces doit être capable de préparer des rapports de renseignement pour les organisations, qui incluent les éléments suivants :

  • Collecte d’informations à partir de sources multiples (publiques et privées),
  • Identification des risques, des tactiques, des techniques et des procédures (TTP) associés aux adversaires,
  • Évaluation des menaces potentielles liées au contexte de l’organisation,
  • Recommandations de mesures visant à réduire le risque de cybermenaces.

 

Quels risques et opportunités pour une organisation ?

Si une organisation ne prend pas en compte les menaces cyber, elle est plus susceptible de subir une cyberattaque par rapport à une organisation qui aurait étudié finement et mis en place des mesures pour atténuer les risques cyber. Il convient toutefois de noter que toute organisation peut subir une cyberattaque, quels que soient sa taille, son secteur d’activité ou sa localisation.

Quels sont les impacts d’une attaque cyber pour une organisation ?

Les conséquences d’une cyberattaque peuvent être importantes et à long terme pour une entreprise, quels que soient ses secteurs d’activité, sa taille ou sa réputation. Outre les impacts financiers, d’autres conséquences peuvent survenir, notamment celles liées à la réputation, à la législation, aux préjudices commerciaux et même disons-le, aux risques psychologiques [6].

 

Les impacts d’une cyberattaque. Source : SysDream

 

Quels sont les impacts positifs du renseignement sur les cybermenaces pour une organisation ?

Le renseignement sur les cybermenaces peut offrir de nombreuses opportunités pour enrichir les capacités défensives de l’organisation.

Il peut ainsi :

  • Aider le SOC (Security Operations Center) à détecter une éventuelle intrusion des acteurs malveillants grâce aux informations obtenues de la veille sur les cybermenaces.
  • Le renseignement opérationnel peut également aider les chasseurs de menaces à identifier et comprendre les campagnes d’attaques,
  • Assister les RSSI à planifier des programmes de sécurité à l’échelle de l’entreprise, à prendre des décisions d’investissement et à définir ou faire évoluer des exigences de cybersécurité.

 

En général, les organisations qui disposent d’un flux de renseignement cyber diminuent les dépenses liées aux fraudes cyber, limitent les risques commerciaux, la perte de données ainsi que les risques liés à la notoriété.

Face à une multitude de possibilités techniques et organisationnelles, l’accompagnement d’un expert en cybersécurité constitue un atout pour analyser les risques et définir les besoins propres à votre activité. Vous l’aurez compris, anticiper les risques c’est mieux vous protéger.

 

 

Si vous souhaitez un avis d’expert en cybersécurité, SysDream, la filiale cyber de Hub One peut vous accompagner. Pour aller plus loin, consulter le site de SysDream

 

 

[1] https://www.cairn.info/revue-internationale-d-intelligence-economique-1-2010-1-page-161.htm
[2] https://attack.mitre.org/
[3] https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
[4] https://medium.com/cyberthreatintel/threat-intel-101-le-mod%C3%A8le-en-diamant-81ff503ada7f
[5] https://dps.iowa.gov/divisions/intelligence/intel-cycle
[6] https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/cyberattaque-que-faire-guide-dirigeants#:~:text=Prenez%20en%20compte%20les%20risques,crise%20et%20m%C3%AAme%20au%2Ddel%C3%A0