Un manuel électronique destiné à éduquer les entreprises, de la Direction au département métier, proposé en téléchargement libre. Les auteurs sont, pour la majorité, issus d’une entreprise actrice du secteur de « l’Intelligence Driven Security ». Focus sur le cycle de vie de la Threat Intelligence.

Basée sur les techniques du renseignement, la Threat Intelligence a pour but la « collecte et l’organisation de toutes les informations liées aux menaces du Cyber-espace », résume Wikipedia. A terme, bien entendu, une telle connaissance permettra aux entreprises de mieux organiser la défense du Système d’Information (SI) car il n’est possible de défendre que ce que l’on connaît et comprend.

L’idée de ce livre est d’aider les entreprises à mieux cerner les tenants et les aboutissants de la Threat Intelligence. En donnant une description claire de ce que cela peut être d’une façon générale puis en personnalisant cette définition pour chaque département ou équipe Sécurité de l’entreprise. Cela revient à aborder le sujet sous différents angles : le SoC (Security operation Center), l’équipe de Threat Intelligence, celle chargée de la gestion des vulnérabilités, les patrons Sécurité, le point de vue de l’analyste du risque et enfin celui du responsable de la prévention aux fraudes.

Le manuel termine sur des exemples pratiques, avec la description de trois plateformes d’analyses dédiées à la Threat Intelligence, puis enchaîne sur l’explication détaillée de la mise en route d’un programme et le choix d’une équipe dédiée.

Cycle de vie de la Threat Intelligence

C’est la base pour aborder un tel sujet, il permet d’en faire le tour de la conception à la réalisation d’un programme. Traditionnellement, il est composé de 6 phases : Direction/Orientation, Collecte, Traitement, Analyse, Diffusion et Feedback.

Phase d’Orientation avant la Threat Intelligence:

C’est le démarrage des actions : déterminer les objectifs du programme de Threat Intelligence à mettre en oeuvre. Une démarche qui se résume en 4 points. Le premier consiste à déterminer le capital informationnel et les traitements métiers qui ont besoin d’être protégés.  Viennent ensuite les impacts potentiels en cas de perte dudit capital informationnel ou d’interruption des traitements. Seulement alors, l’équipe Sécurité pourra déterminer pour quels types de Threat Intelligence opter afin de protéger ce qui doit l’être et répondre aux menaces. Et pour finir, elle devra définir un ordre des priorités.

Phase de la Collecte d’Informations :

Pour la récupération d’informations, plusieurs sources sont suggérées et toutes sont à suivre sous peine de passer à côté d’une information importante. La collecte en provenance des metadata et logs du SI (réseaux internes, équipements Sécurité ...) est un classique, tout comme souscrire à des sources d’information (externes) relatives aux menaces. Généralement elles sont proposées par des industriels et des acteurs du secteur de la Sécurité, tels les CERT. Echanger avec des experts spécialisés sur le sujet, avec ou sans demande particulière, parcourir les sites opensource et les blogs, chercher minutieusement sur des sites web et forums, s’infiltrer dans les sources fermées ( dark web ...), telles sont les tâches indispensables de la collecte d’informations.

Phase de traitement :

Les informations sont de provenances multiples, que ce soit d’un équipement informatique, d’une origine officielle comme les alertes CVS, de données brutes ... et donc la première tâche consiste à les mettre sous un format exploitable pour, par exemple, les envoyer au sein d’un SIEM (System Security and Events Management). Des corrélations seront ensuite établies d’une façon ou d’une autre afin ensuite d’engager une action de blocage ou de mise en quarantaine, voire de remédiation des éléments constituant une menace numérique.

Phase d’Analyse :

C’est la partie humaine du traitement où l’ajout d’intelligence (au sens « renseignements » du terme), permet des prises de décisions : bloquer une attaque potentielle, mais aussi pousser plus loin une investigation, renforcer les contrôles de sécurité, estimer s’il est justifié de prendre de nouvelles sources d’information…

Il est à noter que la forme du rapport de Threat Intelligence peut différer selon la cible au sein de l’entreprise.

Phase de Diffusion :

La Threat Intelligence est utile à au moins six équipes différentes dans l’entreprise. Pour pouvoir établir des rapports avisés en fonction du profil de l’équipe destinataire, quelques questions utiles : de quel type de Threat Intelligence a-t-elle besoin et comment ces nouvelles informations pourraient soutenir son activité ?, Comment représenter cette Intelligence de façon à ce qu’elle l’assimile et l’exploite facilement ?, A quel rythme doit-on faire des mises à jour ou introduire de nouvelles informations ?, Via quel média, doit-on diffuser cette Intelligence ? Comment opérer un suivi si nécessaire ?

Phase de Retour

Elle correspond à définir les priorités du programme de Threat  Intelligence en phase avec les demandes et nécessités de chaque équipe de Sécurité qui l’utilisera. Ce sont ces besoins qui guident chaque étape du cycle de vie de Threat Intelligence et orientent sur la nature des données à collecter. Ils permettent aussi de déterminer la façon de traiter les informations récupérées puis de les enrichir pour les rendre le plus utile possible. Enfin la définition précise des besoins permettra de déduire le type d’Intelligence nécessaire pour chaque équipe, de déterminer la fréquence de diffusion de ces informations et la rapidité de réponse à adopter pour répondre aux questions qui seront émises par les équipes.