Principes de la Threat Intelligence

Une longueur d’avance sur les agresseurs

La connaissance est un outil important pour se défendre contre les cyberattaques. Si une entreprise sait comment et sur quoi une attaque pourrait avoir lieu, elle peut s’armer en conséquence. C’est là, dans le cadre de la prévention, que la Threat Intelligence entre en jeu: une longueur d’avance en matière de connaissances sur plusieurs niveaux.

Texte: Andreas Heer, 12 mars 2018

À chaque jour sa mauvaise nouvelle: de nouvelles cyberattaques contre les entreprises et les administrations font quotidiennement la une des journaux. La motivation des agresseurs est multiple. Parfois, leur objectif est d’accéder à des données confidentielles (des secrets commerciaux, p. ex.), parfois de causer des dommages. Et dans d’autres cas, les agresseurs cherchent uniquement à se procurer des informations, afin de se préparer pour une cible plus large. Aussi diverses que soient les raisons d’une cyberattaque, les intérêts commerciaux en sont presque toujours à l’origine: convertir les attaques en espèces (numériques) aussi rapidement et facilement que possible.

La dernière tendance apparue sur la cyberscène est le cryptominage. Les composantes de minage sont intégrées dans des pages Web trafiquées afin d’utiliser à leur insu les ressources informatiques des visiteurs pour «miner» des crypto-monnaies. Il n’y a pas de limites à l’imagination des cybercriminels. Presque chaque jour, de nouvelles idées commerciales apparaissent en matière de cybercrime, avec de nouveaux modèles d’attaques. Avec suffisamment d’énergie criminelle et le savoir-faire approprié, il est souvent possible de manipuler les mesures de sécurité existantes et cela, en utilisant des formes d’attaque en constante évolution.

Détecter les attaques avant qu’elles ne se produisent

Les entreprises ne sont donc pas pour autant sans défense. Car les attaques ciblées peuvent également être repoussées si l’état des menaces et les scénarios d’attaque sont connus. Grâce à un «système d’alerte précoce», les entreprises peuvent prendre des mesures de protection préventive avant qu’une attaque n’ait lieu. Et c’est là que la Threat Intelligence entre en jeu. Ce terme désigne la connaissance des menaces et des scénarios d’attaque actuels et potentiels. La Threat Intelligence n’est donc pas un logiciel de sécurité mais un ensemble de données collectées qui peut être utilisé pour se défendre de façon ciblée contre des attaques potentielles. C’est à peu près comparable aux données météorologiques utilisées pour prévoir l’évolution possible des cyclones.

La Threat Intelligence est une discipline toute jeune de la sécurité informatique et elle est interprétée différemment par différents fournisseurs. Ainsi, le type et la quantité de données varient d’une offre à l’autre. Et la Threat Intelligence suppose une expertise dans le domaine de la Cybersécurité pour transformer les informations en mesures défensives concrètes. Cependant, cette approche s’avère être une protection efficace pour prévenir les attaques et donc aussi les dommages.

Threat Intelligence: non seulement sur le plan technique, mais aussi stratégique

Toutefois, la Threat Intelligence ne se limite pas à une réalisation technique, mais elle doit aussi être intégrée à l’ensemble du cycle de vie de la stratégie de sécurité des TI. Cela signifie que les informations disponibles sont également prises en compte dans la planification stratégique. En conséquence, le «Centre for the Protection of National Infrastructure» (CPNI) britannique identifie quatre niveaux sur lesquels joue la Threat Intelligence:

Stratégique: informations grâce auxquelles la gestion des risques peut évaluer la situation actuelle en matière de cybermenace. Cela inclut, par exemple, des informations sur la fréquence des attaques régionales ou sectorielles.
Tactique: comment procèdent les agresseurs et quels outils et quelles sources d’information utilisent-ils? Par exemple, si le début d’une attaque montre des opérations de hameçonnage ciblant certains collaborateurs, des mesures de prévention appropriées peuvent découler de cette information.
Opérationnel: détails des attaques connues, qui peuvent être utilisés pour se défendre contre ce type d’attaque.
Technique: informations concrètes qui permettant aux systèmes de sécurité de détecter les attaques. Exemples: adresses des serveurs de Command & Control, signatures de malwares, adresses IP et noms de domaine ou comptes de médias sociaux utilisés pour lancer des attaques.

Sécurité grâce à la longueur d’avance en matière de connaissances

Utilisée correctement, la Threat Intelligence complète la Cybersécurité par une composante préventive. Car les systèmes techniques de sécurité, eux, n’agissent que lorsque l’attaque a lieu. Avec la Threat Intelligence, les entreprises peuvent s’armer contre d’éventuelles attaques et agir à temps. Cela signifie également que la sécurité informatique est prête en cas de véritable attaque et peut la prévenir. Mais la Threat Intelligence ne fait pas cavalier seul, elle exige un savoir-faire au niveau stratégique et technique afin que les données puissent être interprétées et les bonnes conclusions puissent être tirées. Dans ce cas, les connaissances préalables sont très utiles pour prévenir les attaques. En d’autres termes, la Threat Intelligence représente une chance pour les entreprises de garder une longueur d’avance sur les agresseurs dans le jeu éternel du chat et de la souris.