Qu’est-ce que la Cyber Threat Intelligence (CTI) ?

29 Oct, 2021

Avec l’augmentation de cyber attaques toujours plus sophistiquées, il est devenu primordial d’acquérir et de maintenir une connaissance de la menace et de l’attaquant pour les entreprises et les institutions. 

Pour comprendre ces nouveaux enjeux, François Deruty, Chief Operation Officer chez SEKOIA, nous livre dans cet entretien des réponses éclairées sur ce qu’est la Cyber Threat Intelligence (CTI).

Qu’est-ce que la CTI (Cyber Threat Intelligence) ?

La CTI définit la recherche, l’analyse et la modélisation de la menace cyber. Elle permet de décrire une menace ou une attaque informatique au travers d’éléments contextualisés et/ou d’indicateurs compréhensibles par des hommes ou des machines.

À quoi sert la Cyber Threat Intelligence ?

Le renseignement sur les menaces sert à prévenir et à détecter des attaques informatiques. La CTI permet de connaître préalablement cette menace pour l’anticiper, c’est-à-dire prendre des contre-mesures défensives en amont et la détecter en temps réel si nécessaire. 

« Pour vous donner une image, je vais renforcer ma porte d’entrée à laquelle je vais ajouter des serrures et des caméras. Ces verrous supplémentaires me permettent de faire face aux acteurs essayant de la forcer chaque jour. La CTI sert à détecter quand cela a lieu, c’est un moyen d’anticipation me permettant de voir que des gens tentent de s’introduire chez moi. » François Deruty, COO SEKOIA.

Pour revenir à l’environnement informatique, les verrous peuvent être des blacklists parce que nous savons que certains éléments sont utilisés au quotidien par des attaquants, des éléments qui ne sont pas de confiance, que nous allons soit blacklister, soit mettre en quarantaine, le temps de vérifier qu’ils sont légitimes. La CTI sert à modéliser cet ensemble et à comprendre et détecter ces événements.

Représentation schématique des types de menaces en entrée de la plateforme SEKOIA.IO et des actions en sortie.

Comment rendre exploitable l’information ?

Aujourd’hui, l’information est rendue exploitable d’abord en la contextualisant le plus possible et en la modélisant dans un format qui est accepté par le plus grand nombre d’outils tout en la rendant compréhensible rapidement par des analystes (STIX est aujourd’hui le format qui est le plus adopté par la communauté).

Les dessous de la fabrication du renseignement sur les menaces cyber

L’impact concret de l’utilisation de la CTI dans une entreprise

Une CTI bien faite permet à l’entreprise de gagner du temps et de la tranquillité d’esprit. 

L’ennemi de la CTI étant le faux positif, cette connaissance de la menace et de l’attaquant doit permettre de s’assurer que la moindre alerte soit générée légitimement afin de ne pas « noyer » les analystes. Le but étant de réduire le nombre de faux positifs, pour passer en dessous de la barre des 5% et ainsi ne remonter que des alertes de réels incidents.

La Cyber Threat Intelligence apporte donc un réel gain de temps pour les équipes de sécurité d’une entreprise. Ces équipes sont sollicitées sur de nombreux sujets. La CTI permet pour ces équipes de générer de la tranquillité et du temps à dégager. Un retour sur investissement est donc quantifiable très rapidement.

Les critères d’une CTI de qualité

Aujourd’hui, un acteur seul a la capacité de fournir une CTI de qualité. Si la question sous-jacente est de savoir « est-ce qu’un seul acteur peut faire une CTI de qualité dite exhaustive ? ». Pour ce point, c’est plus difficile !

« Pour avoir une CTI la plus exhaustive possible, le fait d’utiliser plusieurs sources permet de croiser les informations et ainsi d’avoir une meilleure confiance dans les éléments détectés. Si on détermine qu’un élément est malveillant et que cette information est confirmée par une ou plusieurs autres sources, nous avons plus de chances qu’il le soit. Chez SEKOIA, nous utilisons de nombreuses sources de données qui nous donnent des éléments permettant de croiser l’information. Nous créons aussi notre CTI, en investiguant et en enrichissant les informations à notre disposition. Cette capacité interne est indispensable pour créer une CTI de qualité grâce à notre équipe dédiée d’analystes spécialisés dans ce domaine. » 

La cybersécurité sans CTI a-t-elle un sens ? 

« Je pense que non, mais c’est mon avis personnel. Nous ne pouvons pas atteindre un niveau de prévention et de détection optimal sans renseignement sur les menaces. »

Les systèmes d’information évoluent sans cesse, ils deviennent très hétérogènes et grossissent tellement vite qu’il est devenu impossible d’en avoir la connaissance exhaustive en temps réel. Du fait d’un environnement mouvant, il est plus efficace de se concentrer sur la connaissance de la menace, avec des équipes spécialisées dont c’est le métier de comprendre et d’analyser les différents modes opératoires d’attaque, afin ensuite de décliner et de disséminer celle-ci au sein des différents systèmes d’information à protéger.

Chat with our team!

Would you like to know more about our solutions? Do you want to discover our XDR and CTI products? Do you have a cyber security project in your organization? Make an appointment and meet us!

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ? Vous voulez découvrir nos produits de XDR et de CTI ? Vous avez un projet de cybersécurité dans votre organisation ? Prenez rendez-vous et rencontrons-nous !