La Cyber Threat Intelligence définit la recherche, l’analyse et la modélisation de la menace cyber. Elle permet de décrire une menace ou une attaque informatique au travers d’éléments contextualisés et/ou d’indicateurs compréhensibles par des hommes ou des machines.
Avec l’augmentation de cyber attaques toujours plus sophistiquées, il est devenu primordial d’acquérir et de maintenir une connaissance de la menace et de l’attaquant pour les entreprises et les institutions.
Pour comprendre ces nouveaux enjeux, François Deruty, Chief Operation Officer chez Sekoia.io, nous livre dans cet entretien des réponses éclairées sur ce qu’est la Cyber Threat Intelligence CTI.
Les dessous de la fabrication du renseignement sur les menaces cyber
À quoi sert la Cyber Threat Intelligence ?
Le renseignement sur les menaces sert à prévenir et à détecter des attaques informatiques. La CTI platform permet de connaître préalablement cette menace pour l’anticiper, c’est-à-dire prendre des contre-mesures défensives en amont et la détecter en temps réel si nécessaire.
« Pour vous donner une image, je vais renforcer ma porte d’entrée à laquelle je vais ajouter des serrures et des caméras. Ces verrous supplémentaires me permettent de faire face aux acteurs essayant de la forcer chaque jour. La CTI sert à détecter quand cela a lieu, c’est un moyen d’anticipation me permettant de voir que des gens tentent de s’introduire chez moi. » François Deruty, COO SEKOIA.
Pour revenir à l’environnement informatique, les verrous peuvent être des blacklists parce que nous savons que certains éléments sont utilisés au quotidien par des attaquants, des éléments qui ne sont pas de confiance, que nous allons soit blacklister, soit mettre en quarantaine, le temps de vérifier qu’ils sont légitimes. La CTI platform sert à modéliser cet ensemble et à comprendre et à détecter ces événements.
Comment rendre exploitable l’information ?
Aujourd’hui, l’information est rendue exploitable d’abord en la contextualisant le plus possible et en la modélisant dans un format qui est accepté par le plus grand nombre d’outils tout en la rendant compréhensible rapidement par des analystes (STIX est aujourd’hui le format qui est le plus adopté par la communauté).
Le Dark web : une source déterminante
pour une CTI actionnable
L’impact concret de l’utilisation de la CTI dans une entreprise
Une Cyber Threat Intelligence platform bien faite permet à l’entreprise de gagner du temps et de la tranquillité d’esprit.
L’ennemi de la CTI étant le faux positif, cette connaissance de la menace et de l’attaquant doit permettre de s’assurer que la moindre alerte soit générée légitimement afin de ne pas « noyer » les analystes. Le but étant de réduire le nombre de faux positifs, pour passer en dessous de la barre des 5% et ainsi ne remonter que des alertes de réels incidents.
La Cyber Threat Intelligence apporte donc un réel gain de temps pour les équipes de sécurité d’une entreprise. Ces équipes soc sont sollicitées sur de nombreux sujets. La CTI permet pour ces équipes de générer de la tranquillité et du temps à dégager. Un retour sur investissement est donc quantifiable très rapidement.
Les critères d’une CTI de qualité
Aujourd’hui, un acteur seul a la capacité de fournir une CTI de qualité. Si la question sous-jacente est de savoir « est-ce qu’un seul acteur peut faire une CTI de qualité dite exhaustive ? ». Pour ce point, c’est plus difficile !
« Pour avoir une Cyber Threat Intelligence platform la plus exhaustive possible, le fait d’utiliser plusieurs sources permet de croiser les informations et ainsi d’avoir une meilleure confiance dans les éléments détectés. Si on détermine qu’un élément est malveillant et que cette information est confirmée par une ou plusieurs autres sources, nous avons plus de chances qu’il le soit. Chez SEKOIA, nous utilisons de nombreuses sources de données qui nous donnent des éléments permettant de croiser l’information. Nous créons aussi notre CTI, en investiguant et en enrichissant les informations à notre disposition. Cette capacité interne est indispensable pour créer une CTI de qualité grâce à notre équipe dédiée d’analystes spécialisés dans ce domaine. »
La cybersécurité sans CTI a-t-elle un sens ?
« Je pense que non, mais c’est mon avis personnel. Nous ne pouvons pas atteindre un niveau de prévention et de détection optimal sans renseignement sur les menaces. »
Les systèmes d’information évoluent sans cesse, ils deviennent très hétérogènes et grossissent tellement vite qu’il est devenu impossible d’en avoir la connaissance exhaustive en temps réel. Du fait d’un environnement mouvant, il est plus efficace de se concentrer sur la connaissance de la menace, avec des équipes spécialisées dont c’est le métier de comprendre et d’analyser les différents modes opératoires d’attaque, afin ensuite de décliner et de disséminer celle-ci au sein des différents systèmes d’information à protéger.
Comment le renseignement permet d’anticiper et d’automatiser la réponse face aux ransomware ?
D’autres définitions de concepts, méthodes et outils cyber sont également disponibles :
- Qu’est-ce qu’une solution XDR (eXtended Detection & Response) ?
- Qu’est-ce qu’un EDR (Endpoint Detection and Response) ?
- Qu’est-ce que la Cyber Threat Intelligence (CTI) ?
Si vous consultez pour la première fois notre site web, sachez que nous sommes un éditeur de logiciels de cybersécurité. Nous fournissons aux équipes cyber et MSSP une plateforme de sécurité opérationnelle clé en main. À travers notre plateforme XDR, notre outil CTI et notre plateforme de Threat Intelligence, nous permettons à nos usagers de neutraliser les menaces informatiques, quelle que soit la surface d’attaque.