Produits et services Central

Comprendre la Role-Based Intelligence

La Cyber Threat Intelligence (CTI) doit répondre aux interrogations des équipes de cybersécurité pour leur permettre de prendre leurs décisions sur la base de la meilleure information disponible. C'est là sa raison d'être, fiabiliser toutes les décisions de sécurité. Décisions qui elles-mêmes ont pour vocation de réduire les risques pour l'entreprise. C'est aussi simple que cela. Mais alors pourquoi est-il si difficile de créer des solutions et des services CTI capables de remplir ces objectifs ?

Mon expérience au contact de plusieurs dizaines d'entreprises internationales m'a appris que certaines de ces problématiques sont technologiques par nature. D'autres s'expliquent par des effectifs insuffisants pour bien gérer les menaces, et d'autres enfin sont à mettre sur le compte des processus programmatiques. Il m'arrive même de voir des entreprises qui maîtrisent parfaitement l'orchestration du triptyque humain, processus et technologies, mais ne parviennent toujours pas à proposer des services CTI capable de fiabiliser les décisions et de réduire les risques. Comment expliquer cela ?

Rappelons ce que je disais en introduction : la CTI a pour mission de répondre à des questions pour améliorer la qualité des décisions. D'où l'importance de savoir à quel public s'adressent les informations recueillies. Chaque destinataire a ses propres besoins. La base de tout programme de CTI efficace est de fournir une information exploitable, dans un format adapté et un langage compréhensible pour son destinataire, afin que celui-ci puisse l'intégrer à sa prise de décision. Facile, sur le papier. Pourtant, même au sein d'entreprises conscientes de cette exigence, il existe souvent un fossé entre la CTI offerte et les besoins des publics concernés. C'est là que la Role-Based Intelligence entre en scène.

On distingue trois types de CTI : Stratégique, opérationnelle et tactique. Comprendre les besoins en Threat Intelligence de chaque bénéficiaire et lui livrer une information digeste au bon moment, voilà ce qui fait l'étoffe d'une organisation entièrement guidée par la Threat Intelligence.


Relation entre les trois rouages essentiels de la Role-Based Intelligence

Threat Intelligence stratégique : l'analyse des tendances

La Threat Intelligence stratégique offre une vue d'ensemble sur les menaces qui se profilent à l'horizon. Elle porte donc un regard prospectif sur les dangers émergents ou les menaces actuelles qui pourraient évoluer avec le temps. Ce type de CTI travaille sur le temps long pour anticiper et modeler la sécurité de demain dans l'entreprise.

La Threat Intelligence est utile à tous les acteurs de la sécurité d'une entreprise, mais elle s'adresse particulièrement aux dirigeants ou aux managers de type Directeur des systèmes d'information, RSSI, Directeur du SOC, etc. Elle a donc pour vocation d'aider les décideurs à se projeter sur l'avenir pour engager aujourd'hui les investissements et les processus nécessaires à la sécurisation de leurs opérations à long terme.

La Threat Intelligence stratégique tente de répondre à ce type de questions :

  • Qui sont nos ennemis et comment peuvent-ils nous attaquer ?
  • Nos technologies actuelles parviendront-elles à juguler les menaces de demain ?
  • Pourquoi sommes-nous ciblés et comment notre profil de risque évolue-t-il ?
  • Devrons-nous revoir nos processus face aux nouveaux modes opératoires des cyberattaquants ?
  • Comment les évènements géographiques, géopolitiques ou sectoriels pourraient-ils faire de nous une cible ?

Dans l'arbre décisionnel, la Threat Intelligence stratégique cherche à répondre au « qui » et au « pourquoi » pour mieux orienter vos choix d'investissement en sécurité. La plupart du temps, elle prend la forme de rapports mensuels ou trimestriels relatant les derniers incidents, les menaces émergentes et les évolutions de groupes connus présentant un danger pour l'entreprise. L'analyse des tendances est un autre élément clé du reporting stratégique. Enfin, l'équipe CTI doit estimer et détailler les probabilités d'une future évolution de la menace.

Threat Intelligence opérationnelle : fusion des forces internes et externes

La Threat Intelligence opérationnelle se concentre davantage sur les cybermenaces qui pèsent réellement sur l'entreprise. Elle aussi se concentre sur l'aide à la décision et la réduction des risques, mais sous l'angle d'une analyse contextuelle dont les entreprises ont besoin pour investiguer les menaces potentielles et avérées.

La Threat Intelligence opérationnelle s'adresse généralement aux équipes de réponse à incident, d'analyse forensique et de traque des menaces. Tous ont besoin non seulement de connaître l'existence des menaces, mais aussi d'en maîtriser toute la mécanique (motivation, mode opératoire, changement de cible ou d'infrastructure).

La CTI opérationnelle a pour mission de répondre à ces questions :

  • Comment la fréquence d'attaque et les modes opératoires d'un cyberattaquant évoluent-ils sur la durée ?
  • Les infrastructures, méthodologies et tactiques évoluent-elles ? Si oui, comment ?
  • Notre surface d'attaque est-elle vulnérable à ces changements ?
  • Quel est le meilleur endroit du réseau pour identifier les risques potentiels ou débusquer les cyberattaquants ?
  • Comment les comportements passé d'un cyberattaquant peuvent-ils nous aider à le débusquer ?

La Threat Intelligence opérationnelle cherche à répondre au « où » et au « comment » des menaces. L'objectif : armer les équipes de sécurité des informations dont ils ont besoin pour localiser, isoler et remédier aux intrusions dans le réseau. Ce type de CTI prend la forme de rapports journaliers et hebdomadaires à consonance plus technique que la Threat Intelligence stratégique. Ces documents se concentrent sur les modes opératoires et sont ponctués des remarques d'analystes sur les méthodes de persistance, les exploits et les campagnes à observer.

Threat Intelligence tactique : conseils techniques

La CTI tactique est la forme de Threat Intelligence la plus granulaire. Elle rassemble tous les indicateurs associés aux cyberattaquants connus. Communément appelés indicateurs de compromission (IOC, Indicators of Compromise), ces indices sont des artefacts de signatures, d'outils et d'infrastructures utilisés par des cybercriminels connus, lisibles par des machines.

En pratique, La Threat Intelligence tactique prend généralement la forme d'une gestion des IOC. Elle s'assure que les nouveaux IOC détectés concernent directement l'entreprise et proviennent de sources de confiance, puis enrichit les indicateurs en y ajoutant des informations connues sur le cyberattaquant concerné. Là encore, son objectif ultime est d'aider la prise de décision, cette fois-ci pour des analystes de Tier 1 et 2 qui doivent trancher rapidement sur des questions de tri dans un environnement opérationnel souvent saturé, ou encore pour des Red Teams chargés de simuler une attaque.

La CTI tactique doit pour sa part répondre à ce type de question :

  • Quel est le malware utilisé ?
  • À quelle infrastructure de commande et contrôle (CnC) doit-on s'attendre ?
  • Quelles signatures sont associées à quels malwares ?

La Threat Intelligence tactique cherche à répondre au « quoi » des menaces. Pour ce faire, elle opère la fusion de plusieurs types de reporting, principalement l'enrichissement de données et la gestion des IOC, mais aussi des notes écrites comme les alertes à traiter en urgence. En aidant à gérer et valider les IOC, les équipes de Threat Intelligence peuvent peser directement sur l'environnement de sécurité. Enfin, en agrémentant le reporting technique de détails sur les menaces, la Threat Intelligence remplit sa mission d'aide à la décision.

Plus d'infos sur FireEye Threat Intelligence.