Introduction et définition
Les cyberattaques sont de plus en plus nombreuses et de plus en plus complexes. Les modes opératoires des cybercriminels et des cyber activistes s’améliorent, d’où la part importante d’entreprises ne sachant même pas que leur système d’information a été compromis. Ces dernières peuvent prendre plusieurs mois, voire années avant de se rendre compte qu’elles ont subi une intrusion dans leur système d’information.
La Cyber Threat Intelligence, ou renseignement sur la menace en français, vise à répondre à cette problématique en produisant du knownledge (renseignement) afin d’aider à la détection des cyberattaques, mais également à la réduction du temps de réponse en cas d’incident. La CTI est également utilisée de manière plus stratégique en produisant du renseignement pour les décideurs de manière à ce qu’ils puissent prendre des décisions éclairées en matière de cyber.
Le renseignement sur la menace suit le cycle classique du renseignement dont les grandes étapes sont les suivantes :
1. Définition du besoin en intelligence ;
2. Collecte des données ;
3. Process la donnée ;
4. Analyse et production de renseignements ;
5. Distribution ;
6. Planification et exécution.
Une entreprise commence donc par définir son besoin en information (connaissance des menaces cyber émergentes par exemple), collecte les données nécessaires puis les traite et les analyse afin de produire du renseignement sous différentes formes (reporting, feeds, etc.) qu’elle va distribuer au commanditaire pour que ce dernier puisse planifier des actions en conséquence.
Les besoins en CTI sont différents et propres à chaque entité, mais on distingue trois types de CTI : Technique, Tactique et Stratégique.
Intelligence Technique
Intelligence la plus bas niveau, elle est utilisée pour détecter et répondre aux incidents de sécurité le plus efficacement possible. Elle consiste en la production d’indicateurs permettant de caractériser une menace ou de l’identifier. Le principal output est l’Indicator of Compromise (IoC), indicateur de compromission en français. Ce dernier correspond à un élément (signature, hash, IP, nom de domaine, nom de process, etc.) permettant de déterminer le caractère malveillant d’un élément. Un feed contenant des adresses e-mail ayant été déterminées comme liées à une campagne de phishing , qui permet par exemple, de bloquer automatiquement ce type d’attaque avant même qu’un seul e-mail ait été reçu par un employé.
Les équipes de chez DND Agency utilisent par exemple la CTI technique dans leurs missions de Threat Hunting où ils vont scanner des endpoints à la recherche de potentiels IoCs permettant de confirmer ou non la compromission d’un poste.
Intelligence Tactique
L’intelligence tactique vise à contextualiser les menaces rencontrées par une entité, principalement lors d’une réponse à un incident cyber. Elle donne des informations très poussées sur les Tactics, Techniques, and Procedures (TTPs) de groupes d’attaquants, de groupes étatiques, d’activistes… Cela peut permettre lors d’une attaque de déterminer qui est à l’origine de cette dernière et analyser le mode opératoire des attaquants.
L’intérêt de ce type de renseignement est de prioriser les actions à prendre lors d’une réponse à incident, mais également d’être proactif sur les nouveaux éléments émargeante dans le secteur d’activité d’une entreprise.
Intelligence Stratégique
Matière la moins technique, mais la plus importante pour les décideurs, l’intelligence stratégique vise à définir la stratégie cyber d’une entreprise et de lui donner les moyens de l’atteindre. Elle permet de donner une image d’ensemble des tendances cyber ciblant les entreprises de même nature, mais également de voir émerger les risques, patterns et de surveiller les sources de menaces pouvant potentiellement cibler l’entité.
Le but est ici d’être proactif, d’anticiper les menaces, de percevoir les signaux faibles pouvant impacter l’entreprise, mais également améliorer sa stratégie.
Application concrète de la CTI : le cas Pegasus
Pegasus est l’affaire la plus importante en matière de surveillance numérique depuis l’affaire Snowden. De nombreux téléphones de divers corps de métiers ont été compromis. Les groupes et Etats utilisant Pegasus sont en capacité de contrôler un téléphone à distance une fois ce dernier compromis.
Amnesty International, une des parties prenantes de l’investigation, a partagé de la CTI sur cette affaire. Le répertoire github ci-après contient un ensemble d’IoCs trouvé lors de l’analyse forensique de plusieurs terminaux ayant été infectés par Pegasus :
On peut y trouver plusieurs types d’IoCs :
• Des fichiers ;
• Des noms de domaines ;
• Des adresses IP ;
• Des e-mails ;
• Des noms de processus.
Tous ces éléments peuvent être utilisés pour vérifier si un terminal mobile est ou a été infecté par Pegasus. Il suffit pour cela de prendre une image forensique dudit terminal et de chercher la présence d’un de ces éléments.
Conclusion
La Cyber Threat Intelligence est aujourd’hui un élément essentiel dans la sécurisation des actifs d’une entreprise. Les trois types de CTI répondent chacun à un besoin différent allant de l’aspect purement technique à l’analyse de haut niveau permettant de définir la stratégie cyber d’une entité. Pour une utilisation efficace, une entreprise doit bien définir son besoin en la matière et se définir des objectifs qui lui permettront d’améliorer sa sécurité et celle de son information. Il est temps de devenir proactif et d’anticiper les futurs menaces cyber.
