Qu’est-ce que la chasse aux menaces ?
La chasse aux menaces, également appelée chasse aux cybermenaces, est une approche proactive qui permet d’identifier les menaces inconnues ou en cours non corrigées, au sein du réseau d’une organisation.
Homme assis devant son ordinateur portable contre une fenêtre le soir
Pourquoi la chasse aux menaces est important

La chasse aux menaces est importante, car les menaces sophistiquées peuvent contourner la cybersécurité automatisée. Bien que les outils de sécurité automatisés et les analystes des centres d’opérations de sécurité (SOC) de niveaux 1 et 2 soient capables de traiter environ 80 % des menaces, vous devez toujours vous soucier des 20 % restants. Les 20 % de menaces restantes sont plus susceptibles d’inclure des menaces sophistiquées qui peuvent causer des dommages importants. Avec suffisamment de temps et de ressources, elles s’infiltreront dans n’importe quel réseau et éviteront la détection jusqu’à 280 jours en moyenne. Une chasse aux menaces efficace permet de réduire le délai entre l’intrusion et sa découverte, réduisant ainsi la quantité de dégâts causés par les attaquants.

Les attaquants se cachent souvent pendant des semaines, voire des mois, avant d’être découverts. Ils attendent patiemment de siphonner les données et de découvrir suffisamment d’informations confidentielles ou de données d’identification pour débloquer des accès supplémentaires, ouvrant ainsi la voie à une violation de données importante. Combien de dégâts les menaces potentielles peuvent-elles causer ? Selon le rapport « "Cost of a Data Breach »," une violation de données coûte en moyenne près de 4 millions de dollars à une entreprise. Et les effets néfastes d’une violation peuvent persister pendant des années. Plus le délai entre la défaillance du système et la réponse déployée est long, plus cela peut coûter cher à une organisation.


Comment fonctionne la chasse aux menaces

Un programme de chasse aux menaces réussi est basé sur la fertilité des données d’un environnement. En d’autres termes, une organisation doit d’abord avoir un système de sécurité d’entreprise en place, qui collecte des données. Les informations recueillies à partir de celui-ci fournissent des indices précieux pour les chasseurs de menaces.

Les chasseurs de cybermenaces apportent un élément humain à la sécurité de l’entreprise en venant en renfort des systèmes automatisés. Ce sont des professionnels qualifiés de la sécurité informatique qui recherchent, consignent, surveillent et neutralisent les menaces avant qu’elles ne causent de graves problèmes. Idéalement, ce sont des analystes sécurité au sein du service informatique de l’entreprise qui en connaissent bien les opérations, mais il peut également s’agir d’analystes externes.

L’art de la traque des menaces consiste à déceler les inconnues de l’environnement. Cela va au-delà des technologies de détection traditionnelles, telles que  la gestion des informations et des événements liés à la sécurité (SIEM), la détection et la réponse des points de terminaison (EDR) et autres. Les chasseurs de menaces passent au peigne fin les données de sécurité. Ils recherchent les logiciels malveillants ou les attaquants cachés et les modèles d’activité suspecte qu’un ordinateur a peut-être manqués ou jugés résolus alors qu’ils ne le sont pas. Ils aident également à corriger le système de sécurité de l’entreprise pour empêcher ce type de cyberattaque de se reproduire.


Types de chasse aux menaces

Les chasseurs commencent par une hypothèse basée sur des données de sécurité ou un déclencheur. L’hypothèse ou le déclencheur servent de tremplin pour un examen plus approfondi des risques potentiels. Et ces investigations plus approfondies prennent la forme de chasses structurées, non structurées et situationnelles.

Chasse structurée

Une chasse structurée est basée sur un indicateur d’attaque (IoA) et les tactiques, techniques et procédures (TTP) d’un attaquant. Toutes les chasses sont alignées et basées sur les TTP des acteurs de la menace. Par conséquent, le chasseur peut généralement identifier un acteur de menaces avant même que l’attaquant puisse causer des dommages à l’environnement. Ce type de traque utilise le framework MITRE ATT&CK (Adversary Tactics Techniques and Common Knowledge) (lien externe à ibm.com), en combinant à la fois les frameworks PRE-ATT&CK et d’entreprise.

Chasse non structurée

Une chasse non structurée est lancée sur la base d’un déclencheur, l’un des nombreux indicateurs de compromission (IoC). Ce déclencheur incite souvent un chasseur à rechercher des modèles de pré-détection et de post-détection. En guidant sa démarche, le chasseur peut rechercher aussi loin que la conservation des données et les infractions précédemment associées le permettent.

Chasse situationnelle ou dirigée par une entité

Une hypothèse situationnelle provient de l’évaluation interne des risques d’une entreprise ou d’une analyse des tendances et des vulnérabilités propres à son environnement informatique. Les pistes axées sur les entités proviennent de données d’attaques de sources multiples qui, une fois examinées, révèlent les dernières TTP des cybermenaces actuelles. Un chasseur de menaces peut alors rechercher ces comportements spécifiques dans l’environnement.


Modèles de chasse
Chasse basée sur des renseignements

La chasse basée sur des renseignements est un  modèle de chasse  réactif (lien externe à ibm.com)  qui utilise les IoC provenant de sources de renseignement sur les menaces. À partir de là, la chasse suit des règles prédéfinies établies par les informations sur la sécurité et la gestion des événements et les renseignements sur les menaces.

Les traques basées sur Intel peuvent utiliser des IoC (indicateurs de compromission), des valeurs de hachage, des adresses IP, des noms de domaine, des réseaux ou des artefacts d’hôte fournis par des plateformes de partage de renseignements telles que les équipes d’intervention d’urgence informatique (CERT). Une alerte automatisée peut être exportée à partir de ces plateformes et saisie dans la solution SIEM (gestion des informations et des événements liés à la sécurité) en tant qu’expression structurée d’informations sur les menaces (STIX) (lien externe à ibm.com) et en tant qu’échange automatisé de confiance d’informations de renseignements (TAXIII) (lien externe à ibm.com). Une fois que la solution SIEM a reçu l’alerte basée sur un IoC, le chasseur de menaces peut enquêter sur l’activité malveillante avant et après l’alerte pour identifier toute compromission dans l’environnement.

Chasse basée sur des hypothèses

La traque aux hypothèses est un modèle de traque proactif qui utilise une bibliothèque de traque des menaces. Elle est alignée sur le framework MITRE ATT&CK et utilise des scénarios de détection mondiaux pour identifier les groupes de menaces persistantes avancées et les attaques par logiciels malveillants.

Les traques basées sur des hypothèses utilisent les indicateurs d’attaque (IOA) et les tactiques, techniques et procédures (TTP) des attaquants. Le chasseur identifie les acteurs de la menace en fonction de l’environnement, du domaine et des comportements d’attaque utilisés pour créer une hypothèse alignée sur le framework MITRE. Une fois qu’un comportement est identifié, le chasseur de menaces surveille les modèles d’activité pour détecter, identifier et isoler la menace. Le chasseur peut alors détecter de manière proactive les acteurs des menaces avant qu’ils ne puissent endommager un environnement.

Chasse personnalisée

La chasse personnalisée est basée sur la connaissance de la situation et des méthodologies de chasse sectorielles. Elle identifie les anomalies dans les outils SIEM et EDR et est personnalisable en fonction des besoins des clients.

Les traques personnalisées ou situationnelles sont basées sur les exigences des clients ou exécutées de manière proactive en fonction de situations telles que des problèmes géopolitiques et des attaques ciblées. Ces activités de chasse peuvent s’appuyer sur des modèles de chasse basés sur des renseignements et des hypothèses utilisant les informations IoA et Io.

Techniques de chasse aux menaces : guide d’initiation rapide

Outils de chasse aux menaces

Les chasseurs utilisent les données MDR, SIEM et des outils d’analyse de sécurité comme base pour la chasse aux menaces. Ils peuvent également utiliser d’autres outils, tels que des analyseurs packer, pour exécuter des recherches basées sur le réseau. Cependant, l’utilisation d’outils SIEM et MDR nécessite que toutes les sources et tous les outils essentiels dans un environnement soient intégrés. Cette intégration garantit que les indices IoA et IoC peuvent fournir une direction de chasse adéquate.


Quelle est la différence entre la chasse aux menaces et le renseignement sur les menaces ?

Le renseignement sur les menaces est un ensemble de données sur les tentatives d’intrusion ou les intrusions réussies, généralement collectées et analysées par des systèmes de sécurité automatisés avec apprentissage automatique et IA.

La chasse aux menaces utilise ce renseignement pour effectuer une recherche minutieuse des acteurs nuisibles à l’échelle de tout le système. En d’autres termes, la chasse aux menaces commence là où s’arrête le renseignement sur les menaces. De plus, une traque aux menaces réussie peut identifier des menaces qui n’ont pas encore été repérées dans la nature.

En outre, la traque des menaces utilise des indicateurs de menace comme pistes ou hypothèses de traque. Les indicateurs de menace sont des empreintes virtuelles laissées par un logiciel malveillant ou un attaquant, une adresse IP étrange, des e-mails de phishing ou tout autre trafic réseau inhabituel.


Solutions connexes

Chasse aux cybermenaces

Améliorez considérablement les taux de détection et accélérez le temps de détection, d’investigation et de résolution des menaces. Découvrez comment démarrer votre propre programme de chasse aux cybermenaces.


Détection et réponse gérées

IBM Security Managed Detection and Response (MDR) offre une capacité clé en main de prévention, de détection et de réponse aux menaces 24 h/24 et 7 j/7. Les chasseurs de menaces proactifs d’IBM travaillent avec les organisations pour les aider à identifier leurs données précieuses et leurs préoccupations critiques.


Gestion des informations et des événements liés à la sécurité (SIEM)

Établissez les bases de votre SIEM et développez un programme complet qui peut être complété en fonction de l’évolution de la situation. Identifiez les menaces internes, suivez les unités de points de terminaison, sécurisez le cloud et gérez la conformité avec IBM Security.


Orchestration, automatisation et réponse aux incidents de sécurité (SOAR)

La détection des menaces ne constitue que la moitié de l’équation de sécurité. Pour améliorer votre centre d’opérations de sécurité (SOC), vous devriez également envisager une réponse intelligente aux incidents et une plateforme unique et intégrée d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) avec des services gérés.


Services de sécurité offensive

Trouvez et corrigez vos vulnérabilités connues et inconnues les plus critiques avec X-Force® Red. Cette équipe autonome de hackers chevronnés travaille avec IBM pour tester votre sécurité et découvrir les faiblesses que les attaquants criminels peuvent utiliser à des fins personnelles.