En quoi consistent les renseignements sur les menaces ?

Auteur

Matthew Kosinski

Staff Editor

IBM Think

En quoi consistent les renseignements sur les menaces ?

Dénommés également renseignement sur les cybermenaces (CTI) ou intelligence sur les menaces, les renseignements sur les menaces sont des informations détaillées et exploitables sur les menaces de cybersécurité. Ils aident les équipes de sécurité à adopter une approche plus proactive pour détecter, atténuer et prévenir les cyberattaques.

Plus que de simples informations brutes sur les menaces, les renseignements sur les menaces sont des informations corrélées et analysées pour donner aux professionnels de la sécurité une compréhension approfondie des menaces potentielles auxquelles leur organisation est confrontée, ainsi que des moyens de les arrêter.

Plus précisément, les renseignements sur les menaces présentent trois caractéristiques clés qui les distinguent des informations brutes sur les menaces :  

  • Ils sont spécifiques à l’organisation : les renseignements sur les menaces vont au-delà des informations générales sur les menaces et les attaques hypothétiques. Ils se focalisent plutôt sur la situation unique de l’organisation : les vulnérabilités spécifiques de la surface d’attaque de l’organisation, les attaques que ces vulnérabilités permettent et les actifs qu’elles exposent. 

  • Ils sont détaillés et contextuels : les renseignements sur les menaces ne couvrent pas seulement les menaces potentielles pour une organisation. Ils couvrent également les acteurs des menaces à l’origine des attaques, les tactiques, techniques et procédures (TTP) qu’ils emploient et les indicateurs de compromission (IOC) qui pourraient signaler une cyberattaque réussie. 

  • Ils sont exploitables : les renseignements sur les menaces fournissent aux équipes de sécurité de l’information des informations qu’elles peuvent exploiter pour corriger les vulnérabilités, hiérarchiser les menaces, remédier aux risques et améliorer la posture de sécurité globale.

Selon le rapport sur le coût d’une violation de données d’IBM, une violation entraîne en moyenne un coût de 4,44 millions de dollars pour l’entreprise victime. Les coûts de détection et de remontée des incidents représentent la part la plus importante de ce montant, soit 1,47 million de dollars.

Les programmes de renseignements sur les menaces fournissent aux professionnels de la sécurité les informations nécessaires pour détecter les attaques plus rapidement, voire les arrêter complètement. Ces réponses accélérées et plus efficaces permettent de réduire les coûts de détection et de limiter considérablement l’impact des violations.

Newsletter Think

Votre équipe sera-t-elle en mesure de repérer la prochaine attaque de type zero-day à temps ?

Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.

Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.

https://www.ibm.com/fr-fr/privacy

Le cycle de vie des renseignements sur les menaces

Le cycle de vie des renseignements sur les menaces est le processus itératif et continu par lequel les équipes de sécurité produisent et partagent ces renseignements. Bien que les détails puissent varier d’une organisation à l’autre, la plupart des équipes de renseignements sur les menaces suivent une version du même processus en six étapes.

Étape 1 : planification

Les analystes en sécurité travaillent avec les parties prenantes de l’organisation pour définir les besoins en matière de renseignements. Ces parties prenantes peuvent être des dirigeants, des chefs de service, des membres des équipes informatiques et de sécurité et toute autre personne impliquée dans la prise de décision en matière de cybersécurité.  

Les besoins en matière de renseignement sont définis par les questions que les parties prenantes se posent au sujet des menaces. Par exemple, le responsable de la sécurité des systèmes d’information (RSSI) peut vouloir savoir si une nouvelle souche de ransomware faisant la une des journaux est susceptible d’affecter l’entreprise.

Étape 2 : collecte des données sur les menaces

L’équipe de sécurité collecte des données brutes sur les menaces pour répondre aux exigences en matière de renseignement et aux questions des parties prenantes.

Ainsi, si une équipe de sécurité enquête sur une nouvelle souche de ransomware, elle peut recueillir des informations sur le groupe de ransomware à l’origine des attaques. L’équipe peut également examiner les types d’organisations ciblées par le passé et les vecteurs d’attaque exploités pour infecter les victimes précédentes.

Ces données sur les menaces peuvent provenir de diverses sources. Voici quelques-unes des plus courantes :

Flux de renseignement sur les menaces

Les flux de renseignements sur les menaces sont des flux d’informations sur les menaces en temps réel. Le terme peut parfois être trompeur : certains flux intègrent des renseignements déjà analysés ou traités, tandis que d’autres consistent en des données brutes. (Ces derniers sont parfois appelés flux de données sur les menaces.)

Les équipes de sécurité s’abonnent généralement à plusieurs flux open source et commerciaux fournis par divers services de renseignements sur les menaces. Différents flux peuvent couvrir différents sujets.

Par exemple, une organisation peut disposer de flux distincts pour chacun des objectifs suivants :

  • Suivi des indices de compromission des attaques courantes

  • Agrégation de l’actualité sur la cybersécurité

  • Analyses détaillées des nouvelles souches de logiciels malveillants

  • Fouille des réseaux sociaux et du dark web à la recherche de conversations sur les cybermenaces émergentes

Communautés de partage d’informations

Les communautés de partage d’informations sont des forums, des associations professionnelles et d’autres communautés où les analystes partagent entre eux des expériences de première main, des idées, des données sur les menaces et d’autres renseignements.  

Aux États-Unis, de nombreux secteurs d’infrastructures critiques (tels que les industries de la santé, des services financiers, du pétrole et du gaz) exploitent des centres de partage et d’analyse de l’information (ISAC) spécifiques à leur secteur. Ces ISAC se coordonnent entre eux par l’intermédiaire du National Council of ISACs (NSI).

À l’échelle internationale, la plateforme de renseignements open source MISP Threat Sharing prend en charge un certain nombre de communautés de partage d’informations organisées autour de différents sites, secteurs et sujets. MISP a reçu le soutien financier de l’OTAN et de l’Union européenne.

Journaux de sécurité internes

Les données issues des solutions de sécurité interne et des systèmes de détection des menaces peuvent fournir des informations précieuses sur les cybermenaces réelles et potentielles. Les sources courantes de journaux de sécurité interne comprennent :

Les journaux de sécurité internes fournissent un enregistrement des menaces et des cyberattaques auxquelles l’organisation a été confrontée, et ils peuvent aider à révéler des preuves jusque-là méconnues de menaces internes ou externes.

Les informations provenant de ces sources disparates sont généralement agrégées dans un tableau de bord centralisé, tel qu’une solution SIEM ou une plateforme de renseignement sur les menaces, pour faciliter la gestion et automatiser le traitement.

Étape 3 : traitement

À ce stade, les analystes de sécurité regroupent, standardisent et mettent en corrélation les données brutes qu’ils ont recueillies afin de faciliter l’analyse. Le traitement peut inclure l’application de MITRE ATT&CK ou d’un autre cadre de renseignements sur les menaces pour contextualiser les données, filtrer les faux positifs et regrouper les incidents similaires.

De nombreux outils de renseignements sur les menaces automatisent ce traitement à l’aide de l’intelligence artificielle (IA) et du machine learning pour corréler les informations sur les menaces provenant de sources multiples et identifier les tendances ou les modèles initiaux dans les données. Certaines plateformes de renseignements sur les menaces intègrent désormais des modèles d’IA générative qui peuvent aider à interpréter les données sur les menaces et à générer des marches à suivre basées sur leur analyse.

Étape 4 : analyse

Cette analyse est le moment où les données brutes sur les menaces deviennent de véritables renseignements sur les menaces. À ce stade, les analystes en sécurité extraient les informations dont ils ont besoin pour répondre aux exigences en matière de renseignements et planifier leurs étapes suivantes.

Les analystes en sécurité peuvent ainsi découvrir que le gang lié à une nouvelle souche de ransomware a ciblé d’autres entreprises du secteur de l’organisation. Cette découverte indique que cette souche peut également représenter un problème pour elle.  

Grâce à ces informations, l’équipe peut identifier les vulnérabilités de l’infrastructure informatique de l’organisation que le gang pourrait exploiter et les contrôles de sécurité qu’elle peut mettre en place pour les atténuer.

Étape 5 : dissémination

L’équipe de sécurité partage ses conclusions et recommandations avec les parties prenantes concernées. Différentes mesures peuvent être prises sur la base de ces recommandations, telles que la mise en place de nouvelles règles de détection SIEM pour cibler les indicateurs de menace récemment identifiés, ou encore la mise à jour des pare-feux pour bloquer les adresses IP et les noms de domaine suspects.

De nombreux outils de renseignements sur les menaces intègrent et partagent des données avec des outils de sécurité tels que les SOAR, les XDR et les systèmes de gestion des vulnérabilités. Ces outils peuvent exploiter ces renseignements pour générer automatiquement des alertes en cas d’attaques actives, attribuer des scores de risque pour hiérarchiser les menaces et initier d’autres actions de réponse.

Étape 6 : retour d’information

À ce stade, les parties prenantes et les analystes réfléchissent au cycle de renseignements sur les menaces le plus récent pour déterminer si les exigences ont été respectées. Toute nouvelle question qui se pose ou toute nouvelle lacune en matière de renseignement identifiée peut éclairer la prochaine étape du cycle de vie.

Types de renseignement sur les menaces

Les équipes de sécurité produisent et emploient différents types de renseignements, en fonction de leurs objectifs. Ceux-ci comprennent :

Renseignements tactiques sur les menaces

Les renseignements tactiques sur les menaces aident les centres d’opérations de sécurité (SOC) à prévoir les attaques futures et à mieux détecter les attaques en cours.

Ces renseignements identifient généralement les indicateurs de compromission courants, tels que les adresses IP associées aux serveurs de commande et de contrôle, les hachages de fichiers d’attaques de logiciels malveillants connus ou les objets des e-mails d’attaques de phishing.

En plus d’aider les équipes de réponse aux incidents à intercepter les attaques, les renseignements tactiques sur les menaces sont également utilisés par les équipes de traque des menaces pour localiser les menaces persistantes avancées (APT) et autres attaquants actifs mais masqués.
Renseignement opérationnel sur les menaces

Les renseignements opérationnels sur les menaces sont plus larges et plus techniques que les renseignements tactiques. Ils visent à comprendre les TTP et les comportements des acteurs malveillants, c’est-à-dire les vecteurs d’attaque employés, les vulnérabilités exploitées, les actifs ciblés et d’autres caractéristiques distinctives.

Les décideurs en matière de sécurité de l’information se servent des renseignements opérationnels sur les menaces pour identifier les acteurs susceptibles d’attaquer leurs organisations et déterminer les contrôles de sécurité et les stratégies d’atténuation qui peuvent efficacement déjouer leurs attaques.
Renseignements stratégiques sur les menaces

Les renseignements stratégiques sur les menaces sont des renseignements de haut niveau sur le paysage mondial des menaces et la place qu’y occupe une organisation. Ils permettent aux décideurs extérieurs à l’informatique, comme les PDG et autres cadres, de comprendre les cybermenaces auxquelles leur organisation est confrontée.

Les renseignements stratégiques sur les menaces se concentrent généralement sur des questions telles que les situations géopolitiques, les tendances en matière de cybermenaces dans un secteur particulier ou la manière et la raison pour lesquelles certains actifs stratégiques de l’organisation peuvent être ciblés. Les parties prenantes utilisent les renseignements stratégiques sur les menaces pour aligner les stratégies et les investissements plus larges de gestion des risques organisationnels sur le paysage des cybermenaces.
Solutions connexes
Services de gestion des menaces

Prévoyez, prévenez et répondez aux menaces modernes pour accroître la résilience de l’entreprise.

 

 Découvrir les services de gestion des menaces
Solutions de détection et de réponse aux menaces

Utilisez les solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.

 Découvrir les solutions de détection des menaces
Solutions de défense contre les menaces mobiles (MTD)

Protégez votre environnement mobile avec les solutions complètes de défense contre les menaces mobiles d’IBM MaaS360.

 Explorer les solutions de défense contre les menaces mobiles
Passez à l’étape suivante

Bénéficiez de solutions complètes de gestion des menaces, afin de protéger votre entreprise avec compétence contre les cyberattaques.

 Découvrir les services de gestion des menaces Demander une séance d’information sur les menaces