Accueil

Thèmes

Threat Intelligence

En quoi consistent les renseignements sur les menaces ?
Découvrez la solution de renseignements sur les menaces d'IBM Abonnez-vous aux actualités thématiques de sécurité
Illustration d’un collage de pictogrammes représentant des nuages, un téléphone mobile, une empreinte digitale et une coche
En quoi consistent les renseignements sur les menaces ?

Les renseignements sur les menaces, également appelés « renseignements sur les cybermenaces » (CTI) ou « informations sur les menaces », sont des données contenant des informations détaillées sur les menaces de cybersécurité ciblant une organisation.  

Les renseignements sur les menaces aident les équipes de sécurité à être plus proactives, en leur fournissant les moyens de prendre des mesures efficaces et basées sur les données pour prévenir les cyberattaques avant qu'elles ne se produisent. Ils peuvent également aider une organisation à détecter et à répondre plus rapidement aux attaques en cours.

Les analystes en sécurité créent des renseignements sur les menaces en collectant des informations brutes sur les menaces et la sécurité à partir de multiples sources. Ils croisent et analysent ensuite ces données pour découvrir des tendances, des modèles et des relations qui permettent de comprendre en profondeur les menaces réelles ou potentielles. Les renseignements ainsi obtenus sont :

  • Spécifiques à l'organisation, axés non pas sur des généralités (par exemple, des listes de souches courantes de logiciels malveillants) mais sur des vulnérabilités spécifiques dans la surface d'attaque de l'organisation, les attaques qu'elles permettent et les actifs qu'elles exposent.

  • Détaillés et contextualisés, couvrant non seulement les menaces qui ciblent l'entreprise, mais aussi les acteurs de la menace susceptibles de mener les attaques, les tactiques, techniques et procédures (TTP) utilisées par ces acteurs et les indicateurs de compromission (IoC) qui pourraient signaler une cyberattaque spécifique.

  • Exploitables, fournissant des informations que les équipes de sécurité peuvent utiliser pour traiter les vulnérabilités, hiérarchiser les menaces et y remédier, voire évaluer les outils de cybersécurité existants ou nouveaux.

Selon le rapport sur le coût d’une violation de données en 2022 d’IBM, une violation de données coûte en moyenne 4,35 millions de dollars à ses victimes ; les coûts de détection et d'escalade représentent la part la plus importante de ce montant, soit 1,44 million de dollars. Les renseignements sur les menaces peuvent fournir aux équipes de sécurité les informations nécessaires pour détecter les attaques plus tôt, réduisant ainsi les coûts de détection et limitant l'impact des violations réussies.

IBM X-Force Threat Intelligence Index

Obtenez des informations de recherche essentielles et des recommandations pour vous préparer à répondre aux cybermenaces avec plus de rapidité et d'efficacité.

Le cycle de vie des renseignements sur les menaces

Le cycle de vie des renseignements sur les menaces est le processus itératif et continu par lequel les équipes de sécurité produisent, diffusent et améliorent continuellement leurs renseignements sur les menaces. Bien que les détails puissent varier d’une organisation à l’autre, la plupart suivent une version du même processus en six étapes.

Étape 1 : Planification

Les analystes de la sécurité travaillent avec les parties prenantes de l'organisation (dirigeants exécutifs, chefs de service, membres de l'équipe informatique et de sécurité et autres personnes impliquées dans la prise de décision en matière de cybersécurité) pour définir les exigences en matière de renseignement. Celles-ci comprennent généralement des questions sur la cybersécurité auxquelles les parties prenantes veulent ou doivent avoir une réponse. Par exemple, le RSSI peut vouloir savoir si une nouvelle souche de ransomware faisant la une des journaux est susceptible d'affecter l'organisation.

Étape 2 : Collecte des données sur les menaces

L’équipe de sécurité collecte toutes les données brutes sur les menaces qui peuvent contenir les réponses recherchées par les parties prenantes ou y contribuer. Reprenons l'exemple précédent : si une équipe de sécurité enquête sur une nouvelle souche de ransomware, elle peut rassembler des informations sur le gang de ransomware responsable des attaques, les types d'organisations qu'il a ciblées par le passé et les vecteurs d'attaque qu'il a exploités pour infecter ses précédentes victimes.

Ces données sur les menaces peuvent provenir de sources diverses, notamment :

Flux de renseignements sur les menaces : il s'agit de flux d'informations sur les menaces en temps réel. Le terme peut parfois être trompeur : certains flux intègrent des renseignements déjà analysés ou traités, tandis que d'autres consistent en des données brutes. (Ces derniers sont parfois appelés « flux de données sur les menaces ».)

Les équipes de sécurité s'abonnent généralement à plusieurs flux open source et commerciaux. Par exemple,

  • un flux peut suivre les IoC des attaques courantes,
  • un autre flux peut regrouper les actualités sur la cybersécurité,
  • un autre peut fournir des analyses détaillées des souches de logiciels malveillants,
  • et un quatrième peut extraire les réseaux sociaux et le dark web pour les conversations entourant les cybermenaces émergentes.

Tous ces flux contribuent à une meilleure compréhension des menaces.

Communautés de partage d’informations : forums, associations professionnelles et autres communautés où les analystes partagent des expériences de première main, des informations et leurs propres données sur les menaces.

Aux États-Unis, de nombreux secteurs d'infrastructures critiques, tels que les secteurs de la santé, des services financiers et du pétrole et du gaz, exploitent des centres de partage et d'analyse d'informations (ISAC) spécifiques à l'industrie. Ces ISAC se coordonnent via le National Council of ISACs (NSI) (lien externe à ibm.com).

À l'échelle internationale, la plateforme de renseignements open source MISP Threat Sharing (lien externe à ibm.com) prend en charge un certain nombre de communautés de partage d'informations organisées autour de différents sites, secteurs et sujets. Le MISP a reçu le soutien financier de l'OTAN et de l'Union européenne.

Journaux de sécurité internes : données de sécurité internes provenant de systèmes de sécurité et de conformité tels que

  1. SIEM (informations et réponse de sécurité)
  2. SOAR (orchestration, l’automatisation et la réponse à la sécurité)
  3. EDR (détection et réponse des terminaux)
  4. XDR (détection et réponse étendues)
  5. Systèmes de gestion de surface d'attaque (ASM)

Ces données fournissent un enregistrement des menaces et des cyberattaques auxquelles l'organisation a été confrontée et peuvent aider à découvrir des preuves de menaces internes ou externes jusque-là non reconnues.

Les informations provenant de ces sources disparates sont généralement agrégées dans un tableau de bord centralisé, tel qu'un SIEM ou une plateforme de renseignements sur les menaces, pour une gestion plus facile.

Étape 3 : Traitement

À ce stade, les analystes de la sécurité agrègent, standardisent et corrèlent les données brutes qu'ils ont recueillies pour faciliter l'analyse des données. Cela peut comprendre le filtrage des faux positifs ou l'application d'un cadre de renseignement sur les menaces, tel que MITRE ATT&CK, aux données entourant un incident de sécurité précédent.

De nombreux outils de renseignement sur les menaces automatisent ce traitement, en utilisant l’intelligence artificielle (IA) et le machine learning pour corréler les informations sur les menaces provenant de plusieurs sources et identifier les tendances ou les modèles initiaux dans les données.

Étape 4 : Analyse

L'analyse est le moment où les données brutes sur les menaces deviennent de véritables renseignements sur les menaces. À ce stade, les analystes de la sécurité testent et vérifient les tendances, les modèles et d'autres informations qu'ils peuvent utiliser pour répondre aux exigences de sécurité des parties prenantes et faire des recommandations.

Par exemple, si les analystes de la sécurité découvrent que le gang lié à une nouvelle souche de ransomware a ciblé d'autres entreprises du secteur des organisations, l'équipe peut identifier des vulnérabilités spécifiques dans l'infrastructure informatique de l'organisation que le gang est susceptible d'exploiter, ainsi que des contrôles de sécurité ou correctifs susceptibles d'atténuer ou d'éliminer ces vulnérabilités.

Étape 5 : Dissémination

L'équipe de sécurité partage ses points de vue et ses recommandations avec les parties prenantes concernées. Des mesures peuvent être prises sur la base de ces recommandations, telles que l'établissement de nouvelles règles de détection SIEM pour cibler les IoC nouvellement identifiés ou la mise à jour des listes noires de pare-feu pour bloquer le trafic provenant d'adresses IP suspectes nouvellement identifiées.

De nombreux outils de renseignement sur les menaces intègrent et partagent des données avec des outils de sécurité tels que SOAR ou XDR, pour générer automatiquement des alertes pour les attaques actives, attribuer des scores de risque pour la hiérarchisation des menaces ou déclencher d'autres actions.

Étape 6. Retour d'information

À ce stade, les parties prenantes et les analystes réfléchissent au cycle de renseignements sur les menaces le plus récent pour déterminer si les exigences ont été respectées. Toute nouvelle question qui se pose ou toute nouvelle lacune en matière de renseignement identifiée peut éclairer la prochaine étape du cycle de vie.

Types de renseignement sur les menaces

Le cycle de vie du renseignement sur les menaces produit différents types de renseignements en fonction des parties prenantes impliquées, des exigences définies et des objectifs généraux d'une instance donnée du cycle de vie. Il existe trois grandes catégories de renseignements sur les menaces :

Le renseignement tactiques sur les menaces est utilisé par le centre des opérations de sécurité (SOC) pour détecter et répondre aux cyberattaques en cours. Il se concentre généralement sur les IoC courants, par exemple les adresses IP associées aux serveurs de commande et de contrôle, les hachages de fichiers liés aux attaques de logiciels malveillants et de ransomwares connus, ou les lignes d'objet des e-mails associées aux attaques de hameçonnage.

En plus d’aider les équipes de réponse aux incidents à filtrer les faux positifs et à intercepter les attaques authentiques, les informations sur les menaces tactiques sont également utilisées par les équipes de recherche de menaces pour traquer les menaces persistantes avancées (APT) et d'autres pirates actifs mais cachés.

Les renseignements opérationnels sur les menaces aide les entreprises à anticiper et à prévenir les attaques futures. On l'es appelle parfois « renseignements techniques sur les menaces », car il détaille les TTP et les comportements des acteurs de la menace connus, par exemple, les vecteurs d'attaque qu'ils utilisent, les vulnérabilités qu'ils exploitent et les actifs qu'ils ciblent.

Les RSSI, DSI et autres décideurs en matière de sécurité de l'information utilisent les renseignements opérationnels sur les menaces pour identifier les acteurs de la menace qui sont susceptibles d'attaquer leurs entreprises, et répondent avec des contrôles de sécurité et d'autres actions visant spécifiquement à contrecarrer leurs attaques.

Les renseignements stratégiques sur les menaces sont des renseignements de haut niveau sur le paysage mondial des menaces et la place qu'y occupe une organisation. Les renseignements stratégiques sur les menaces permettent aux décideurs extérieurs à l’informatique, comme les PDG et autres cadres, de comprendre les cybermenaces auxquelles leur organisation est confrontée.

Les renseignements stratégiques sur les menaces se concentrent généralement sur des questions telles que les situations géopolitiques, les tendances en matière de cybermenaces dans un secteur particulier ou la manière et la raison pour lesquelles certains actifs stratégiques de l'organisation peuvent être ciblés. Les parties prenantes utilisent les renseignements stratégiques sur les menaces pour aligner les stratégies et les investissements plus larges de gestion des risques organisationnels sur le paysage des cybermenaces.

Solutions connexes
Services IBM X-Force Threat Intelligence  

Tirez parti d’une équipe d’analystes du renseignement de classe mondiale pour comprendre l’évolution du paysage des menaces et les dernières techniques utilisées par les acteurs malveillants.

Découvrir les services de renseignements sur les menaces
Solutions de détection et de réponse aux menaces

Tirez parti des solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.

Découvrez les solutions de détection et de réponse aux menaces
Solutions IA d'IBM pour la cybersécurité

Des solutions transformatrices alimentées par l’IA qui optimisent le temps des analystes en accélérant la détection des menaces ainsi que le déploiement de réponses, et en protégeant l’identité des internautes et les jeux de données.

En savoir plus sur les solutions de cybersécurité basées sur l'IA
Ressources Rapport sur le coût d’une violation de données

Préparez-vous au mieux pour faire face aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations.

Qu’est-ce que la gestion des menaces ?

La gestion des menaces est un processus utilisé par les professionnels de la cybersécurité pour prévenir les cyberattaques, détecter les cybermenaces et répondre aux incidents de sécurité.

Qu'est-ce que la chasse aux menaces ?

La recherche de menaces est une approche proactive permettant d’identifier les menaces inconnues ou permanentes non corrigées au sein du réseau d’une organisation.

Passer à l’étape suivante

Les services de cybersécurité d’IBM fournissent des services de conseil, d’intégration et de sécurité gérés ainsi que des capacités offensives et défensives. Nous associons une équipe mondiale d’experts à des technologies propriétaires et partenaires pour créer conjointement des programmes de sécurité personnalisés qui gèrent les risques.

Découvrir les services de cybersécurité Abonnez-vous à la Think Newsletter