Qu’est-ce qu’est vraiment la Cyber Threat Intelligence ?

Qu’est-ce qu’est vraiment la Cyber Threat Intelligence ?

Devenue incontournable et pourtant si peu comprise, la Cyber Threat Intelligence représente l’une des pierres angulaires des stratégies de cybersécurité. 

En se plaçant du point de vue d’un attaquant, l’analyse de la cybermenace permet à la fois de cartographier les failles de son système d’information et de les mettre en corrélation avec le mode opératoire des attaquants. 

Selon l’ANSSI, la Cyber Threat Intelligence (CTI), implique l’ensemble des activités de recueil, d’étude et de partage d’informations liées à des attaques informatiques. Son but est de « fournir des connaissances qualifiées et adaptées à de multiples destinataires souhaitant protéger des systèmes numériques ». 

La CTI  et son ancêtre : le renseignement militaire 

Comment définir le renseignement ? 

Le renseignement se définit comme une donnée (élément général et non contextualisé) devenant une information (équivalent de la matière brute contextualisée et confirmée). Au travers de l’analyse, l’information devient renseignement (équivalent de la matière raffinée, directement actionnable, confirmée et vérifiée).  

Le cycle du renseignement militaire 

Issu du cycle du renseignement militaire, le processus de recueil des informations s’organise en cinq phases. 

Donnée > Information > Renseignement

La phase de cadrage a pour but de définir les attentes du projet de recherche d’information pour cadrer le besoin initial. Il peut s’agir d’une phase pendant laquelle l’analyste va utiliser la méthode du QQQOCP (Qui ? Quoi ? Quand ? Où ? Comment ? Pourquoi ?). 

La période de recherche est la phase de lancement des travaux durant laquelle l’analyste fait le tri entre les informations pertinentes et le reste. Il s’agit également d’une phase pendant laquelle il identifie la fiabilité des sources.  

La phase de collecte permet de recueillir toutes les informations qui ont été jugées pertinentes lors de la phase de recherche.  

La phase d’analyse, au-delà d’être la plus longue, est également la plus cruciale de ce processus. Elle permet d’analyser les différents éléments recueillis et de rédiger les notes de synthèse qui en découlent. 

La phase de diffusion représente la période pendant laquelle le renseignement sera diffusé. Il sera uniquement transmis aux personnes à qui il est destiné, de manière à limiter les risques de diffusion inopinée. Le format de diffusion diffère en fonction des cas et des besoins du commanditaire. 

Comment définir la CTI  aujourd’hui ? 

La CTI est majoritairement présentée en trois catégories, correspondant chacune à une partie de l’analyse de la menace.  

L’ANSSI divise notamment la Cyber Threat Intelligence en trois axes : 

  1. Le niveau stratégique qui oriente les décideurs  
  1. Le niveau opérationnel (TTPs : Tactics, Techniques and Procedures) qui aide à la priorisation des projets de sécurisation 
  1. Le niveau technique (IOCs : Indicator of Compromise) qui alimente les outils de détection et de recherche de compromission 

Le niveau technique de la CTI : les Indicateurs de compromission ou l’identification de la menace au sein de son système d’information (SI) 

Les informations techniques telles que les IoC (indicateurs de compromission) constituent la matière brute sur laquelle les autres niveaux de CTI viendront se baser. Il s’agit d’adresses IP, de noms de domaines ou encore des hash de fichiers malveillants (empreinte propre à chaque fichier). Identifiés au travers d’analyses, le simple fait de trouver l’un de ces marqueurs revient à identifier une compromission de tout ou partie de son système. 

Le niveau opérationnel de la CTI : Tactiques, techniques et procédures ou la compréhension de la logique d’attaque  

Le niveau opérationnel, parfois confondu avec le niveau tactique se caractérise par l’utilisation des éléments issus du niveau technique pour en faire émerger une tendance et une analyse plus précise de la menace. L’analyse de la tactique de l’attaquant permet ainsi de comprendre son but et sa manière d’opérer.  

Plusieurs grilles méthodologiques existent afin d’appréhender au mieux le mode opératoire des attaquants, parmi elles : la plus reconnue est la matrice MITRE ATT&CK. Au travers de ces onze étapes, cette matrice permet d’identifier les différentes actions et angles d’attaque des criminels lors d’une tentative de compromission. 

Parmi les compromissions les plus courantes, les problèmes de configuration sont récurrents et très risqués car ils exposent les services d’une organisation. 

Un exemple concret d’application de la matrice MITRE ATT&CK peut être celui lié au mode opératoire Sandworm. 

En analysant les techniques et tactiques utilisées par les attaquants du groupe Sandworm, on apprend notamment que : 

  • [Initial Access] Le spear-phishing a été utilisé comme porte d’entrée au SI des cibles 
  • [Execution] Les commandes powershell, scripts et pièces jointes contenant des malwares ont ensuite été lancés pour exécuter du code malicieux dans le SI ciblé 
  • [Persistence] et [Privilege Escalation] Le groupe a ensuite utilisé des comptes légitimes existants afin de se maintenir dans le système et procéder à des élévations de privilèges permettant de compromettre davantage d’équipements  
  • [Defense Evasion] Afin d’éliminer ses traces et éviter d’être détecté, le groupe a utilisé un malware spécifique lui permettant d’effacer les données des machines compromises et de remettre à zéro les journaux d’évènements. Le groupe a également tenté d’imiter un autre groupe d’attaquants afin de brouiller les pistes. 

Sans retracer toutes les étapes par lesquelles sont passés les criminels, les techniques listées plus haut ont finalement permis aux attaquants d’accéder aux informations qu’ils souhaitaient et de les récupérer. Au-delà des données exfiltrées, le groupe a également défacé environ 1 500 sites web et eu un impact très important sur certains services vitaux aux États-Unis. 

Le niveau stratégique de la CTI : l’étude des tendances et des menaces ou comment connaitre ses adversaires pour anticiper ses attaques 

Une fois le mode opératoire et les éléments techniques liés identifiés, il est possible d’orienter sa stratégie de sécurité en conséquence. En identifiant les angles d’attaque, les failles et vulnérabilités utilisées par les criminels, vous êtes en capacité d’identifier, d’une part, les menaces pesant sur vos SI, et d’autre part, les briques vulnérables dans celui-ci. 

Une organisation ciblée par du spear-phishing (technique d’hameçonnage avancée) nécessiterait sans doute d’orienter sa stratégie de cyberdéfense sur la sensibilisation de ses employés, mais également sur la mise en place de solutions dédiées au filtrage et à l’analyse du contenu des emails. 

Cette analyse fine basée sur le contexte précis de l’entreprise est l’une des briques sur lesquelles peut se construire la vision globale de la sécurité des systèmes de l’entreprise. 

Par exemple, l’analyse de la menace par secteur d’activité et par zone géographique vient ajouter des éléments de contexte permettant aux décideurs de se préparer aux attaques. La connaissance des modes opératoires de certains groupes d’attaquants, de leurs origines géographiques ou encore de leurs cibles principales permet également d’ajouter des éléments déterminants dans l’analyse des menaces et d’orienter des décisions stratégiques à plus long terme. 


Charles Dagouat

Responsable du CERT-XMCO