Les renseignements sur les menaces, également appelés « renseignements sur les cybermenaces » (CTI) ou « informations sur les menaces », sont des données contenant des informations détaillées sur les menaces de cybersécurité ciblant une organisation. Le renseignement sur les menaces aide les équipes de sécurité à être plus proactives, leur permettant de prendre des mesures efficaces et basées sur les données pour prévenir les cyberattaques avant qu'elles ne se produisent. Cela peut également aider une organisation à mieux détecter et répondre aux attaques en cours.

Les analystes de la sécurité créent des renseignements sur les menaces en recueillant des informations brutes sur les menaces et liées à la sécurité à partir de plusieurs sources, puis en corrélant et en analysant les données pour découvrir les tendances, les modèles et les relations qui fournissent une compréhension approfondie des menaces réelles ou potentielles. Le renseignement qui en résulte est

• Spécifique à l'organisation, axé non pas sur des généralités (par exemple, des listes de souches de logiciels malveillants courants) mais sur des vulnérabilités spécifiques dans la surface d'attaque de l'organisation, les attaques qu'elles permettent et les actifs qu'elles exposent
  
  
• Détaillé et contextuel, couvrant non seulement les menaces ciblant l'entreprise mais les acteurs de la menace qui peuvent mener les attaques, les tactiques, techniques et procédures (TTP) que ces acteurs de la menace utilisent, et les indicateurs de compromis (IoC) qui peuvent signaler une cyberattaque spécifique
  
  
• Actionnable, fournissant des informations que les équipes de sécurité peuvent utiliser pour traiter les vulnérabilités, hiérarchiser et corriger les menaces, et même évaluer les outils de cybersécurité existants ou nouveaux.

Selon le rapport IBM Coût d'une violation de données 2022, une violation de données moyenne coûte à ses victimes 4,35 millions USD ; les coûts de détection et d'escalade représentent la part la plus importante de ce prix, soit 1,44 million USD. Le renseignement sur les menaces peut fournir aux équipes de sécurité les informations dont elles ont besoin pour détecter les attaques plus tôt, réduisant ainsi les coûts de détection et limitant l'impact des violations réussies. 

Le cycle de vie des renseignements sur les menaces est le processus itératif et continu par lequel les équipes de sécurité produisent, diffusent et améliorent continuellement leur renseignement sur les menaces. Bien que les détails puissent varier d'une organisation à l'autre, la plupart suivent une version du même processus en six étapes.

Étape 1 : Planification

Les analystes de la sécurité travaillent avec les parties prenantes de l'organisation (dirigeants exécutifs, chefs de service, membres de l'équipe informatique et de sécurité et autres personnes impliquées dans la prise de décision en matière de cybersécurité) pour définir les exigences en matière de renseignement. Celles-ci comprennent généralement des questions sur la cybersécurité auxquelles les parties prenantes veulent ou doivent avoir une réponse. Par exemple, le RSSI peut vouloir savoir si une nouvelle souche de ransomware faisant la une des journaux est susceptible d'affecter l'organisation.

Étape 2 : collecte de données sur les menaces

L'équipe de sécurité recueille toutes les données brutes sur les menaces susceptibles de suspendre ou de contribuer aux réponses recherchées par les parties prenantes. Poursuivant l'exemple ci-dessus, si une équipe de sécurité enquête sur une nouvelle souche de ransomware, l'équipe peut recueillir des informations sur le gang de ransomware derrière les attaques, les types d'organisations qu'ils ont ciblées dans le passé et les vecteurs d'attaque qu'ils ont exploités pour infecter les victimes précédentes.

Ces données sur les menaces peuvent provenir de diverses sources, notamment :

Flux de renseignements sur les menaces : flux d'informations sur les menaces en temps réel. Le nom est parfois trompeur : alors que certains flux comprennent des renseignements sur les menaces traités ou analysés, d'autres se composent de données brutes sur les menaces. (Ces derniers sont parfois appelés « flux de données sur les menaces ».)

Les équipes de sécurité s'abonnent généralement à plusieurs flux open source et commerciaux. Par exemple, un flux peut suivre les IoC des attaques courantes, un autre flux peut regrouper les actualités sur la cybersécurité, un autre peut fournir des analyses détaillées des souches de logiciels malveillants, et un quatrième peut extraire les réseaux sociaux et le dark web pour les conversations entourant les cybermenaces émergentes. Tout cela peut contribuer à une meilleure compréhension des menaces.

Communautés de partage d'informations : forums, associations professionnelles et autres communautés où les analystes partagent des expériences de première main, des informations et leurs propres données sur les menaces.

Aux États-Unis, de nombreux secteurs d'infrastructures critiques, tels que les secteurs de la santé, des services financiers et du pétrole et du gaz, exploitent des centres de partage et d'analyse d'informations (ISAC) spécifiques à l'industrie. Ces ISAC se coordonnent via le National Council of ISACs (NSI) (lien externe à ibm.com). À l'échelle internationale, la plate-forme de renseignements open source MISP Threat Sharing (lien externe à ibm.com) prend en charge un certain nombre de communautés de partage d'informations organisées autour de différents sites, secteurs et sujets. Le MISP a reçu le soutien financier de l'OTAN et de l'Union européenne.

Journaux de sécurité internes : données de sécurité internes provenant de systèmes de sécurité et de conformité tels que SIEM (informations et réponse de sécurité), SOAR (orchestration de la sécurité, automatisation et réponse), EDR (détection et réponse des terminaux), XDR (détection et réponse étendues) et attaque systèmes de gestion de surface (ASM). Ces données fournissent un enregistrement des menaces et des cyberattaques auxquelles l'organisation a été confrontée et peuvent aider à découvrir des preuves de menaces internes ou externes jusque-là non reconnues.

Les informations provenant de ces sources disparates sont généralement agrégées dans un tableau de bord centralisé, tel qu'un SIEM ou une plate-forme de renseignements sur les menaces, pour une gestion plus facile.

Étape 3 : Traitement

À ce stade, les analystes de la sécurité agrègent, standardisent et corrèlent les données brutes qu'ils ont recueillies pour faciliter l'analyse des données afin d'obtenir des informations. Cela peut comprendre le filtrage des faux positifs ou l'application d'un cadre de renseignement sur les menaces, tel que MITRE ATT&CK, aux données entourant un incident de sécurité précédent, afin de mieux

De nombreux outils de renseignement sur les menaces automatisent ce traitement, en utilisant l'intelligence artificielle (IA) et l'apprentissage automatique pour corréler les informations sur les menaces provenant de plusieurs sources et identifier les tendances ou les modèles initiaux dans les données.

Étape 4 : Analyse

L'analyse est le moment où les données brutes sur les menaces deviennent de véritables renseignements sur les menaces. À ce stade, les analystes de la sécurité testent et vérifient les tendances, les modèles et d'autres informations qu'ils peuvent utiliser pour répondre aux exigences de sécurité des parties prenantes et faire des recommandations.

Par exemple, si les analystes de la sécurité découvrent que le gang lié à une nouvelle souche de ransomware a ciblé d'autres entreprises du secteur des organisations, l'équipe peut identifier des vulnérabilités spécifiques dans l'infrastructure informatique de l'organisation que le gang est susceptible d'exploiter, ainsi que des contrôles de sécurité ou correctifs susceptibles d'atténuer ou d'éliminer ces vulnérabilités.

Étape 5. Dissémination

L'équipe de sécurité partage ses réflexions et recommandations avec les acteurs concernés. Des mesures peuvent être prises sur la base de ces recommandations, telles que l'établissement de nouvelles règles de détection SIEM pour cibler les IoC nouvellement identifiés ou la mise à jour des listes noires de pare-feu pour bloquer le trafic provenant d'adresses IP suspectes nouvellement identifiées. De nombreux outils de renseignement sur les menaces intègrent et partagent des données avec des outils de sécurité tels que SOAR ou XDR, pour générer automatiquement des alertes pour les attaques actives, attribuer des scores de risque pour la hiérarchisation des menaces ou déclencher d'autres actions.

Étape 6. Retour d'information

À ce stade, les parties prenantes et les analystes réfléchissent au cycle de renseignements sur les menaces le plus récent pour déterminer si les exigences ont été respectées. Toute nouvelle question qui se pose ou toute nouvelle lacune en matière de renseignement identifiée peut éclairer la prochaine étape du cycle de vie.

Le cycle de vie du renseignement sur les menaces produit différents types de renseignements en fonction des parties prenantes impliquées, des exigences définies et des objectifs généraux d'une instance donnée du cycle de vie. Il y a trois grandes catégories de renseignement sur les menaces :

Le renseignement sur les menaces tactiques est utilisé par le centre des opérations de sécurité (SOC) pour détecter et répondre aux cyberattaques en cours. Il se concentre généralement sur les IoC courants, par exemple les adresses IP associées aux serveurs de commande et de contrôle, les hachages de fichiers liés aux attaques de logiciels malveillants et de ransomwares connus, ou les lignes d'objet des e-mails associées aux attaques de hameçonnage.

En plus d'aider les équipes de réponse aux incidents à filtrer les faux positifs et à intercepter les attaques authentiques, les informations sur les menaces tactiques sont également utilisées par les équipes de recherche de menaces pour traquer les menaces persistantes avancées (APT) et d'autres attaquants actifs mais cachés.

Le renseignement sur les menaces opérationnelles aide les entreprises à anticiper et à prévenir les attaques futures. Il est parfois appelé « renseignement technique sur les menaces », car il détaille les TTP et les comportements des acteurs de la menace connus, par exemple, les vecteurs d'attaque qu'ils utilisent, les vulnérabilités qu'ils exploitent et les actifs qu'ils ciblent. Les RSSI, DSI et autres décideurs en matière de sécurité de l'information utilisent les renseignements sur les menaces opérationnelles pour identifier les acteurs de la menace qui sont susceptibles d'attaquer leurs entreprises, et répondent avec des contrôles de sécurité et d'autres actions visant spécifiquement à contrecarrer leurs attaques.

Les renseignements sur les menaces stratégiques sont des renseignements de haut niveau sur le paysage mondial des menaces et la place qu'y occupe une entreprise. Le renseignement sur les menaces stratégiques permet aux décideurs extérieurs à l'informatique, tels que les PDG et autres cadres, de comprendre les cybermenaces auxquelles leurs entreprises sont confrontées. Le renseignement sur les menaces stratégiques se concentre généralement sur des questions telles que les situations géopolitiques, les tendances des cybermenaces dans un secteur particulier ou comment ou pourquoi certains actifs stratégiques de l'entreprise peuvent être ciblés. Les acteurs utilisent les renseignements stratégiques sur les menaces pour aligner les stratégies et les investissements organisationnels plus larges de gestion des risques avec le paysage des cybermenaces.