Défense

Threat intelligence

Le renseignement sur les menaces consiste à collecter, analyser et exploiter des informations sur les cybermenaces pour améliorer la prévention, la détection et la réponse.

Objectifs

La threat intelligence aide à répondre à plusieurs questions :

  • qui attaque
  • comment l'attaque est réalisée
  • quels systèmes sont visés
  • comment s'en protéger

Elle complète les SIEM, EDR, IDS et équipes de réponse.

IOC

Un IOC, Indicator of Compromise, est un élément pouvant indiquer une compromission.

Exemples :

Adresse IP malveillante
Nom de domaine suspect
Hash de malware
URL de phishing

Les IOC sont utiles, mais peuvent devenir obsolètes rapidement.

TTP

TTP signifie Tactics, Techniques and Procedures. Les TTP décrivent la manière dont un attaquant opère.

Phishing

Vol d'identifiants

Accès à distance

Déplacement latéral

Contrairement aux IOC, les TTP changent moins vite et décrivent mieux le comportement d'un groupe.

Cycle du renseignement

  1. Collecte : IOC, journaux, alertes, rapports, bulletins CERT
  2. Traitement : organisation et classification
  3. Analyse : identification des tendances et mesures de protection
  4. Diffusion : transmission au SOC, CSIRT, administrateurs ou direction

Sources

  • CERT et CSIRT
  • éditeurs de sécurité
  • bases de vulnérabilités
  • communautés spécialisées
  • rapports publics
  • flux internes

Bonnes pratiques

  • vérifier la fiabilité des sources
  • contextualiser les IOC
  • éviter les blocages automatiques sans validation
  • relier IOC et TTP
  • mettre à jour les règles de détection
  • partager les informations utiles

Niveaux de renseignement

NiveauUsage
StratégiqueDécision, tendances, risques métier
TactiqueTTP, campagnes, groupes
OpérationnelInfrastructures, outils, cibles
TechniqueIOC, hash, IP, domaines

Chaque niveau ne sert pas au même public ni à la même décision.

Limites des IOC

Les IOC sont utiles mais fragiles.

Limites :

  • durée de vie courte
  • faux positifs possibles
  • réutilisation d'infrastructures légitimes
  • manque de contexte
  • contournement facile par l'attaquant

Les IOC gagnent en valeur quand ils sont reliés à des comportements, des TTP et des observations internes.

Exploitation concrète

La threat intelligence doit produire des actions :

  • enrichir une alerte
  • bloquer un domaine confirmé
  • créer une règle de détection
  • prioriser un patch
  • informer les équipes exposées
  • préparer un exercice
  • mettre à jour une checklist de réponse

À retenir

Le renseignement utile est contextualisé. Un indicateur isolé vaut moins qu'une information reliée à tes actifs, tes logs et tes risques.

Précédent
Surveillance et détection
Suivant
MITRE ATT&CK