Que sont les informations sur les menaces ?
 

Les différentes méthodes d’attaque des systèmes informatiques et réseaux évoluent constamment, car les cybercriminels dénichent de nouvelles vulnérabilités à exploiter. Avec les informations sur les menaces (CTI, Cyber threat intelligence), les entreprises sont au fait des nouvelles menaces, ce qui leur permet de se protéger. Les experts en cybersécurité organisent, analysent et affinent les informations recueillies sur les attaques pour renforcer leurs connaissances et les exploiter pour mieux protéger les entreprises.  

Les informations sur les menaces (ou renseignement de sécurité) permettent également d’enrayer une attaque en cours ou d’en atténuer les conséquences. Si une attaque n’a plus de secrets pour une équipe informatique, celle-ci est plus à même de prendre une décision avisée sur la manière de la combattre.

Quels sont les types d’informations sur les menaces ?

On distingue différents types d’informations sur les menaces : les informations de haut niveau, les informations non techniques et les informations techniques détaillées à propos d’attaques spécifiques. Voici quelques types d’informations sur les menaces :

• Stratégiques : les informations sur les menaces stratégiques sont des informations de haut niveau qui placent les menaces dans leur contexte. Il s’agit d’informations non techniques qu’une entreprise pourrait présenter à un conseil d’administration. Elles peuvent par exemple servir à analyser le risque d’une décision opérationnelle sur la vulnérabilité de l’entreprise face à plusieurs cyberattaques.  
• Tactiques : les informations de ce type fournissent des détails sur les modes opératoires des cybercriminels et sur les méthodes de protection contre les menaces. Il s’agit notamment des vecteurs d’attaque, des outils et des infrastructures utilisés par les cybercriminels, des types d’entreprises ou de technologies ciblées et des stratégies pour les éviter. Les entreprises utilisent ces informations pour connaître leur probabilité de se retrouver confrontées à différents types d’attaques. Les experts en cybersécurité exploitent les informations tactiques pour prendre des décisions avisées en matière de contrôles de sécurité et de gestion des défenses. 
•  Opérationnelles : ces informations sont destinées au département informatique dans le cadre d’une gestion active des menaces. L’équipe informatique peut alors prendre des mesures face à une attaque particulière. Elles permettent d’en savoir plus sur la nature et le motif de l’attaque et de déterminer le moment où elle a eu lieu. Idéalement, ces informations sont regroupées directement auprès des cybercriminels, mais elles sont plus difficiles d’accès.
• Techniques : ces informations indiquent qu’une attaque est en cours en se basant sur des faits spécifiques ; il peut s’agir d’indicateurs de compromission (IOC, indicators of compromise). Certains outils d’informations sur les menaces ont recours à l’intelligence artificielle pour analyser ces indicateurs, notamment le contenu de campagnes d’hameçonnage, les adresses IP ou infrastructures C2, les objets provenant d’échantillons de logiciels malveillants connus.

Qu’apportent les informations sur les menaces ?

Les informations sur les menaces et les outils de protection contre les menaces informatiques, permettent aux entreprises de mieux appréhender les risques associés à différents types d’attaques et de découvrir les meilleures méthodes pour se défendre. Les informations sur les menaces permettent également de minimiser les conséquences d’attaques en cours. Parfois, le département informatique d’une entreprise recueille ses propres informations sur les menaces ; dans d’autres cas, il s’appuie sur un service spécialisé en informations sur les menaces pour rassembler des informations et promouvoir les meilleures pratiques de sécurité. Les entreprises qui ont recours au software-defined networking (SDN) peuvent utiliser les informations sur les menaces pour reconfigurer rapidement leur réseau de manière à pouvoir se défendre contre des types spécifiques de cyberattaques. 

Pourquoi les informations sur les menaces sont-elles importantes ?

Les informations sur les menaces permettent aux entreprises d’être proactives plutôt que réactives face aux cyberattaques. Comprendre les vulnérabilités, les indicateurs de menace et la façon dont les celles-ci sont perpétrées est crucial, sans quoi il est impossible de se défendre efficacement contre les cyberattaques. Les informations sur les menaces permettent de limiter la portée des attaques plus rapidement et peuvent potentiellement faire économiser des centaines de milliers de dollars aux entreprises. Elles renforcent les contrôles de sécurité des entreprises à chaque niveau, notamment la sécurité du réseau et la sécurité du Cloud.

Quels sont les indicateurs de compromission les plus courants ?

S’ils savent où chercher, les membres du personnel de sécurité parviennent souvent à déceler les comportements inhabituels indiquant qu’une attaque est en cours ou a eu lieu. L’intelligence artificielle peut alors leur apporter une aide considérable. Voici les indicateurs de compromission les plus courants :

• Activité inhabituelle sur un compte utilisateur privilégié : souvent, les cybercriminels tentent d’accéder à un compte aux privilèges plus élevés ou de passer d’un compte compromis à un autre compte dont les privilèges sont plus élevés.
• Anomalies de connexion : voici plusieurs signes indiquant une situation anormale : les connexions en dehors des heures de travail avec des tentatives d’accès à des fichiers non autorisés, les connexions répétitives à un même compte à partir de différentes adresses IP dans le monde et les échecs de connexion depuis des comptes utilisateurs inexistants.
• Augmentation du volume de lecture d’une base de données : une forte augmentation du volume de lecture d’une base de données peut indiquer qu’un individu est en train d’extraire une quantité de données anormalement élevée, par exemple tous les numéros de carte de crédit d’une base de données.
• Requêtes du système de noms de domaine (DNS) inhabituelles : les pics importants de requêtes DNS provenant d’un hôte spécifique et de modèles de requêtes DNS adressées à un hôte externe sont des signaux à ne pas négliger, car ils peuvent révéler une intrusion par un individu externe à l’entreprise au moyen d’un serveur de commande et contrôle.
• Nombreuses requêtes pour un même fichier : les activités cybercriminelles sont pour la plupart des attaques répétées ; celles-ci sont le signe qu’un individu recherche une vulnérabilité. 500 requêtes lancées pour un même fichier montrent bien qu’une personne essaie de trouver une faiblesse par tous les moyens.
• Configuration ou fichier système modifiés sans explication : il est difficile de détecter un outil permettant de recueillir les données d’une carte de crédit, mais il est plus facile d’identifier des modifications apportées à un fichier système qui surviennent lors de l’installation de l’outil en question. 

Quels sont les outils d’informations sur les menaces disponibles ?

Divers outils d’informations sur les menaces sont proposés en vente ou gratuitement sur la communauté open source. Leur approche en matière de regroupement d’informations sur les menaces diffère légèrement de l’un à l’autre :

• Désassembleurs de logiciels malveillants : ces outils désossent les logiciels malveillants pour découvrir leur mode de fonctionnement. Les ingénieurs chargés de la sécurité exploitent ensuite les informations recueillies pour défendre le réseau contre des attaques similaires ultérieures.
• Outils de gestion des informations et des événements de sécurité (SIEM) : grâce aux outils SIEM, les équipes de sécurité sont en mesure de surveiller le réseau en temps réel, en recueillant des informations sur les comportements inhabituels et le trafic suspect.
• Outils d’analyse du trafic réseau : ces outils collectent des informations réseau et enregistrent l’activité du réseau ; les informations recueillies permettent ensuite de détecter les intrusions plus facilement.
• Communautés d’informations sur les menaces et collecte de ressources : les sites Web accessibles gratuitement qui regroupent des indicateurs de compromission connus et des données générées par la communauté à propos des menaces peuvent être une source précieuse d’informations sur les menaces. Certaines de ces communautés soutiennent la recherche collaborative et fournissent des conseils exploitables en matière de protection ou de défense face aux menaces.

Les entreprises au fait des menaces émergentes et qui détiennent les clés pour les éviter peuvent prendre des mesures pour empêcher une attaque en amont. Toutes les entreprises ont tout intérêt à intégrer le regroupement et l’analyse des informations sur les menaces à leur stratégie de sécurité.