[CR] Cybersécurité V2 : Anticipez les cybermenaces grâce à la « Threat Intelligence »

Afin de clôturer le Cybermois organisé par l’ANSSI et lors d’une conférence à l’École de Guerre Économique organisée par le club cyber de l’AEGE et CCI France, Dan Farache, directeur commercial d’Anomali, a mis en exergue la nécessité pour les entreprises de développer la « Threat Intelligence », littéralement « renseignement sur les menaces », afin de se défendre et d’anticiper les menaces dans le cyberespace.

La sécurité informatique évolue. Les organisations et entreprises qui subissent des attaques, dont l’intensité et la fréquence augmente fortement, constatent que le mode « défensif » ne suffit plus. Au-delà d’une réaction post-incident, souvent tardive, qui consiste à éteindre des feux, ces organisations ont désormais besoin d’anticiper les menaces bien en amont. Pour les aider, des entreprises, comme Anomali, ont développé des plateformes de Threat Intelligence collaboratives. Ce mode d’anticipation à travers la Threat Intelligence est ce qu’on appelle la « Cybersécurité V2 ».

Au sein d’une entreprise, la première étape consiste à donner quelques conseils aux collaborateurs afin d’assurer une sécurité basique : utiliser des mots de passe complexes, les modifier fréquemment, mais également être conscient des dangers de phishing (hameçonnage) par email. 

Ensuite, la construction d'un « château-fort » par les divisions SOC (Security Operation Centers) des entreprises, doté d’une quantité d’outils de protection de leur périmètre, devient un impératif. Ceci commence par l’élaboration d’une « pyramide de renseignements » ou due diligence pour étudier, caractériser et prioriser les menaces. 

A travers la plateforme de Threat Intelligence, une étude d’artefacts sur les réseaux appelés « IoC », pour Indicateurs de Compromission (Indicators of Compromise) est mise en œuvre. Ces listes d’IoC peuvent être par exemple des adresses IP détectées au préalable comme provenant d’une source malveillante ou des URL possédant des noms de domaine très proches de sites officiels (ce qu’on appelle le typosquatting).  

La plateforme permet ensuite, grâce à des outils d’intelligence artificielle, de sélectionner et classer les IoC en fonction de leur dangerosité et de leur pertinence. Par exemple si la source est peu fiable, l’IoC pourra avoir un indice de confiance faible et sera rejeté. Si l’IoC est répertorié de multiples fois, la probabilité qu’il soit un indicateur d’alerte augmente. On pourra alors mettre des procédures en œuvre pour prévenir les attaques selon le type d’IoC.

La plateforme permet aussi d’étudier les logs (rapports textes créés automatiquement) des systèmes informatiques des entreprises et de relever si certains IoC sont déjà apparus dans le temps. Cela permet d’établir des profils de menaces liées à tel type d’entreprise et de détecter par exemple comment la sécurité d’une organisation peut avoir été compromise depuis plusieurs mois.

Selon Dan Farrache, la performance d’une plateforme est liée à toutes les sources qu’elle peut accumuler, et ceci nécessite le partage d’informations entre le plus de sociétés de cybersécurité possibles. En France, les entreprises sont souvent réticentes à adopter ce comportement comparé au monde anglo-saxon, et ceci peut être pénalisant. Les cyber-attaquants s’associent sur le deep web et le dark web de leur côté pour échanger leurs informations et trouver leurs cibles. Les organisations devraient faire de même en partageant leurs connaissances pour les contrer.

L’utilisation d’une plate-forme de threat intelligence, est, selon lui, à ce jour la solution la plus rentable et efficace pour anticiper les cyberattaques. Celles qui ne le font pas prennent un risque de plus en plus élevé qui peuvent compromettre tout le fonctionnement de leur organisation.

 

Club cyber de l’AEGE