INTRODUCTION 

“Le second cliché [du renseignement] consiste à penser que seule l’information obtenue dans les conditions les plus rocambolesques et “secrètes” présente une valeur importante”

Alain Chouet, La sagesse de l’Espion

La Cyber Threat Intelligence (CTI) s’adresse à des publics dont les besoins et les attentes sont différents. Il en résulte que les informations ne sont ni couvertes, ni transmises, ni analysées de la même façon selon le récepteur, ce qui peut conduire à un cloisonnement de l’activité de CTI, alors que celle-ci présente par nature un caractère protéiforme permettant d’adresser bon nombre de problématiques aux acteurs de la cybersécurité. 

Les besoins demeurent en effet vastes : certains clients de la CTI attendent des renseignements tels que les IOC[1]s ou les TTPs[2] afin de mettre en place et maintenir à jour une défense techniquement efficace face à des menaces en constante évolution. D’autres recherchent des renseignements facilement actionnables dans l’optique de prendre des décisions stratégiques éclairées, souvent dans une logique d’arbitrage entre efficacité et rentabilité.

Ce renseignement, qui doit impérativement conserver un lien pragmatique face aux menaces informatiques, est dès lors transformé afin de satisfaire aux exigences d’optimisation financière des mesures de défenses à adopter, de coûts potentiels et de risque de survenance des cyberattaques, etc. Au même titre que les analystes techniques doivent être en mesure d’exploiter des données structurées et qualifiées, les dirigeants doivent être en capacité de décider. 

L’enjeu est donc double. Au niveau de la production du renseignement, il s’agit essentiellement de cerner les besoins d’une organisation afin d’orienter et d’harmoniser la capitalisation et ainsi restituer un renseignement adapté permettant de satisfaire chaque besoin dans un langage intelligible pour chaque interlocuteur : « le bon message, [sous-entendu au bon format et qualifié], au bon moment et au bon niveau ». A l’échelle de l’organisation qui reçoit le renseignement, il paraît primordial de voir l’activité de CTI comme une activité transverse et mutualisée, dont les produits sont exploités pour assister tant les opérateurs que les décisionnaires dans leurs choix et actions.

Répondre à ces enjeux se traduit à trois niveaux :

  • Une identification précise des étapes sur lesquelles les opérateurs peuvent influer ;
  • Une nécessaire harmonisation des outils ;
  • Pour finir, une véritable synergie entre les compétences, laquelle se manifeste à la fois en interne (compréhension mutuelle) et en externe (adaptation des livrables).

Le risque de cloisonnement de la CTI

Le caractère endogène du cloisonnement

La Cyber Threat Intelligence – ou analyse/renseignement de la menace informatique – ou encore CYBINT pour Cyber Intelligence – est une matière relativement récente. Aux États-Unis, les premières définitions associées apparaissent autour de 2006 (comme APT[3]), mais la matière commence à se structurer réellement, notamment en Europe, à partir des années 2010 (le terme Kill Chain[4] n’apparaît d’ailleurs qu’en 2011 aux États-Unis).

Citalid CTI Cycle renseignement
Le cycle du renseignement

Bien que présentant des spécificités propres héritées de la nature même du cyberespace, la CTI se fonde sur des disciplines beaucoup plus anciennes liées aux méthodes de renseignement traditionnelles et aux concepts militaires. En France, on retrouve plusieurs fondements calqués sur des doctrines militaires. La discipline est d’ailleurs traduite dans la doctrine par Renseignement d’Intérêt Cyber (RIC), qui peut être entendu comme l’ensemble des informations concourant au renseignement cyber, peu importe d’ailleurs l’origine de l’information – le Renseignement d’Origine Cyber (ROC) n’impliquant stricto sensu que des informations d’origine cyber. Il n’est dès lors pas surprenant que les techniques d’analyse de la CTI répondent au cycle du renseignement (cf. schéma ci-contre).

Un renseignement est une information produite et délivrée dans le but d’aider à la prise de décision stratégique et à l’action opérationnelle. Il repose sur l’analyse de données et de faits collectés depuis des sources internes ou externes, ouvertes ou fermées, sélectionnées, corrélées, enrichies puis évaluées pour leur valeur et leur pertinence. La CTI quant à elle a pour principal objectif de recueillir et structurer des informations tant techniques que contextuelles sur des menaces informatiques, puis les recouper, pour satisfaire aux missions de connaissance et d’anticipation. 

Le renseignement tout comme la CTI peut avoir une vocation stratégique, tactique ou opérationnelle et s’adresse à l’ensemble des métiers, de la réponse à incident, aux équipes opérationnelles et au décideur. 

  • Stratégique
Citalid CTI Strategique

Le renseignement stratégique est destiné à alimenter la réflexion et l’orientation de la cyber-stratégie d’une organisation. Ce renseignement permet d’éclairer et d’appuyer les décisions stratégiques de façon concrète, ciblée, dans un langage adapté (indicateurs, cartographie, ROI, simulations) et contextualisé (dynamiques internes et externes à l’organisation). Le but est bien évidemment de sensibiliser le décideur aux enjeux cyber et menaces informatiques susceptibles de cibler l’organisation (et d’impacter plus ou moins fortement ses activités ou ses missions), mais surtout de lui fournir les moyens de planifier une stratégie activable qui irriguera l’action tactique et opérationnelle.

  • Tactique
Citalid CTI Tactique

Le renseignement tactique porte sur l’étude des modes opératoires des attaquants (MOA[5]), leurs contextes, leurs techniques et les outils exploités pour mener leurs activités offensives.

Il s’adresse généralement à la BLUE team qui a la charge d’identifier des comportements malveillants complexes sur un système d’information et de mettre en place des analyses forensique et de réponse à incident. 

  • Opérationnel (ou technique) 
Citalid CTI operationnelle

Le renseignement opérationnel consiste à collecter des données techniques afin de détecter des attaques en cours et tenter d’anticiper les prochaines. Le renseignement opérationnel se traduit par du renseignement technique sur les modes opératoires étudiés, les indicateurs de compromission (IOC) et des observables techniques (adresses IP, noms de domaine, hash de fichiers, clés de registres) associés à une menace qui seront transmis aux équipes de détection (un SOC par exemple) et de réponse à incident.

Ces approches complémentaires mais également ultraspécialisées à chaque strates techniques tactiques et stratégiques, génèrent structurellement un cloisonnement de l’information tant celles-ci sont l’« affaire de spécialistes ». Une interface, comme l’est un traducteur, devient dès lors hautement stratégique pour les organisations. 

Citalid CTI la chaine de valeur de la cyber threat intelligence 2
La chaîne de valeur de la Cyber Threat Intelligence

Les causes possibles du cloisonnement 

Le défi est de rendre actionnable une même information pour différents interlocuteurs.

Le cloisonnement est souvent dû à une faiblesse de l’étape de “Définition des objectifs” ou “Requirements” + “retex” : c’est à dire à l’absence ou à la mauvaise prise en compte des besoins, centres d’intérêt, etc. des destinataires de la CTI produite. La construction d’Intelligence Requirements s’appuyant sur un threat model tenant compte de l’ensemble de la surface de vulnérabilité ou d’exposition de l’entité permet aux différentes équipes produisant de la CTI (internes ou externes) d’adresser directement les sujets qui parleront aux interlocuteurs. En conséquence, cette absence ou mauvaise prise en compte des objectifs a pour impact direct une mauvaise prise en considération de la surface d’exposition, complexifiant par la même la communication entre les différents acteurs de la CTI (producteurs et consommateurs notamment). In fine, c’est toute l’étape de dissémination qui en ressort fragilisée. Pour pallier cet effet, il est donc important d’identifier des objectifs/drivers communs aux différentes strates -stratégiques, tactiques et opérationnelles- et d’accompagner la diffusion de l’échange afin de s’assurer de l’« actionnabilité » de la CTI produite.

Enfin, une conséquence directe du cloisonnement est la difficulté de prise de hauteur sur l’ensemble de la situation. Une cyberattaque peut certes être le fruit d’une tentative lucrative d’un criminel isolé, mais elle peut également être le fait d’une organisation plus structurée et éventuellement le reflet d’une stratégie géoéconomique, et/ou potentiellement opportuniste face à un contexte géopolitique « tendu ». En cela, avoir la capacité de fournir une analyse stratégique des rapports de force entourant la cyberattaque permet de faciliter et d’orienter le travail des opérateurs d’une part, mais aussi, d’améliorer la compréhension des enjeux sous-jacents ce qui permet à l’échelon stratégique de l’organisation, d’opter pour une réponse adaptée face aux véritables enjeux en présence.

L’intérêt de cette prise de hauteur réside également dans sa transversalité. Nonobstant une meilleure compréhension des caractéristiques inhérentes aux cyberattaques, cette approche permet également d’enclencher une double-dynamique : elle permet de développer et consolider une passerelle entre les métiers cyber et les métiers sûreté, mais également de favoriser le développement d’une véritable culture de sécurité au sein de son entité. 

En différenciant les produits de la CTI sans les rendre interopérables, le risque est de cloisonner le renseignement entre les différents niveaux de décision et d’action, rendant la synergie entre ces échelons insuffisamment forte et affaiblissant donc l’efficacité de la protection d’une organisation dans le temps. A l’inverse, une bonne communication transversale entretiendra une adaptation constante à la menace à tous les niveaux. Ainsi, une décision stratégique peut se fonder sur une évaluation de l’efficacité tactique des mesures considérées. Inversement, l’apparition de nouveaux modes opératoires devrait appeler a minima une information vers les instances stratégiques de gestion du risque, voire potentiellement, une prise de décision. Enfin, les questions d’arbitrages risque/urgence/coût/bénéfice peuvent trouver des éléments de réponse en puisant dans la dimension opérationnelle du renseignement lorsque cette information a été exploitée et enrichie en fonction des besoins des interlocuteurs ciblés et adaptée à leurs niveaux de discours.

Comment adresser ces différents besoins et éviter l’écueil du cloisonnement ? 

Une harmonisation nécessaire et vertueuse 

Harmoniser les référentiels pour faciliter le partage de CTI  

SEKOIA et CITALID ont chacun choisi d’utiliser le langage STIX[6] et le framework MITRE ATT&CK[7] pour structurer et capitaliser le renseignement sur les menaces. 

Le format STIX2 pose les fondements d’organisation de la CTI sous un format unique et adaptable à toutes les implémentations dans les organisations. Ce référentiel commun, permet aux producteurs de CTI de partager leurs connaissances et aux consommateurs de CTI de les traiter facilement.

STIX2 modélise de multiples objets de la CTI, tels que des modes opératoires d’attaque, des campagnes, des malwares ou toute sorte d’identifiants permettant de rapprocher facilement les acteurs d’un événement cyber, aussi bien du côté des attaquants que de leurs victimes. Ces objets sont reliés entre eux par des relations, permettant de regrouper certaines entités entre elles en modélisant et recoupant des informations de ciblage, d’attribution ou d’utilisation d’outils. Le tout forme un « graphe de la menace » facilement intelligible pour les consommateurs de CTI technique et opérationnelle.

Le framework MITRE ATT&CK est utilisé afin de capitaliser les connaissances portant sur des tactiques et techniques employées par les attaquants informatiques. Au-delà des spécificités de l’outil, l’adoption de ce framework s’inscrit comme une volonté de proposer un langage commun au sein de la communauté CTI. Parler le même langage permet donc de bâtir des bases communes pour l’ensemble des acteurs de laCTI ce qui facilite le partage d’expériences, renforce la taxonomie des scénarii d’attaque et ce faisant améliore les outils de prévention, de détection et de réactions aux incidents. 

En plus de tendre à une meilleure harmonisation, les outils utilisés adressent directement les strates tactiques et opérationnelles du renseignement d’intérêt cyber. Par exemple, MITRE ATT&CK se concentre principalement sur la dimension tactique du renseignement. Sa fonction première est de modéliser les modes opératoires d’un attaquant via une Kill Chain de façon à pouvoir corréler plusieurs campagnes et potentiellement les « attribuer » à un même acteur. Le mot attribution devant être compris ici comme le fait de rapprocher différents incidents, qui présentent des caractéristiques techniques et contextuelles communes. 

Enfin, l’association faite par ATT&CK de mitigations aux techniques offensives identifiées peut s’avérer être une aide aux équipes de sécurité opérationnelles et permet d’améliorer leurs moyens de défense. On voit donc qu’un même outil peut être ici utilisé pour répondre aussi bien à l’aspect tactique qu’opérationnel du renseignement. 

SEKOIA et CITALID utilisent le framework MITRE pour modéliser les Kill Chain de chaque Mode Opératoire d’Attaque (MOA). La technologie CITALID associe pour chacune des techniques d’attaques identifiées à chaque étape de la Kill Chain, les mesures de défense associées (ici directement transposées sur des référentiels reconnus et éprouvés comme ISO27k, NIST, CIS20[8], …). Ainsi, il est possible d’identifier aisément les mesures les plus pertinentes qui entraveront l’attaque dès le début de la mise en œuvre des techniques d’attaque par un mode opératoire. Il s’agit en réalité de réaliser des « pentest virtuels » au cours desquels les algorithmes simulent des combinaisons de techniques d’attaque des modes opératoires les plus probables dans le cadre de scénario redoutés, face à un niveau de défense déclaré par l’entreprise. A l’issue, les mesures de défense les plus efficaces (mais aussi les plus rentables sont automatiquement proposées à l’utilisateur et actualisées en en fonction des nouveaux investissements de sécurité réalisés. Ces recommandations peuvent être présentées sous différents formats de solutions de sécurité pour une meilleure adaptabilité/intégration selon les besoins de chaque organisation.

La visualisation sur un outil de sécurité fonctionnelle d’un tableau de bord dynamique recoupant l’ensemble de ces informations permet de transformer des données techniques de CTI en un renseignement actionnable par des RSSI ou Risk Manager qui pourront si besoin apporter une information éclairée dans un langage adapté, aux organes décisionnels d’une organisation.

Citalid CTI Plateforme cyber kill chain
Citalid CTI Plateforme cyber kill vs defense chain
Plateforme Citalid : Kill Chain VS Defense Chain

Cette visualisation et la technologie sous-jacente permettent d’identifier rapidement les mesures de défense appropriées (ici intitulée « Defense Chain ») pour chaque étape de la Kill Chain : il est ainsi possible d’identifier et de hiérarchiser les mesures qui permettront d’optimiser la stratégie de défense en bloquant les menaces dès les premières étapes offensives mises en œuvre par le Mode Opératoire d’Attaque.

Enfin, il est important de pouvoir générer et exporter des rapports adaptés en fonction de l’interlocuteur cible, permettant d’assurer une diffusion multicanale du renseignement cyber tant tactique que stratégique.

 Favoriser la synergie des équipes et la transversalité des livrables

Les outils ne sont pas les seuls à adresser les différentes catégories de renseignement. Le renseignement sur les menaces étant une activité transverse s’adressant à plusieurs services et équipes, il est important de disposer en interne des bons paramètres pour adapter le livrable au récipiendaire. Ainsi, plusieurs éléments constituent des atouts dans la quête d’une harmonisation de la CTI et de son décloisonnement.

Le premier des facteurs vers l’universalité de la CTI réside dans la coordination, en particulier celle des équipes opérantes. L’apport d’une équipe transverse, composée de collaborateurs détenant des compétences variées et spécifiques, permet d’enclencher des dynamiques internes capitales pour la bonne circulation de la CTI :

  • Favoriser la synergie et la compréhension de la CTI sur toutes les couches de l’organisation ;
    • Améliorer globalement l’acculturation d’entreprise à la cybersécurité ;
    • Simplifier les process par l’amélioration de la communication ;
    • Affiner la qualité des livrables en fonction de l’interlocuteur.

Nonobstant ces bénéfices directs, la présence de différents profils permet également de répondre à différents besoins clientèles. Tandis que les opérateurs les plus techniques apporteront des précisions sur les IOCs ou les MOA, des profils plus fonctionnels permettront de répondre à des exigences plus stratégiques telles qu’une mise en perspective des menaces dans un environnement géographique ou sectoriel. L’effet final sera donc à la fois de satisfaire le plus précisément possible les conditions du cahier des charges en portant des métiers spécifiques sur des questions relatives au renseignement cyber, mais également d’adapter les éléments de langage au bon niveau.

D’autres applications de la CTI nécessitent la présence et l’accompagnement d’expert, sur des questions juridiques, de conduite du changement ou encore de communication. A titre d’exemple, traiter d’un risque cyber concernant des données à caractère personnel doit obligatoirement impliquer la collaboration d’un spécialiste juridique en protection des données (data privacy).

A travers cette synergie, l’effet recherché est bien de pouvoir transformer le renseignement d’intérêt et d’origine cyber en threat intelligence actionnable, et déployée sur-mesure selon le profil de l’interlocuteur. Néanmoins, si ce découpage répond à des enjeux de compréhension et des besoins bien précis, un même livrable peut néanmoins couvrir les trois sous-domaines du renseignement. 

L’objectif d’un tel livrable aurait des vertus transversales, en tête desquelles la sensibilisation des équipes informatiques opérationnelles aux dernières tendances en matière de cybermenaces mais également l’accélération de la prise de décision en fournissant des éléments de langage aux questionnements du top management. Lorsque c’est possible, il est envisageable d’intégrer des détails techniques et des IOCS permettant d’accélérer le rapprochement de piste en réponse sur incident, de réaliser du hunting, détecter ou bloquer une menace. Enfin, dans cette logique de transversalité, il est nécessaire qu’un tel livrable intègre des recommandations actionnables, techniques et organisationnelles appelées Course of Action selon la terminologie STIX et Mitigations selon le framework MITRE ATT&CK.

Citalid CTI Sekoia Flint
Livrable FLINT par SEKOIA

Ainsi donc, même si la CTI est encore très cloisonnée entre les strates tactiques, stratégiques et opérationnelles, ce cloisonnement tend de plus en plus à s’estomper grâce à une harmonisation dans les outils utilisés, la production de livrables qui s’adresse aussi bien à des destinataires orientés stratégie qu’à des équipes plus opérationnelles ou tactiques et enfin une diversité au sein des équipes ce qui permet de répondre aux mieux aux besoins des différents destinataires.

La CTI pour accélérer les équipes opérationnelles de cybersécurité

Une CTI efficace est une CTI qui parle à tout le monde : aux opérateurs du SOC, aux membres des équipes de réponse aux incidents (CSIRT et CERT) et aux pentesters/Red Teamers

Elle se doit de répondre aux besoins de chacun de ces destinataires et être facilement intégrée – ingérée – à leurs outils, et ce sans perte de contexte. Chaque consommateur doit comprendre ce qu’on attend de lui en termes de mise en œuvre du renseignement qui lui est fourni, et ce qu’il peut attendre des autres. 

Quand le SOC lève une alerte à la suite de l’intégration d’un feed d’IOC dans le SIEM[9], les éléments de contexte fournis par la CTI sur les indicateurs qui ont “matché” permettent de classer par ordre de priorité le traitement de cette alerte et de la transférer aux équipes de réponse aux incidents dans des délais adaptés pour une réponse appropriée. 

La même information technique – un “hit” sur une URL malveillante – n’a pas la même valeur selon qu’il s’agit d’un clic par un utilisateur sur un lien dans un message personnel consulté sur un webmail depuis son poste bureautique ou de la connexion d’un dropper vers le C2 avant de lancer la charge finale d’une attaque par rançongiciel. 

Dans cet exemple, la CTI aura préalablement fourni au SOC un feed d’IOC – des URL réputées ou connues pour être malveillantes qui alimentent les outils de détection – et un contexte : menace non ciblée ou peu dangereuse (adware, spyware), menace ciblée ou critique pouvant très fortement impacter l’activité de toute l’organisation touchée (rançongiciel). Ce contexte permettra de définir des niveaux de criticité – faut-il appeler les cadres d’astreinte ? Faut-il prévoir une cellule de crise ? – et de priorité. 

C’est le rôle du renseignement technique que de fournir au SOC ces deux éléments d’aide à la prise de décision : IOC et contexte. L’objectif est de dire au SOC quoi chercher et comment trouver. 

Citalid CTI Sekoia Pyramid of pain
La “Pyramid of Pain” actualisée

Aux équipes de réponse aux incidents, la CTI fournira des éléments de contexte, édictés dans un langage compréhensible et commun à celui utilisé pour le SOC, et des renseignements tactiques comme une description du mode opératoire associé aux éléments techniques fournis par le SOC – ou trouvés durant une investigation numérique déclenchée sur un signalement d’utilisateur. Idéalement, ce mode opératoire décrit les étapes de la Kill Chain, les malwares ou les outils pouvant être à l’origine des artefacts collectés ou des traces dans les logs, et des moyens de détection complémentaires. La matrice ATT&CK du MITRE sert de langue commune pour modéliser les Kill Chain, ce qui facilite les échanges en interne – SOC, Red Team – et en externe – partenaires, autres CERT/CSIRT. 

Sachant quoi chercher, le renseignement tactique fournit aux équipes de réponse aux incidents des éléments complémentaires permettant de savoir où et comment chercher. 

Le même renseignement tactique peut aussi alimenter les équipes de pentest et/ou la Red Team. Il leur fournit des scenarii réalistes d’attaques, qui pourront être reproduits tel quel ou adaptés au contexte de l’organisation afin d’en évaluer son exposition à une menace particulière. 

La matrice ATT&CK du MITRE est utilisée pour reconstituer le mode opératoire d’un groupe d’acteurs – groupe qui aura été choisi parce que le renseignement stratégique aura auparavant déterminé qu’il constitue une menace pour l’entreprise. 

Par exemple, le renseignement tactique produit par la CTI permet d’identifier un groupe d’acteurs qui constitue une menace réelle pour une entreprise. Cela peut être des attaquants par rançongiciel qui ciblent activement le secteur d’activité ou la zone géographique de l’entreprise, ou bien des attaquants motivés par l’exfiltration d’informations d’importance stratégique détenues par l’entreprise (cas du secteur pharmaceutique, des hautes technologies, etc.). 

Citalid CTI Sekoia IO plateforme graph maze
Plateforme Sekoia.io : Modélisation par graph (Maze)

La CTI tactique correspondante permet de modéliser les modes opératoires fréquemment mis en œuvre par les groupes connus associés à cette menace. La matrice ATT&CK permet alors de modéliser la ou les Kill Chain de ces groupes et les communiquer aux pentesters/Red Teamers

Ceux-ci peuvent alors, en amont, tester l’efficacité des moyens offensifs de ces adversaires potentiels et la solidité des moyens de défense de l’entreprise. 

Quand le SOC, les équipes de réponse aux incidents et la Red Team participent conjointement à ce type de test, on peut alors parler d’une Purple Team dont chaque élément testera ses moyens et ses outils dans un contexte donné. Le SOC peut ajuster ses moyens de détection si ceux-ci s’avèrent inadaptés ou mal configurés, la CSIRT ajustera si besoin ses méthodes et ses outils d’investigation. La Red Team pourra alors lancer une nouvelle itération de la ou des Kill Chain testées jusqu’à ce que les éventuels trous dans la raquette soient comblés ou couverts. 

Au sein de l’entreprise, le RSSI assure ce un rôle d’interface entre les différents acteurs techniques – SOC, CSIRT/CERT, Red Team – destinataires de la production CTI et les commanditaires – organes de direction, branches Métiers, etc. – dont il doit traduire en actions les décisions prises au regard des enjeux liés à la menace Cyber. Il est, de ce fait, destinataire de la production CTI stratégique, tactique et opérationnelle dont il doit comprendre la portée afin de prioriser certaines actions ou répartir les budgets. 

Exporter la CTI vers des indicateurs de risque financier

Si la CTI, dans son essence même, a démontré son utilité à différents niveaux, du plus technique au plus managérial (ie. Stratégique), l’un des facteurs contribuant à son universalité réside dans sa propension à s’exporter vers – et s’appliquer à – d’autres disciplines. En tête de ces-dernières, la cindynique tire largement profit de la CTI en ceci que les renseignements d’intérêt cyber permettent de faire évoluer la gestion des risques cyber en la portant à un niveau supérieur, si tant est que la bonne méthode soit appliquée.

La méthodologie FAIR[10], à titre d’exemple, propose une taxonomie qui permet, une fois les bons connecteurs établis et dans le cadre d’une application très avancée, d’exploiter les flux de CTI en prenant en compte les différents éléments caractéristiques d’un MOA pour les transformer en paramètres actionnables. Ainsi, en prenant en compte les caractéristiques d’implantation sectorielle et géographique d’une organisation, ie. son contexte géopolitique, il est possible de dresser une fréquence de menace (à gauche sur l’illustration), elle-même définie par une fréquence de ciblage et une probabilité d’action, qui sont des éléments relevant purement de la CTI et de son contexte. En complément, la sophistication du mode opératoire constitue également une information relevant de l’agrégat de renseignement cyber et peut, une fois confrontée à la sophistication du modèle de défense, permettre de définir la probabilité de succès d’une attaque.

Citalid CTI quantification FAIR by Citalid
Méthodologie FAIR (Factor Analysis Information Risk) powered by Citalid

L’intégration de la CTI dans une méthodologie d’analyse de risque, quantitative en l’occurrence, permet d’enrichir les connaissances des acteurs traditionnels de la cybersécurité, mais également de la porter à un niveau hiérarchique supérieur, en affinant les résultats de l’analyse et en précisant les pertes financières associées et surtout les retours sur investissement escomptés d’une stratégie de cyberdéfense. En élevant ainsi son utilisation, il est désormais possible d’impliquer d’autres acteurs et donc, de participer à sa démocratisation et son implantation dans différents métiers.

Une telle application de la CTI concerne en priorité le RSSI et les Risks Managers, qui non seulement la consomment sous son aspect ‘stratégique’ en tant que flux d’information, mais constituent également les pilotes de la gestion des risques cyber dans une organisation. Une approche globalisée leurs permet ainsi d’obtenir une visibilité immédiate et réaliste sur ces risques cyber, à travers la définition de scénarios de risque associés à des acteurs de menaces identifiés, et donc de hiérarchiser économiquement les menaces les plus pertinentes une fois contextualisées.

En ce sens, cette approche peut se traduire par un véritable outil de communication dédié à l’export de la CTI avec pour destination l’ensemble de l’organisation. Cela a pour effet de démocratiser sa pratique (a minima sa compréhension) mais également de contribuer à la sensibilisation des équipes à la cybersécurité sur les enjeux et impacts potentiels des cyberattaques.

Une fois identifiés et hiérarchisés, la confrontation des MOA contextualisés (environnement externe de l’organisation), sur la base de leur Kill Chain, avec l’environnement interne d’une organisation (solidité structurelle, maturité défensive, etc.) permet d’émettre un différentiel lequel a deux impacts majeurs :

  • Visualiser les mesures de défense déployées et celles à déployer ; 
  • Définir des orientations stratégiques et financières adaptées en matière de socle de sécurité ; 

En outre, cette contextualisation des MOA couplée à leur confrontation avec la maturité défensive ont pour effet de renforcer la position du RSSI en le « décloisonnant » de l’univers cyber pour l’inclure légitiment vers un rôle stratégique renforcé, en lui permettant d’aligner la gestion des risques cyber sur des enjeux plus large de management.

Dès lors, cette approche permet de faire la jonction avec les activités du Risk Manager, en permettant notamment de fixer précisément un coût financier sur chaque scénario de risque cyber et de définir un retour sur investissement (ROI) des solutions de sécurité déployées. Cela justifie des investissements cyber en plus de contribuer à une harmonisation des risques cyber sur une échelle plus large, par leur intégration dans une démarche ‘groupe’ de quantification financière. Or, chiffrer ces risques est primordial pour le Risk Manager, qui pourra ensuite apprécier l’optimum et la variation de couverture. 

Citalid CTI Plateforme zoom indicateurs financiers
Citalid : exemple d’indicateurs financiers (VaR, LEM), maturité de défense, exposition annuelle moyenne etc. par scénario d’attaque

Cette approche globalisée donne donc au Risk Manager toutes les clés en main pour faciliter la prise de décision en matière de traitement du risque (résolution, maintien et partage). Avoir une visibilité précise sur la financiarisation du risque lui permet également d’ajuster sa relation avec son cyber-assureur, en payant au juste prix sa couverture. L’assureur tirera lui parti d’une visibilité réaliste sur les risques de son client, lui permettant ainsi d’adapter son offre.Ce mouvement est d’ailleurs aujourd’hui largement entendu et compris par certains assureurs, qui craignent, que les offres de cyber-assurance passées – peu onéreuses afin de capter le marché – ne les exposent en réalité à un risque économique qu’il ne pourrait potentiellement pas assumer, notamment en cas de campagnes de cyberattaques d’ampleurs et/ou systémiques.

Cette démarche abordée par le RSSI et le Risk Manager ont un effet simple : parler le langage du COMEX, des investisseurs et des assureurs. La CTI, dans son expression la plus stratégique, est relativement transparente et intuitive : une fois synthétisée, elle détermine simplement qui est susceptible d’attaquer, et où (les versions tactiques et techniques considérant des éléments de précisions tels que ‘Quand’, ‘Comment’, ‘Pourquoi’, etc.). Cet enrichissement en matière de gestion des risques permet d’aligner le risque cyber sur des enjeux plus stratégiques, en apportant une économie du risque (combien il risque de coûter, combien il coûtera après plan d’action, combien coûtera le plan d’action, quel sera le retour sur investissement en matière de réduction du risque). Le résultat final peut donc se résumer à définir des orientations et classer des priorités en matière d’investissement cyber qui vont ensuite irriguer et orienter les échelons techniques et tactiques.

Cette projection sur le long terme favorise le déploiement et le pilotage d’une roadmap acheminant vers une résilience optimale. La CTI peut dès lors intervenir comme appui sur lequel on peut se fonder pour orienter plus facilement les investissements à faire. Toute cyberattaque ayant un coût pour une entreprise, parfois critique même sur la vie humaine[11], il convient de mettre en place les solutions adaptées qui permettront d’augmenter le niveau de défense pour un coût réduit. Pour cela, il faut pouvoir visualiser les types d’attaques auxquels l’entreprise est la plus exposée, celles qui engendrent le plus de pertes ou les attaques les plus fréquentes du moment. Ainsi, il est possible de transmettre ces renseignements pour aider les RSSI et Risk Manger à défendre leurs stratégies d’investissement en cyberdéfense, tout en repositionnant la cybersécurité à sa place, en qualité de l’un des risques principaux et les plus importants, indépendamment du cœur de métier[12].

Conclusion 

Pour brièvement conclure cet article, le constat final repose sur le principe même de la Cyber Threat Intelligence, à savoir qu’elle soit écoutée, comprise et appliquée par tous. Si les usages diffèrent en fonction des destinataires, il est néanmoins nécessaire de l’intégrer sur différents échelons d’une organisation afin de profiter de tous ses fruits, qu’ils concernent des éléments très techniques (IOCs), tactiques (TTPs) ou encore stratégiques (ROI cyber). Cette approche par tous les niveaux est de plus révélatrice d’une dynamique intrinsèque, celle de la nécessité d’appréhender le renseignement cyber dans une démarche globalisée, afin de le rendre intelligible et appropriable auprès d’acteurs plus néophytes ou spécialisés.

Ainsi, les approches de SEKOIA et Citalid sont complémentaires et se superposent l’une sur l’autre afin de couvrir l’ensemble de la chaîne de valeur de la CTI, depuis l’expert technique jusqu’à la prise de décision, notamment financière. Bien qu’elles ne soient pas indissociables, elles permettent néanmoins de comprendre, depuis l’indicateur de compromission jusqu’à l’indicateur financier, l’apport d’une telle discipline sur la couverture des risques de son organisation et l’importance des fonctions cyber dans ce panorama.

Néanmoins, la CTI, bien qu’elle soit florissante à n’en pas douter, constitue encore une discipline jeune et en plein développement. A ce titre, elle est encore sous-exploitée et parfois sous-estimée, notamment dans ses applications et son potentiel de transformation. Dès lors, la mise en œuvre de ce processus impacte sensiblement son cloisonnement et donc sa capacité de rayonnement à tous les niveaux d’une organisation.

Infos et contacts

Logo Sekoia

Créée en 2008, SEKOIA est une deeptech française spécialiste de l’anticipation des menaces cyber. SEKOIA propose une plateforme moderne de cybersécurité. Baptisée SEKOIA.IO, cette solution anticipe et détecte les menaces et automatise des réponses ajustées. Commercialisée en mode SaaS depuis janvier 2020, SEKOIA.IO s’adapte à tous les environnements technologiques.

Plus qu’une entreprise, SEKOIA est un milieu de confrontation aux nouvelles formes de menaces, et prône son ancrage européen ainsi que la force du collectif pour protéger et rester la course face aux cybercriminels. Aujourd’hui l’entreprise compte 80 collaborateurs et participe activement à la communauté de sécurité défensive en France et en Europe.

Site internet : https://www.sekoia.io/ et https://www.sekoia.fr/

Twitter : https://twitter.com/sekoia_fr et https://twitter.com/sekoia_io

LinkedIn : https://fr.linkedin.com/company/sekoia

Contact : contact[a]sekoia.io 

LOGO CITALID 2020

Citalid permet par sa technologie d’évaluer et de quantifier dynamiquement votre exposition financière aux risques cyber grâce à la Cyber Threat Intelligence, et de savoir comment la réduire ou la partager avec un #ROI optimal.

Fondée en 2017 par deux anciens agents de l’ANSSI, Citalid est une plateforme d’analyse et de gestion des risques cyber liant Cyber Threat Intelligence, quantification du risque, éléments stratégiques et pilotage des investissements de sécurité. Citalid a remporté en 2018 le Prix de l’Innovation des Assises de la Sécurité et en 2020 le Prix du Jury du Forum International de la Cybersécurité (FIC).

Site internet : https://www.citalid.com/

Twitter : https://twitter.com/citalid

LinkedIn : https://fr.linkedin.com/company/citalid

Contact : contact[a]citalid.com 


[1] Indicator of Compromise

[2] Tactics, Techniques and Procedures

[3] APT (Advanced Persistent Threat) est un acronyme crée par l’US AIR FORCE en 2006 et qui désigne une attaque informatique présentant cumulativement les caractéristiques suivantes : 1) Les attaquants informatiques contrôlent en profondeur le système d’information de la victime. On estime que les attaquants ont des privilèges/droits au moins égaux que ceux des administrateurs légitimes du Système d’Information (SI) ciblé. Du fait de ce niveau de contrôle, et des programmes malveillants déployés, les attaquants peuvent user de mécanisme leur assurant une persistance élevée sur le système d’information. 2) Les attaquants utilisent des outils et techniques d’attaques qui sont adaptés au système d’information ciblé. La phase de reconnaissance préalable à une attaque dite APT, permet aux attaquants de collecter de données permettant de réaliser une prise d’empreinte de la configuration technique du système d’information, afin d’adapter en fonction les outils d’attaque déployés ensuite. 3) Les attaquants sont organisés en équipe spécialisées et coordonnées qui interviennent en fonction des étapes de l’attaque.

[4] Modélisation de technique d’attaque ou Kill Chain : désigne la modélisation technique des étapes classiquement mise en œuvre, (mais de façon plus ou moins complète), dans le cadre d’une attaque informatique. Cette modélisation appliquée à la cybersécurité par la société Lockeed Martin a été empruntée au domaine militaire dans le cadre de la modélisation d’attaques conventionnelles. Elle est composée historiquement de 7 étapes : reconnaissance, armement, livraison, exploitation, installation, communication, réalisation des objectifs.

[5] Un Mode Opératoire d’Attaque(ou Adverse)désigne un ensemble cohérent de processus, techniques, tactiques et d’informations contextuelles qui peuvent être reliés à une ou plusieurs attaques informatiques et/ou à un même acteur, sans pour autant que celui-ci/ceux-ci ne soi(en)t nommément identifié. Un mode opératoire peut être traduit par la carte d’identité technique et contextuelle d’une ou plusieurs actions informatiques offensive. Le pendant anglais de Mode Opératoire d’Attaque est Intrusion Set.

[6] STIX (Structured Threat Information Expression) est un standard open source robuste et reconnu, utilisé pour la structuration et le partage d’information sur les cybermenaces. STIX permet aux organisations de partager des informations de Cyber Threat Intelligence (CTI) entre elles de manière cohérente et compréhensible par une machine, ce qui permet aux communautés de sécurité de mieux comprendre les attaques informatiques et d’anticiper et/ou de répondre à ces attaques plus rapidement et plus efficacement. STIX est conçu pour améliorer l’analyse collaborative des menaces, leur échange automatisé, la détection et la réponse automatisées. https://oasis-open.github.io/cti-documentation/stix/intro.html

[7] MITRE est un organisme à but non-lucratif qui administre des centres de recherche et de développement parrainés par le gouvernement fédéral américain. L’organisation, reconnue mondialement, met à disposition des ressources, outils et standards utilisés par de nombreuses entreprises, notamment pour l’élaboration de programmes d’entraînement en cybersécurité. Pour plus d’information : https://attack.mitre.org/

[8] Le CIS (Center for Internet Security) est une organisation américaine à but non-lucratif qui développe des normes et outils de cyberdéfense en s’appuyant sur une communauté informatique mondiale. Le référentiel CIS 20 Controls permet d’identifier les meilleures pratiques reconnues en matière de cybersécurité pour sécuriser les systèmes d’information. Ces mesures, largement éprouvées, sont continuellement affinées et vérifiées par une communauté de professionnels expérimentés. Pour plus d’information : https://www.cisecurity.org/controls/

[9] Les systèmes de gestion des informations et des événements de sécurité (SIEM) assurent la collecte et l’analyse des traces d’activité (logs, netflows, etc.) des hôtes et des applicatifs de l’infrastructure pour assurer à l’exploitation une vision unifiée du pilotage de la sécurité du système d’information. Cela se traduit par la surveillance des applications, des comportements utilisateurs ou encore des accès aux données.

[10] FAIR pour Factor of Analysis of Information Risk est une méthodologie d’analyse de risque développée par le consortium mondial Open Group. Citalid bénéficie d’un partenariat commercial et est certifié sur la méthodologie FAIR. A ce titre, elle utilise ce modèle et l’enrichit de façon continue avec ses propres données, afin de de proposer des analyses de risques cyber sur-mesure. Pour plus d’information : http://www.opengroup.org/aboutus

[11] https://www.lemonde.fr/pixels/article/2020/09/17/en-allemagne-une-attaque-informatique-contre-une-clinique-provoque-une-mort_6052638_4408996.html

[12] https://www.agcs.allianz.com/news-and-insights/news/allianz-risk-barometer-2020.html