Bienvenue dans notre analyse approfondie de la cyberveille, destinée à aider les professionnels de la sécurité qui se lancent dans la création et le développement d’un programme de cyberveille. Cet article explique comment rendre les informations sur les menaces à la fois pertinentes et exploitables, mais aussi comment les communiquer efficacement à une multitude de parties prenantes. Il présente les bonnes pratiques en matière de cyberveille et propose une série de ressources et outils gratuits.
QU’EST-CE QUE LA CYBERVEILLE ?
La cyberveille peut être interprétée et définie de nombreuses manières différentes, mais la définition de Gartner constitue un bon point de départ :
La cyberveille (Threat Intelligence) désigne des connaissances étayées par des preuves — notamment des informations contextuelles, des mécanismes, des indicateurs, des implications et des conseils exploitables — au sujet d’une menace
ou d’un danger existant ou émergent mettant en péril les ressources ; ces connaissances peuvent être exploitées pour prendre des décisions avisées sur les mesures nécessaires pour se protéger de cette menace ou de ce danger.
Cette définition met en avant deux points essentiels, sur lesquels nous reviendrons :
- La cyberveille fournit aux décideurs des informations leur permettant de prendre des décisions plus avisées.
- La fonction de cyberveille peut être autonome, en particulier dans les entreprises plus matures ou dans les secteurs présentant une plus faible tolérance aux risques, mais elle est plus souvent la responsabilité d’un individu au sein d’une équipe de sécurité. Cette fonction peut être utile à plusieurs parties prenantes au sein de l’entreprise, notamment aux équipes de réponse aux incidents, aux spécialistes en traque des menaces et à la direction.
- La cyberveille se concentre sur les menaces, et non sur les risques.
- Les menaces ne sont que l’un des composants des risques. Certains cadres, comme la méthode FAIR (Factor Analysis of Information Risk), permettent de regrouper toutes ces informations en un cadre plus riche.
ADOPTER EN PRIORITÉ DES MESURES D’ÉVALUATION DES RÉSULTATS
Rares sont les articles sur la cyberveille qui commencent par aborder le sujet de l’évaluation de l’efficacité d’un programme. Beaucoup la relèguent au second rang, à l’exception d’une poignée d’entreprises plus matures. Pourtant, cette évaluation est essentielle : des critères de réussite bien définis permettront d’établir un business case cohérent et, à plus long terme, de démontrer un retour sur investissement. C’est pourquoi nous abordons ce sujet au tout début de notre analyse.
La cyberveille n’est pas un exercice théorique, elle a pour objectif très concret d’augmenter les bénéfices. À cette fin, le programme de cyberveille doit être à la fois mesurable et adapté aux objectifs métier de l’entreprise.
- Récemment, de nombreux travaux ont été réalisés sur l’évaluation de l’efficacité des programmes de cyberveille et ont mis en avant des exemples dont vous pouvez vous inspirer pour développer le vôtre. (Voir à ce sujet les présentations de Microsoft et de ThreatConnect.) L’objectif est de diminuer l’importance accordée aux résultats seuls, d’étendre le business case et de vous permettre de démontrer un retour sur investissement. Voici quelques exemples :
- Nombre d’incidents liés à la cyberveille
- Délai moyen de détection
- Délai moyen de reprise
- Économies réalisées
- Réduction des coûts
- Réduction des risques Naturellement, une cyberveille débouchant sur des actions précises sera plus simple à évaluer.
- Adapté
- À moins que les objectifs de cyberveille ne soient alignés sur les objectifs métier de l’entreprise, il sera difficile de démontrer une véritable valeur ajoutée. Déterminez ce que vous souhaitez protéger en priorité : les données de vos clients, votre propriété intellectuelle ou votre marque. Vous en apprendrez davantage dans la section dédiée à la modélisation des menaces. En définissant vos objectifs de cyberveille et en les alignant sur vos objectifs métier, vous assurez l’efficacité optimale de votre programme de cyberveille.
CYBERVEILLE, INFORMATIONS ET DONNÉES
L’un des principaux obstacles à la pertinence de la cyberveille est la confusion entre les termes « données », « informations » et « cyberveille ». En effet, la banalisation de la cyberveille a estompé les différences entre ces trois concepts. Commençons par les clarifier.
Données — Les données sont des faits enregistrés à un moment donné. Elles laissent peu ou pas de place à la subjectivité. Les données sont binaires : elles sont soit vraies, soit fausses. Par exemple : À 10 h 27 mercredi dernier, le temps était humide à Londres.
Informations — Les informations sont des données structurées qui ont été combinées par le processus de collecte. Par exemple : Mercredi dernier, comme les 19 mercredis précédents, il a plu à Londres.
Cyberveille — La cyberveille porte sur des événements futurs, contrairement aux données et aux informations dont la nature est purement historique. L’unique objectif de la cyberveille est d’aider les décideurs à prendre des décisions plus avisées concernant un problème. Par exemple, le fait qu’il pleuve à Londres chaque mercredi depuis 20 semaines n’est qu’une coïncidence, mais d’après les données historiques, il existe une probabilité de 70 % qu’il pleuve mercredi prochain.
Ce schéma permet de comprendre la relation entre les trois termes :
- Le processus de collecte transforme les données en informations ; les informations sont ensuite converties en cyberveille par le processus d’analyse. Dans cette conceptualisation, les données, les informations et la cyberveille sont des produits, tandis que la collecte et l’analyse sont des processus.
- La pyramide du schéma représente le volume de chaque produit : une grande quantité de données est convertie en un plus petit ensemble d’informations, puis en un ensemble encore plus petit correspondant à la cyberveille.
- Le schéma met en avant la relation hiérarchique entre les données, les informations et la cyberveille, qui découlent l’une de l’autre. C’est ce qui distingue une supposition de la cyberveille. En effet, une évaluation de cyberveille est étayée par des informations et des données, contrairement à une supposition.
QUATRE TYPES DE CYBERVEILLE
Si de nombreuses entreprises affirment faire de la cyberveille, les tâches que ce concept recouvre peuvent être très différentes. Il existe quatre types de cyberveille. Bien qu’ils se rejoignent en certains points, leurs définitions nous aident à comprendre différentes fonctions de la cyberveille.
- Cyberveille stratégique
- Analyses approfondies et informations concernant les tendances au fil du temps, qui peuvent être utilisées pour prendre des décisions avisées, en particulier pour les membres du conseil d’administration et les cadres dirigeants.
- Analyses approfondies et informations concernant les tendances au fil du temps, qui peuvent être utilisées pour prendre des décisions avisées, en particulier pour les membres du conseil d’administration et les cadres dirigeants.
- Cyberveille opérationnelle
- Informations sur les attaques en cours et entrantes, notamment sur les cyberpirates et les campagnes.
- Informations sur les attaques en cours et entrantes, notamment sur les cyberpirates et les campagnes.
- Cyberveille tactique
- Informations sur les tactiques, techniques et procédures utilisées par les cyberpirates.
- Informations sur les tactiques, techniques et procédures utilisées par les cyberpirates.
- Cyberveille technique
- Essentiellement basée sur les indicateurs de compromission. Généralement utilisée pour la recherche et la détection de malwares, afin de cataloguer les familles de malwares en fonction de leurs caractéristiques (par exemple leurs modèles textuels ou binaires).
Pour compliquer encore la donne, ces types de cyberveille peuvent être produits en interne ou obtenus auprès de communautés de partage (FS-ISAC, HS-ISAC, etc.) ou d’un fournisseur externe (payant ou gratuit).
ÉVITER LES PIÈGES
Alors que de plus en plus d’entreprises adoptent la cyberveille (le SANS Institute fait état d’une augmentation de 60 à 72 % du nombre de répondants qui produisent ou consomment des informations de cyberveille), elle présente souvent plusieurs limites :
- Trop d’informations parasites et de faux positifs.
- Comme nous faisons souvent la confusion entre données, informations et cyberveille, une grande partie de la « cyberveille » en place dans les entreprises ne fait que compliquer la tâche d’équipes déjà en manque de personnel. Bien trop souvent, les équipes sont confrontées à des indicateurs de compromission sans réelle utilité.
- Manque de pertinence pour l’entreprise elle-même.
- La cyberveille porte sur des informations relatives aux attaques visant d’autres entreprises, qui ne concernent que rarement l’entreprise en question.
- Opérationnalisation insuffisante
- Une grande partie de la cyberveille fournit des informations, mais ne débouche pas sur des actions précises. La cyberveille doit améliorer la pertinence des décisions et permettre de prendre des mesures avisées.
Dans cet article, nous nous pencherons sur certaines bonnes pratiques permettant de tirer parti de la cyberveille et d’éviter ces pièges.
PROCESSUS DE CYBERVEILLE
Si vous comptez vous lancer dans la cyberveille, vous devez mettre en place des processus adaptés. Dans le cas contraire, vous pourriez ne pas tirer profit de votre fonction de cyberveille. Le cycle de cyberveille est un excellent point de départ.
QU’EST-CE QUE LE CYCLE DE CYBERVEILLE ?
Comme nous l’avons mentionné précédemment, plusieurs pièges sont associés à la cyberveille, notamment les faux positifs, le manque de pertinence et l’incapacité à corriger les problèmes. Ils surviennent le plus souvent lorsqu’un programme de cyberveille n’est pas assez ciblé et structuré dès le départ, et que les analystes effectuent des analyses sans réel objectif. C’est pourquoi le cycle de cyberveille reste d’actualité : il permet de définir les étapes nécessaires et de structurer le programme.
Le cycle de cyberveille comprend cinq étapes : l’orientation, la collecte, l’analyse, la diffusion et l’évaluation.
Orientation
Parmi toutes les étapes du cycle de cyberveille, il est tentant de se focaliser sur la collecte et l’analyse, et de laisser de côté l’orientation et la planification. Il est toutefois nécessaire d’adopter la bonne approche pour gagner du temps et rendre la cyberveille plus fructueuse
Avant que des données ne soient collectées, achetées, analysées ou partagées, les entreprises doivent d’abord comprendre ce qu’elles essaient de protéger. En d’autres mots, quelles sont leurs ressources critiques ? C’est bien entendu plus compliqué qu’il n’y paraît, car la notion de criticité n’est pas la même pour les cyberpirates et les entreprises (notamment en ce qui concerne les comptes de réseaux sociaux). En outre, une ressource critique peut être de nature tangible ou intangible. Par exemple, la connexion d’une entreprise au réseau bancaire SWIFT est une ressource tangible, tandis que la confiance des clients envers la marque est une ressource intangible.
Ce qui constitue ou non une ressource critique varie en fonction du secteur et de l’entreprise. Il est donc important de comprendre la valeur des ressources dans votre secteur particulier. Certaines ressources critiques sont communes à tous les secteurs, notamment les données de carte de paiement, les identifiants de connexion, les bases de données clients, les systèmes de paiement, les plateformes de négociation, les échanges, les systèmes ERP et les technologies propriétaires.
La prise de décisions au niveau du conseil d’administration n’est généralement pas motivée par une cyberveille tactique telle que des indicateurs de compromission, mais plutôt par des enjeux opérationnels ou stratégiques. Par conséquent, en plus de réfléchir aux ressources qui doivent être protégées, il est important d’identifier les exigences des principales parties prenantes et de déterminer comment le programme de cyberveille peut les satisfaire.
Collecte
Une fois que vous avez identifié les ressources que vous souhaitez protéger, vous pouvez commencer à réfléchir aux endroits où vous allez rechercher des informations sur les menaces pesant sur ces ressources. Un autre cycle, le cycle de collecte, permet de collecter des informations pertinentes et opportunes que les analystes peuvent transformer en cyberveille. Nos experts en cyberveille aiment développer un cycle de collecte incluant l’obtention de données observables, la collecte d’informations, l’évaluation de celles-ci et la réinjection de cette évaluation dans le cycle de collecte en vue d’améliorations futures. Il est nécessaire de garder en tête la couverture, les langues, les outils et l’orientation lors du développement d’un cycle de collecte.
En fonction des exigences initiales, les entreprises se tourneront vers un large éventail de sources. Celles-ci incluent généralement des sources techniques (dont un grand nombre sont disponibles gratuitement ici : https://github.com/hslatman/awesome-threat-intelligence), des réseaux sociaux, des forums cybercriminels, des pages du Dark Web, des référentiels de codes et plus encore. Pour vous faire une idée du type de sources à couvrir, consultez notre document sur les sources de données.
Nous n’aborderons pas les avantages et les inconvénients de la couverture des sources provenant du Dark Web dans cette analyse. Pour en savoir plus, consultez l’article « Surveillance du Dark Web :Le bon, la brute et le truand ». En résumé : l’importance du Dark Web est souvent exagérée, mais il peut s’avérer intéressant en fonction de vos objectifs.
Analyse
Comme nous l’avons mentionné précédemment, le processus d’analyse transforme les « informations » en « cyberveille ». En effet, une fois les informations collectées, il est nécessaire de les placer dans un cadre analytique, et il en existe beaucoup. Il est important que les équipes de cyberveille comprennent et exploitent ces cadres lors de la production de cyberveille. Ces cadres sont utilisés dans le secteur de la cybersécurité et permettent aux équipes de cyberveille de communiquer leurs résultats et conclusions de manière compréhensible.
Le cadre Cyber Kill Chain mis au point par Lockheed Martin est l’un des plus utilisés. Il définit sept étapes tangibles que suivent les cyberpirates pour mener une attaque, depuis leur perspective :
- Reconnaissance
- Implantation du mécanisme d’attaque
- Distribution
- Exploitation
- Installation
- Commande et contrôle
- Actions axées sur des objectifs
Ces étapes fournissent des informations précieuses sur les cyberattaques et permettent aux analystes de mieux comprendre les tactiques, techniques et procédures des cyberpirates.
Le cadre Cyber Kill Chain de Lockheed Martin sert de base aux cadres Diamond Model et MITRE ATT&CK. Dans le Diamond Model, les quatre angles représentent respectivement les cyberpirates, l’infrastructure, la victime et les capacités. Le modèle positionne chaque étape de la chaîne de frappe sur le diamant et précise si elle est motivée par des enjeux techniques ou sociopolitiques. L’objectif du Diamond Model est de gérer simultanément plusieurs chaînes de frappe en identifiant les similitudes entre les cyberpirates, les infrastructures, les victimes et les capacités des différentes chaînes.
MITRE ATT&CK va plus loin que le cadre Cyber Kill Chain en intégrant l’accès initial, l’exécution, la persistance, l’élévation de privilèges, le contournement des défenses, l’accès aux identifiants, la découverte, les mouvements latéraux, la collecte, la commande et contrôle (C&C), l’exfiltration et l’impact. Nous avons mis en correspondance de nombreuses campagnes avec le cadre MITRE ATT&CK dans cet article. Vous trouverez ci-dessous une mise en correspondance des tactiques utilisées par la GRU à l’approche des élections présidentielles américaines de 2016 avec le cadre MITRE ATT&CK.
Mitre ATT&CK and the Mueller GRU Indictment: Lessons for Organizations par Digital Shadows
Les biais cognitifs constituent l’un des principaux obstacles à une bonne analyse. Ce terme désigne « toute erreur de raisonnement, de jugement, de rappel ou erreur liée à un autre processus cognitif, résultant souvent des préférences et des croyances d’un individu indépendamment d’informations contraires ».
Il existe 188 types de biais cognitifs différents. Ils ont été combinés sur l’image ci-dessous. (Source : https://www.visualcapitalist.com/18-cognitive-bias-examples-mental-mistakes/)
Les analystes en cyberveille utilisent de nombreuses techniques pour éviter les biais cognitifs. Elles sont appelées « techniques analytiques structurées ». Richards Heuer est largement considéré comme le pionnier de l’analyse de la cyberveille. Il a publié de nombreuses techniques dans son ouvrage de 1999, « Psychology of Intelligence Analysis » — une lecture incontournable pour ceux qui s’intéressent aux techniques analytiques structurées.
Le plus souvent, les professionnels de la cyberveille se tournent immédiatement vers les techniques analytiques structurées sophistiquées. En réalité, des méthodes plus simples permettent d’obtenir d’excellents résultats. Par exemple, la méthode de l’avocat du diable et l’analyse SWOT, qui sont des techniques à la portée de tous, permettent d’affiner l’analyse. Vous trouverez plusieurs conseils dans un article que nous avons récemment publié à ce sujet, « A Threat Intelligence Analyst’s Guide to Today’s Sources of Bias ».
Toutefois, pour les analystes disposant de plus de temps, il existe des techniques telles que l’analyse des hypothèses concurrentes, une méthode développée par Richards Heuer lui-même, ainsi que le cône de plausibilité (plus adapté aux prévisions). Nous n’entrerons pas dans les détails dans cet article. Pour en savoir plus, consultez nos précédents articles sur l’analyse des hypothèses concurrentes et le cône de plausibilité :
- An Analysis of Competing Hypotheses for the Tesco Bank Incident
- Wannacry: An Analysis of Competing Hypotheses
- Wannacry: An Analysis of Competing Hypotheses Part II
- You Should Consider Forecasts, Not Prediction
Diffusion
Dans l’introduction, nous avons évoqué comment la cyberveille permettait de prendre une décision plus avisée ou de mieux informer les décideurs. Vous aurez beau produire les meilleures analyses, si elles ne sont pas communiquées de façon pertinente à vos parties prenantes, vous aurez perdu votre temps.
Lorsque vous discutez des conclusions et des options de diffusion, il est essentiel de communiquer avec votre public cible dans un langage commun. Étant donné que la cyberveille peut être tactique, opérationnelle, technique ou stratégique, les produits peuvent être très différents. Là où un public technique pourra être plus intéressé par les indicateurs de compromission et par le mode opératoire des cybercriminels, un public de cadres dirigeants voudra sans douter se concentrer davantage sur les risques, les ressources, les obligations, les bénéfices et les pertes pour l’entreprise. Cet aspect semble évident, mais le manque de compréhension entre les analystes et les décideurs a trop souvent des conséquences sur la sécurité. Pour accroître l’efficacité de la cyberveille, il est primordial d’employer le langage du risque avec les décideurs.
Découvrez six conseils de Rick Holland, RSSI de Digital Shadows, pour une communication efficace avec les parties prenantes :
- Utilisez la terminologie de votre interlocuteur, pas la vôtre.
- Les membres des communautés de la cyberveille et de la cybersécurité ont tendance à employer leurs propres abréviations et leur propre terminologie. À moins que votre client ne provienne de votre communauté, il ne comprendra pas ce que vous essayez de communiquer. Utilisez le vocabulaire et les analogies de votre vis-à-vis pour transmettre votre message.
- Les membres des communautés de la cyberveille et de la cybersécurité ont tendance à employer leurs propres abréviations et leur propre terminologie. À moins que votre client ne provienne de votre communauté, il ne comprendra pas ce que vous essayez de communiquer. Utilisez le vocabulaire et les analogies de votre vis-à-vis pour transmettre votre message.
- Concentrez-vous sur ce qui est important pour votre interlocuteur.
- Si vous vous adressez à un public technique, vous pouvez évoquer les indicateurs de compromission ainsi que le mode opératoire des cybercriminels. Vous devez communiquer différemment avec les cadres dirigeants. Les risques, les ressources, les obligations, les bénéfices et les pertes pour l’entreprise sont des aspects auxquels s’intéressent les cadres. Bien qu’il ait été mis en lumière depuis de nombreuses années, ce problème d’adaptation au public persiste.
- Si vous vous adressez à un public technique, vous pouvez évoquer les indicateurs de compromission ainsi que le mode opératoire des cybercriminels. Vous devez communiquer différemment avec les cadres dirigeants. Les risques, les ressources, les obligations, les bénéfices et les pertes pour l’entreprise sont des aspects auxquels s’intéressent les cadres. Bien qu’il ait été mis en lumière depuis de nombreuses années, ce problème d’adaptation au public persiste.
- Faites en sorte que votre interlocuteur se retrouve dans votre discours.
- Imaginez que vous vous adressez à un capitaine d’industrie : compte tenu de la diversité de ses intérêts commerciaux et de la généralisation des intrusions, il est fort probable que l’une de ses entreprises ait subi une compromission.
- Imaginez que vous vous adressez à un capitaine d’industrie : compte tenu de la diversité de ses intérêts commerciaux et de la généralisation des intrusions, il est fort probable que l’une de ses entreprises ait subi une compromission.
- Préparez des dossiers de briefing.
- Vous constituez bien des dossiers sur les cyberpirates. Pourquoi ne pas en faire de même avec les interlocuteurs qui consommeront votre cyberveille ? Quels sont les mots qui déclenchent une réaction de leur part ? Qu’est-ce qui est important pour eux ? Il est essentiel de comprendre et de documenter ce qu’il convient de dire et de ne pas dire pour communiquer efficacement avec une partie prenante difficile à convaincre. Il est important de consigner ces informations pour apprendre de vos réussites et de vos échecs. Compte tenu du taux de renouvellement du personnel dans les entreprises, il est primordial de capturer ces connaissances pour assurer la continuité de la production.
- Vous constituez bien des dossiers sur les cyberpirates. Pourquoi ne pas en faire de même avec les interlocuteurs qui consommeront votre cyberveille ? Quels sont les mots qui déclenchent une réaction de leur part ? Qu’est-ce qui est important pour eux ? Il est essentiel de comprendre et de documenter ce qu’il convient de dire et de ne pas dire pour communiquer efficacement avec une partie prenante difficile à convaincre. Il est important de consigner ces informations pour apprendre de vos réussites et de vos échecs. Compte tenu du taux de renouvellement du personnel dans les entreprises, il est primordial de capturer ces connaissances pour assurer la continuité de la production.
- Le cas échéant, changez vos pratiques actuelles.
- Ce n’est pas parce qu’une approche a fonctionné par le passé qu’elle peut être automatiquement appliquée à un nouveau consommateur de cyberveille. En matière de cyberveille, il n’existe pas de modèle universel. Il vous faudra adapter le format et le calendrier de votre programme de cyberveille à votre public.
- Ce n’est pas parce qu’une approche a fonctionné par le passé qu’elle peut être automatiquement appliquée à un nouveau consommateur de cyberveille. En matière de cyberveille, il n’existe pas de modèle universel. Il vous faudra adapter le format et le calendrier de votre programme de cyberveille à votre public.
- Interagissez avec votre interlocuteur en dehors des canaux officiels.
- Cherchez à interagir avec les consommateurs de votre cyberveille en dehors des réunions et des forums officiels. Sont-ils prêts à vous encadrer ? Accepteraient-ils que vous les invitiez à déjeuner ou à prendre un café ? Adoptez une approche psychologique qui trouvera écho, pour instaurer un climat de confiance qui sera la base d’une relation durable.
- Évaluation
- Cette étape clôture le cycle de cyberveille ; à ce titre, c’est sans doute la plus importante. L’étape d’évaluation consiste à analyser l’orientation et les objectifs de la cyberveille et à vérifier si ces objectifs ont été atteints, dans la perspective des recherches futures.
OPÉRATIONNALISATION DE LA CYBERVEILLE
Comme nous l’avons évoqué, il est important de communiquer efficacement avec les parties prenantes qui ont contribué à définir les exigences initiales du programme de cyberveille. Toutefois, il est également essentiel de s’assurer que les informations de cyberveille sont exploitables. Après tout, la cyberveille n’a de sens que si elle aboutit à la prise de mesures.
F3EAD
La méthodologie F3EAD (Find, Fix, Finish, Exploit, Analyze, and Disseminate) est un cycle de cyberveille alternatif et plus tactique que le cycle de cyberveille contemporain que nous avons passé en revue. Cette méthodologie est couramment employée par les militaires occidentaux dans le cadre de leurs opérations, mais peut tout à fait être appliquée dans un contexte de cybersécurité. Chez Digital Shadows, nous pensons que ces deux cycles peuvent être utilisés ensemble pour produire une cyberveille de meilleure qualité qui satisfait à la fois les exigences tactiques et stratégiques.
Comment cela fonctionne-t-il en pratique ? Prenons l’exemple d’un scénario dans lequel une équipe de cyberveille a déterminé que ses éléments de propriété intellectuelle sont une cible de choix pour les groupes APT.
| Étape | Mesure |
|---|---|
| Orientation | Le conseil d’administration identifie les groupes APT comme la principale menace de cybersécurité pour l’entreprise. |
| Collecte | L’équipe de cyberveille de l’entreprise collecte les données issues des cas d’intervention internes et les fusionne avec les données transmises par le fournisseur de cyberveille externe. |
| Analyse | Les données collectées sont fusionnées et analysées sur une période stratégique (entre six mois et un an). |
| Diffusion | Les résultats concernant la menace APT qui ciblait l’entreprise sont transmis au conseil d’administration et à la communauté de cyberveille au sens large. |
| Étape | Mesure |
|---|---|
| Recherche [Find] | Une activité suspecte est détectée sur un certain nombre de systèmes. |
| Correction [Fix] | Plusieurs indicateurs courants d’activité suspecte permettent d’identifier un ensemble de systèmes infectés. |
| Neutralisation [Finish] | Les systèmes sont mis hors ligne et de nouvelles machines sont fournies aux employés. |
| Exploitation [Exploit] | D’après l’analyse des malwares détectés sur les systèmes infectés, un certain nombre d’indicateurs de compromission spécifiques sont identifiés par l’équipe. |
| Analyse [Analyze] | La fusion des indicateurs de compromission identifiés « en interne » avec ceux transmis par le fournisseur de cyberveille tiers s’inscrit dans le cadre plus large de la menace APT et permet l’identification d’autres comportements anormaux sur le réseau de l’entreprise. |
| Diffusion [Disseminate] | Les résultats de l’analyse sont diffusés aux consommateurs tactiques (centre SOC, etc.) et aux partenaires stratégiques du projet (par exemple aux cadres dirigeants concernés par le problème). |
Mise en correspondance du cadre MITRE ATT&CK avec les huit critères essentiels de ASD
Comprendre les modes opératoires courants des cybercriminels peut vous aider à identifier les failles de sécurité au sein de votre propre entreprise, mais il peut s’avérer difficile d’en tirer des enseignements exploitables.
Pour vous aider, nous avons mis en correspondance des campagnes majeures avec les « huit critères essentiels » de l’Australian Signals Directorate (ASD), le service de renseignement australien axé sur la sécurité électronique. Ce dernier a identifié huit étapes de réduction des risques indispensables pour la protection des entreprises : inscription d’applications sur liste blanche ; application de correctifs aux applications ; configuration des paramètres des macros Microsoft Office pour bloquer les macros provenant d’Internet ; renforcement de la sécurité des applications utilisateur ; restriction des privilèges d’administration ; application de correctifs aux systèmes d’exploitation ; utilisation de l’authentification multifacteur ; et sauvegarde quotidienne des données.
Comme nous l’évoquons dans l’article, ces huit critères essentiels s’alignent facilement sur le cadre MITRE ATT&CK et permettent de contrer de nombreuses techniques utilisées par les cyberpirates au cours du cycle de vie d’une attaque. Les huit critères de l’ASD ne permettent pas de mettre une entreprise à l’abri des menaces, mais augmentent les coûts engagés par les cyberpirates pour lancer une attaque.
Intervention et prise de mesures efficaces grâce à la cyberveille
La cyberveille doit non seulement permettre de prendre des décisions plus avisées, mais aussi motiver l’intervention et la prise de mesures. Par exemple, il se peut que vous découvriez que l’un de vos partenaires a subi une compromission entraînant le vol des identifiants de certains de vos collaborateurs. Dans ce cas, il est important que vous preniez des mesures visant à réinitialiser les identifiants concernés.
Autre cas de figure : un cyberpirate enregistre des domaines usurpés dans le cadre d’une campagne de phishing vous ciblant, vous et vos clients. Dans ce cas, le domaine en question doit absolument être mis hors service.
Ce ne sont que deux exemples de mesures que nous avons observées au sein des entreprises, mais il en existe bien d’autres encore.
Cyberveille et risques
Comme nous l’avons évoqué au début de l’article, la cyberveille et les risques sont deux choses différentes. Les menaces ne sont que l’un des composants des risques. La mise en correspondance des informations de cyberveille avec des cadres de gestion des risques vous permet de prendre des décisions stratégiques plus avisées.
Les risques peuvent être évalués de différentes manières, notamment grâce aux normes Octave, NIST, COBIT et FAIR, ou à de nombreux autres types de cadres de gestion des risques informatiques. Ceux-ci utilisent différentes méthodes pour identifier les ressources, les vulnérabilités et les menaces, ainsi que pour identifier et réduire les risques.
Chez Digital Shadows, nous avons aligné notre évaluation des risques numériques sur le cadre FAIR. La méthode FAIR (Factored Analysis of Information Risk) est une « taxonomie des facteurs contribuant aux risques et de leur influence réciproque. Elle vise principalement à établir des probabilités précises en ce qui concerne la fréquence et l’ampleur des événements de perte de données. » En tant que cadre de gestion des risques de premier plan, la méthode FAIR est particulièrement efficace dans la mesure où elle décompose un concept difficilement mesurable en un ensemble de concepts plus faciles à évaluer.
SearchLight applique notre modèle d’évaluation des risques aligné sur le cadre FAIR à tous les risques numériques, en tenant uniquement compte des informations disponibles au moment du lancement de l’alerte. Il va de soi qu’il est impossible de connaître tous les facteurs d’influence pour toutes les entreprises et tous les risques : nous ignorons quels contrôles de réduction des risques ont été mis en place, tout comme le coût financier des données au sein de votre entreprise. Toutefois, en nous appuyant sur des scénarios et en déterminant les événements de perte de données associés à chaque type de risques, nous obtenons un modèle d’évaluation faisant office de référence pour évaluer les risques numériques concernés par l’alerte.
CINQ FAÇONS DE SE LANCER GRATUITEMENT DANS LA CYBERVEILLE
Il n’est pas toujours facile de se lancer dans la cyberveille. Voici cinq façons de le faire dès aujourd’hui.
- Profitez du large éventail de ressources et d’outils de cyberveille gratuits, répertoriés sur cette page : https://github.com/hslatman/awesome-threat-intelligence
- Lisez ou écoutez nos synthèses hebdomadaires sur la cyberveille. Si vous n’avez pas le temps de vous tenir informé des dernières actualités, ces synthèses sont faites pour vous.
- Pour les lire, rendez-vous sur la page suivante : https://resources.digitalshadows.com/weekly-intelligence-summary
- Pour les écouter, utilisez votre lecteur de podcasts favori ou retrouvez les derniers épisodes sur la page suivante : https://resources.digitalshadows.com/threat-intelligence-podcast-shadowtalk.
- Inscrivez-vous pour découvrir notre outil gratuit : Test Drive. Il vous permettra de profiter gratuitement des avantages de Digital Shadows pendant 7 jours :
- Profils de cyberveille des cyberpirates
- Dernières actualités du secteur
- Accès complet au Dark Web et aux sources criminelles
- Ne vous arrêtez pas là ! Katie Nickels, experte du secteur et responsable de la cyberveille ATT&ACK chez MITRE, a rédigé un billet répertoriant dix excellents articles de blog pour se lancer dans la cyberveille.
- Consultez notre blog dédié à la cyberveille et abonnez-vous : https://www.digitalshadows.com/blog-and-research/category/threat-intelligence-tradecraft/
Vous souhaitez discuter avec l’un des experts en cyberveille de Digital Shadows, pour déterminer comment nous pouvons vous aider à tirer parti de la cyberveille ? Remplissez le formulaire ci-dessous. Nous reviendrons vers vous: https://info.digitalshadows.com/LiveDemoRequest-Website-FR_RegistrationPage.html