Threat Intelligence : connaître pour anticiper


En quelques années seulement, la Threat Intelligence est devenue incontournable dans la lutte contre les cybermenaces. Mais de quoi s’agit-il ?

Partager l’article

Selon Markets and Markets, en 2018,  le marché de la Threat Intelligence (TI), aussi connue sous l’acronyme “CTI” pour Cyber Threat Intelligence, pesait 5,3 milliards de dollars au niveau mondial. Un chiffre qui devrait atteindre les 12,9 milliards d’ici à 2023. De nombreuses solutions proposant différents types de Threat Intelligence ont ainsi émergé pour mieux répondre aux enjeux de sécurité des entreprises. Mais comment choisir la solution la plus adaptée à vos problématiques de sécurité ? Focus.

La Threat Intelligence, à quoi ça sert ?

La Threat Intelligence peut être définie comme une extension du processus de veille de sécurité, mais en beaucoup plus poussée. Elle complète ainsi les approches classiques de la sécurité par une analyse basée sur le suivi des attaquants.

L’objectif ? Alimenter continuellement une base de données des menaces et des pirates pour demeurer en capacité de répondre au plus vite aux attaques éventuelles, mais aussi et surtout, en anticiper de nouvelles. Pour cela, les équipes de Threat Intelligence collectent et organisent les menaces afin d’établir des profils complets (attaquants, secteurs d’activités touchés, méthodes utilisées, etc.), et ce tout au long de l’année.

La Threat Intelligence, ce n’est pas :

La Threat Intelligence ne prend pas en considération :

  • des informations évidentes au sujet d’une menace qu’il serait possible de détecter sans connaissances du domaine;
  • des renseignements sur les vulnérabilités (même si elles sont souvent transmises par les fournisseurs de TI);

 La TI n’est pas non plus un outil dédié à la réponse aux incidents, même si les équipes de réponse aux incidents bénéficient des retours de Threat Intelligence. L’objectif d’une solution de Threat Intelligence est avant tout de réduire les risques opérationnels pour maintenir ou augmenter la rentabilité de l’entreprise. Elle ne doit pas être une connaissance exhaustive des menaces et de leurs caractéristiques. Au contraire, optimiser le tri des données récoltées permet de traiter uniquement les informations les plus pertinentes pour apporter les réponses les plus ciblées possibles. On parle alors de « renseignement ».

Pour les équipes de Threat Intelligence, quelle est la différence entre une donnée, une information et un renseignement ?

La Threat Intelligence fait les distinctions suivantes :

  • Les données (ou data) : disponibles en grande quantité, les données doivent être extraites de façon sélective, organisée, datée et formatée afin de devenir de l’information ;
  • Les informations : elles sont produites quand des points de données sont combinés pour répondre à une question simple ;
  • Les renseignements : ils sont une combinaison d’informations et de données permettant de recomposer une histoire ou une suite d’évènements pouvant être utiles à une prise de décision. Le renseignement aide à trouver une réponse à une question plus complexe.

Données

  • Issues de l’environnement opérationnel du système ou de sources externes
  • Disponibles en grande quantité mais avec une durée de vie courte
  • Collectées indistinctement
  • Peuvent être vraies, fausses, trompeuses
  • Non actionnables

Informations

  • Combinaison de points de données répondant à une question simple
  • Non évaluées
  • Issues de données filtrées, organisées et formatées
  • Peuvent être vraies, fausses, trompeuses
  • Non actionnables

Renseignements

  • Combinaison d’informations et de données répondant à une question complexe
  • Vérifiés par des experts
  • Collectés depuis des sources fiables, évaluées et recoupées
  • Vrais et précis
  • Actionnables

Un renseignement est une combinaison d’informations et de données permettant de recomposer une histoire (une suite d’évènements) pouvant être utile à une prise de décisions.

Prochaine étape pour choisir la solution la plus adaptée : découvrir les différents types de Threat Intelligence.

A propos du blogueur

Mathilde Poulbot est ingénieure apprentie chez Orange Cyberdefense. Diplômée de l’IUT de Saint-Malo, elle étudie aujourd’hui à l’Ecole Nationale Supérieure d’Ingénieurs de l’Université de Bretagne-Sud (ENSIBS). 

Découvrez les blogueuses du Blog Orange Cyberdefense