Tout ce que vous devez savoir sur la Cyber Threat Intelligence

L’augmentation des menaces cyber, la complexification des attaques et l’intensité de leurs impacts ont rendu obligatoire le fait de se tenir informé du contexte cyber dans lequel votre entreprise évolue.  

Pour tout savoir sur la Cyber Threat Intelligence vous pouvez télécharger notre livre blanc “Cyber Threat Intelligence : Comment vous aide-t-elle à bien allouer votre budget cybersécurité ?”  

Le renseignement sur les menaces cyber, aussi appelé Cyber Threat Intelligence permet de disséminer de l’information à l’ensemble de votre chaîne de défense. Qu’elles soient techniques ou contextuelles, la connaissance de ces informations permet de mieux anticiper, détecter et répondre aux menaces anciennes ou futures.  

Sommaire  

1 – Qu’est-ce que la Cyber Threat Intelligence ? 

2 – Les moyens utilisés dans une stratégie de Cyber Threat Intelligence 

3– La nécessité de se placer dans la posture de l’attaquant   

4 – La Cyber Threat Intelligence en lutte contre un contexte hostile   

5 – La Cyber Threat Intelligence pour couvrir les risques  

6 – Avancer dans sa stratégie CTI 

7 – Cas clients issus du secteur de la santé 

1. Qu’est-ce que la Cyber Threat Intelligence ? 

1.1. Définition de la Cyber Threat Intelligence 

La Threat Intelligence, ou Cyber Threat Intelligence (CTI) est une discipline basée sur des techniques du renseignement. Il s’agit de la collecte et l’organisation de toutes les informations liées aux menaces du cyberespace, afin de dresser un portrait des attaquants ou de mettre en exergue des tendances (secteurs d’activités touchés, méthodes utilisées, etc). Ce profiling permet de mieux se défendre et d’anticiper davantage les différents incidents grâce à une détection aux prémices d’une attaque.  

1.2. L’origine de la Cyber Threat Intelligence 

La Cyber Threat Intelligence a pour ancêtre le renseignement militaire. Le renseignement se définit comme une donnée (élément général et non contextualisé) devenant une information (matière brute contextualisée et confirmée). Au travers de l’analyse, l’information devient renseignement (matière confirmée, vérifiée et directement actionnable).   

1.3. Les différents niveaux de Cyber Threat Intelligence  

Il existe plusieurs niveaux de Cyber Threat Intelligence chacun lié à une analyse et des données brutes spécifiques. Les données techniques sont utilisées par les équipes opérationnelles. Les éléments tactiques permettent d’analyser les méthodes d’attaque et les portes d’entrée utilisées par des attaquants. Enfin, la partie stratégique met en évidence les liens entre géopolitique et menaces cyber. 

• Technique : (IOCs : Indicator of Compromise) qui alimente les outils de détection et de recherche de compromission 
• Tactique : méthodes des attaquants (TTPs : Tactics, Techniques and Procedures) qui aident à la priorisation des projets de sécurisation 
• Stratégique : informations qui orientent les décideurs   

Nous proposons une définition plus détaillée de ce qu’est vraiment la Cyber Threat Intelligence et de son cycle de vie dans l’article “Qu’est-ce qu’est vraiment la Cyber Threat Intelligence ?”  

2. Les moyens utilisés dans une stratégie de Cyber Threat Intelligence 

2.1 La surveillance du périmètre connu et maîtrisé  

2.1.1 IPs 

Vos ordinateurs, smartphones ou tout autre dispositif relié à internet possède une adresse IP. Dès lors qu’ils sont exposés sur Internet, vos équipements peuvent donc représenter une menace pour votre entreprise. Ces adresses IP, en exposant des ports ou des services sensibles peuvent être des vecteurs importants d’attaque. Des scanners de réseau permettent notamment aux attaquants de découvrir les adresses IPs qui seront ensuite utilisées pour attaquer anonymement des serveurs.    

2.1.2 DNS  

Le serveur DNS (Domain Name System, ou Système de noms de domaine) est un service dont la principale fonction est de traduire un nom de domaine en adresse IP. 

Les éléments à surveiller sont nombreux : domaines et sous-domaines nouvellement ajoutés, enregistrements DNS historiques et nouveaux, associations IP, liens entre les domaines… 
La surveillance des DNS permet notamment de :  

• Rechercher et supprimer des enregistrements DNS inconnus, anciens et obsolètes 
• Trouver des noms de domaine et de sous-domaine malveillants 
• Détecter les attaques de phishing 
• Prévenir les attaques de sous-domaines en analysant les enregistrements DNS obsolètes 
• Surveiller l’utilisation de la marque et des droits d’auteurs 

Serenety surveille le périmètre connu et maitrisé pour réduire sa surface d’attaque et permet notamment :  

• L’identification des systèmes exposés ou vulnérables 
• La découverte de nouveaux assets
• Le suivi de l’obsolescence et de l’expiration de vos systèmes 
• L’identification du niveau de risque de vos assets (présence sur des sites de phishing, sur des blacklists, etc.) 
• L’identification des nouvelles menaces sur votre périmètre (failles 0-day) 

2.1.3 Mots-clés 

Il s’agit d’un ensemble de mots relatifs à une société ou une thématique, il peut s’agir des noms de marques ou de filiales, mais également des noms de projets internes ou encore des mots-clés techniques spécifiques à des ressources Cloud.  

Serenety surveille la surface d’exposition via le suivi des mots-clés et notamment dans le but de limiter les menaces liées aux thématiques suivantes :  

• L’usurpation de marque ou de VIP 
• La fuite d’informations (données personnelles, identifiants, documents stratégiques ou techniques, etc.) 
• La revente d’informations sur des surfaces comme le Dark Web 

2.2. La surveillance du périmètre inconnu et non-maîtrisé 

Les moyens de collecte et de surveillance du périmètre inconnu sont nombreux.  

2.2.1 OSINT 

Il existe de nombreuses sources d’informations accessibles au public qui peuvent être compilées et analysées dans le but de générer des renseignements sur les menaces. Les informations recueillies à partir de la collecte Open Source Intelligence (OSINT) peuvent aider les organisations à identifier les zones de risque. C’est ce que nous décrivons dans l’article « Méthode OSINT : mieux maîtriser son environnement et son exposition »

Si l’OSINT peut être utilisé de manière seule, l’information en source ouverte est par définition au coeur de la Cyber Threat Intelligence. Pour en savoir plus, référez-vous à l’article « Comment l’OSINT permet-il d’enrichir sa stratégie de Cyber Threat Intelligence ? »

2.2.6 DARK WEB 

Les consultants d’XMCO ont présenté lors d’un webinar leur vision de la CTI et les pépites qu’ils identifient pour le compte de nos clients sur le Deep Web et Dark Web (accès webshell, bases d’identifiants valides compromis, accès VPN vers des ressources stratégiques, les cas sont nombreux et variés). Voici les cas d’usages présentés. Pour en savoir plus visionnez la session “CERT-XMCO : les analystes contre-attaquent – Episode 1 : le retour du darkweb” https://app.livestorm.co/xmco/cert-xmco-les-analystes-contre-attaquent?type=detailed 

1 – Prise de contact avec un attaquant pour obtenir des informations   
2 – Surveillance des plateformes de vente d’accès compromis  
3 – Analyse de données clients publiées sur un forum du Deep Web  
4 – Découverte d’une compromission lors d’une discussion avec un attaquant   
5 – Suivi Dark Web suite à une compromission   
6 – Compromission d’un prestataire   

Nous avons créé un module de sensibilisation spécifique aux dangers du Dark Web. Vous pouvez en demander un aperçu ici ou demander une sensibilisation pour votre organisation.  

Serenety surveille le périmètre inconnu des organisations pour une maîtrise de la surface d’exposition et permet notamment :  

• L’identification du shadow IT (sites web non validés/autorisés) 
• La surveillance des réseaux sociaux et des forums ou market places sur le Deep et le Dark Web 
• L’identification des fuites de données sensibles ou critiques pour votre organisation 

Pour optimiser cette surveillance, nous utilisons et avons développé plus de 40 modules de détection.  

3. La nécessité de se placer dans la posture de l’attaquant  

Dans un contexte d’augmentation de la menace, les RSSI doivent absolument faire évoluer leur posture et adopter une stratégie fondée sur l’attaquant. Il s’agit de se placer dans la peau d’un attaquant pour regarder où et comment il pourrait attaquer une organisation. Les ressources et le temps étant limités, cela permettra d’identifier les zones d’analyse à prioriser.  

Basée sur la connaissance des menaces pesant sur la surface d’attaque, cette analyse a pour but d’identifier, au travers des mêmes moyens que ceux utilisés par les attaquants, les portes d’entrée vers les systèmes d’information de leurs cibles.  

Serenety aide les directions informatiques à répondre à leurs questions en délivrant les informations contextualisées. Pour se faire, les équipes d’analystes peuvent utiliser les matrices PRE-MITRE et MITRE ATT&CK. Découvrez-en davantage dans l’article “La nécessite de se placer du point de vue de l’attaquant” .  

Cette posture de l’attaquant a évité à nombreux de nos clients des frayeurs. Nous évoquons dans une présentation des alertes les plus effrayantes de nos clients. En complément, Franck Chemin, RSSI, Crédit Agricole Alpes Provence et Cédric Voisin, RSSI Groupe de Doctolib partagent leurs retours d’expérience. Vous pouvez télécharger la présentation des alertes.

4. La Cyber Threat Intelligence en lutte contre un contexte hostile  

Les chiffres et les faits d’actualités parlent d’eux même les attaques informatiques sont répandues et concernent tous les types d’organisations.  

Nous pouvons distinguer plusieurs types de menaces :

4.1 Les ransomwares 

Également appelés rançongiciels, cette version numérique du racket prend en otage les données d’une organisation. En effet, les programmes malveillants viennent chiffer les données qui seront à nouveau accessibles après paiement d’une rançon.  

Cette menace est de plus en plus répandue, à l’image de ce que nous décrivons dans l’article “L’évolution de la menace ransomware » 

Et les groupes et opérateurs de ransomwares se professionnalisent…. C’est ce dont nous parlons dans l’article « État des lieux des menaces en 2021, entre professionnalisation des groupes et explosion des ransomwares« . 

Les conséquences sont lourdes et le retour à la normale après une attaque peut s’avérer long. Plusieurs options sont envisagées pour prévenir et minimer l’impact des ransomwares. Nous en détaillons une dans “Ransomwares, une coopération internationale profiterait-elle réellement à tout le monde ?” 

4.2. Cyber-espionnage 

Si nous associons souvent les motivations des cyberattaquants à une quête financière, il n’en est pas moins une motivation d’ordre économique (vol de propriété intellectuelle, vol de données confidentielles, vol de données personnelles), d’ordre idéologique (activisme, politique, religion) ou lié à la vengeance personnelle ou professionnelle. 

Dans ce prolongement, on associe aussi souvent les cyberattaques à des acteurs non-étatiques tels que des individus isolés ou des groupes organisés. Les Etats peuvent aussi être à l’origine de cyberattaques. Nous revenons sur ce sujet dans « Cyber-espionnage : les attaques émanant d’États, la prochaine menace majeure pour vos systèmes de sécurité ? »

Un scénario d’attaque émerge et fait écho à l’environnement géopolitique et économique actuel : les Big Game Hunting. Cette « chasse au gros » comme l’avait nommé CrowdStrike courant 2018 a explosé en 2020. Cela s’explique notamment par l’influence grandissante des États-nations dans l’échiquier cyber mondial, mais également grâce aux moyens financiers et humains considérables dont disposent aujourd’hui les groupes de cyber-attaquants. Principalement basées sur des attaques de type ransomwares, les Big Game Hunting ont pour but principal de soutirer argent et informations à leurs cibles. Découvrez en plus dans “Big game hunting : pourquoi faut-il s’inquiéter de la montée en puissance des Big Game Hunting ?”

La table ronde “Le Cyber-espionnage, nouveau visage de l’Intelligence Economique ?”, met en exergue l’importance d’une stratégie de Cyber Threat Intelligence et le lien entre les relations internationales et les menaces cyber. Elle vous donnera une vision supplémentaire sur le cyber-espionnage. Présente sur Youtube.  

4.3 Autres risques  

Les risques sont variés et dépendent aussi de l’actualité. Découvrez notre article “Le panorama des menaces cyber en 2021 : les entreprises face au risque cyber” https://www.xmco.fr/cyber-threat-intelligence-fr/menaces-cyber-en-2021-cyberrisques-entreprises/

• La Covid 
• Les élections présidentielles : Livre blanc Elections “Pirater les élections : états des lieux avant les présidentielles 2022”
• Les contextes géopolitiques et notamment la guerre en Ukraine 

5. La Cyber Threat Intelligence pour couvrir les risques 

Tous les risques évoqués à travers cet article peuvent être atténués grâce à la mise en place d’une stratégie de Cyber Threat Intelligence.  

La liste des risques est sans fins, la Cyber Threat Intelligence permet d’être protégé de la création de noms de domaines proches du vôtre, de changements de configuration IP et DNS, de nouvelles menaces, de l’apparition dans les listes noir type blocklist, de l’obsolescence/expiration de NDS ou SSL, des sites de phishing référencés, de la publication de pastes contenu à risque sur des comptes hacktivistes, du contenu frauduleux ou atteinte à l’image, de la publication de code source, des identifiants ou documents sensibles exposés… 

Elle permet notamment de régir face aux risques suivants :  

• Vol et fuite de données : fuite d’identifiants, de codes source ou encore de documents confidentiels Atteinte à l’image et usurpation d’identité : typosquatting, dépôt de marque ou domain hijacking 
• Fraude : campagnes de phishing, social engineering, revente de données sur le Dark Web 
• Planification d’attaques : contenu sur les réseaux sociaux, forum d’attaquants ou marketplaces 

Vous pourrez trouver les réponses à ses questions à travers la mise en place d’une stratégie de Cyber Threat Intelligence.  

• Quel est mon environnement de menaces ?  
  A quels risques dois-je me préparer ?  
• Pourquoi la CTI est-elle importante ? Quels sont les enjeux et les risques pour le CODIR ?
• Comment dois-je prioriser mes décisions de sécurité ?  
• Suis-je spécifiquement ciblé par des attaquants ?  
• Quelles méthodes et techniques sont utilisées par un attaquant pour me cibler ?  
• Comment devrais-je utiliser le renseignement sur la menace pour anticiper de futures attaques ?  
• Comment l’analyse fine de la CTI vous aide à répartir votre budget cybersécurité global ?

6. Avancer dans sa stratégie CTI 

La fonction de RSSI implique de définir et de développer la politique de sécurité de son entreprise. Il est garant de sa mise en œuvre et en assure le suivi. Nous pensons que la Cyber Threat Intelligence est une brique inévitable dans la construction d’une politique de sécurité.  

Pour avancer dans votre réflexion, nous vous proposons le guide « Cyber Threat Intelligence : comment vous aide-t-elle a bien allouer votre budget cybersécurité ?”

Et pour vous aider à choisir un partenaire CTI, nous avons identifié les points qui nous semblent critiques.  

1. Privilégiez un programme qui surveille 24/7 votre surface d’attaque (périmètre connu) et votre surface d’exposition (périmètre inconnu).    
2. Ne cherchez pas une solution tout-en-un, mais une solution qui peut s’adapter à vos besoins. 
3. Si jamais vous souhaitez élargir votre stratégie de cyberdéfense en misant aussi sur une meilleure anticipation ou une réaction aux menaces, vérifiez les offres complémentaires du prestataire.    
4. Choisissez des prestataires qui se positionnent d’un point de vue extérieur et en posture d’attaquant.  
5. Optez pour des prestataires à même de vous apporter une définition dynamique de votre périmètre. 
6. Demandez à voir un exemple d’alerte. Vous saurez juger de sa qualité, du contexte apporté. 
7. Faites appel à un prestataire qui dispose d’un CERT. C’est l’assurance pour lui d’avoir accès à certaines données et aux forums d’échanges d’information.   
8. Privilégiez un service qui intègre une analyse manuelle pour éviter les faux positifs. 
9. Choisissez un service qui allie l’exhaustivité et la continuité des scans automatisés sur le web et l’expertise humaine grâce à des analyses manuelles.  
10. Vérifiez que vous avez accès à un maximum de livrables.   

Retrouvez la checklist détaillée dans “Les 11 points à suivre pour choisir son partenaire de Cyber Threat Intelligence”

7. Le secteur de la santé est un secteur à risques.  

Le niveau de menace dans le secteur de la santé est très élevé. Nous pouvons noter les points suivants :   

• Une forte augmentation des attaques liées au contexte de la Covid (campagnes de Phishing, ransomwares)  
• Plus de 20 établissements victimes de cyberattaques en 2021   
• Une forte valorisation des données de santé en vente sur le Deep Web / Dark Web   
• Un secteur stratégique  

Nous avons à plusieurs reprises évoqués ces risques et comment s’en prémunir avec nos clients Serenety :  

Rémi Tilly, RSSI, Sesan  

« On pourrait penser que l’aspect financier est le premier enjeu, c’est important, mais ce n’est pas celui que je citerai en premier. Lorsque l’on fait face à des cyberattaques dans les hôpitaux, le premier enjeu c’est la vie des patients et les conséquences qui peuvent en découler.   

En cas d’interruption de service, les professionnels de santé continueront toujours à recevoir les patients. Sans dossier patient, sans résultats d’analyses, c’est difficile de prendre en charge le patient de façon efficace. Cela peut avoir des conséquences fâcheuses et rajouter du stress aux équipes, qui n’ont pas besoin de ça, surtout à ce moment-là.   

J’identifie également un autre enjeu, celui des aspects réglementaires.  De nombreux hôpitaux ont fait face à des demandes de rançon, mais on parle moins des patients qui ont aussi subi ces chantages. De la même manière, les hackers contactent directement les patients et menacent de divulguer des informations.  Si c’est Rémi Tilly qui s’est fait soigner pour un rhume, ce n’est pas très grave. Si c’est une personne qui a fait un séjour dans un établissement psychiatrique, cela peut être un peu plus dramatique.  Ces victimes peuvent se retourner contre l’établissement et les tenir responsables. »   

Sesan élabore des solutions numériques qui permettent de collecter, stocker, traiter et distribuer de l’information pour les acteurs de santé franciliens.  

Lire la suite

Vincent Templier RSSI du CHU de Montpellier et RSSI/DPO du GHT Est-Hérault et Sud-Aveyron  

“Il y a eu pas mal de cibles dans le monde hospitalier. À la suite d’une importante fuite de données de santé émanant d’un groupement de laboratoires dans l’ouest de la France… nous nous sommes dit qu’il fallait faire attention et que nous avions peut-être des informations qui avaient fuité et peut-être été récupérées.  C’est pourquoi nous avons voulu faire appel à une société spécialisée sur le sujet. Nous avons donc testé le service Serenety, sous forme d’une période de test gratuite.”   

Lire la suite https://www.xmco.fr/temoignages-clients/retour-experience-serenety-vincent-templier-rssi-chu-de-montpellier/

Cédric Voisin, RSSI, Doctolib  

L’activité sur le site est intense, de l’ordre de 100 millions de visites par mois : « lors de la pandémie, nous avons enregistré sur notre plateforme jusqu’à 50 millions de rendez-vous par mois. Nous devons nous assurer à tout moment que nous sommes le mieux protégés possible, et être en capacité de détecter le plus vite possible une fuite de données » 

Un deuxième enjeu fort pour Doctolib, c’est la lutte contre le Shadow IT. L’entreprise est un acteur du Web dont quasiment 100 % de l’infrastructure est portée par le cloud public. Ce sont entre 300 à 350 applications SaaS que les collaborateurs sont amenés à utiliser, mais le RSSI souhaite limiter les usages à ces applications Saas dûment identifiées et cartographiées : « dans un contexte de croissance rapide, n’importe qui peut ajouter des solutions dans votre système d’information sans que vous en soyez avertis. Ce que nous permet la solution Serenety est assez simple : nous avons un portefeuille de 250 noms de domaines que nous avons placés sous surveillance ». 

Lire la suite sur LeMagIT 

Dans le webinar “Données de santé : le jour où mon cœur s’est arrêté de battre” nous avons présenté quelques alertes remontées à certains clients du secteur de la santé.  

• La compromission d’une base de données de santé 
• Revente de données de santé sur le Dark Web 
• Fuite de documents sensibles 
• Fuite d’identifiants de comptes 

Le sujet de la Cyber Threat Intelligence est traitée chez XMCO à travres notre solution Serenety.
Créée en 2010, Serenety est un service de Cyber Threat Intelligence, développé par le CERT-XMCO et à destination des organisations publiques et privées. Son objectif est d’identifier la surface d’attaque et la surface d’exposition des organisations surveillées au travers d’un outil simple d’utilisation et ergonomique. Il se distingue de ses concurrents par la corrélation de ses résultats issus des analyses automatiques des sources ouvertes surveillées et des investigations manuelles de son équipe d’experts qualifiés. Cette surveillance permet d’identifier les menaces et d’anticiper les risques notamment liés aux fuites de données, aux systèmes exposés et vulnérables ou encore à la compromission de comptes.