Les fournisseurs de renseignements traditionnels et les entreprises hautement spécialisées offrent actuellement de plus en plus de services de cyber intelligence sous une forme ou une autre, et des fournisseurs individuels développent des outils spéciaux pour analyser les renseignements et trouver des traces de cybercriminels dans l’infrastructure. On parle notamment de la Threat Intelligence qui est un outil qui fait l’objet d’un débat actif depuis plusieurs années, mais dont peu d’entreprises encore savent utiliser sa vraie valeur.
Les services de la Threat Intelligence
Les entreprises spécialisées dans la sécurité de l’information fournissent des services d’abonnement en cyber intelligence. Ils utilisent diverses sources pour collecter des données sur les attaques: capteurs réseau et sandbox, réseaux de surveillance distribués, filtres anti-spam, services proxy et VPN, informations publiques (blogs, médias, réseaux sociaux), sandbox publics, etc. En outre, les analystes et les «utilisateurs de confiance» collectent des informations auprès de communautés fermées et de darknet.
Le résultat de l’enquête peut être présenté sous la forme de rapports préparés sur les tactiques, méthodes et procédures utilisées par les cybercriminels, de notifications en temps réel sur l’activité du botnet et les attaques de phishing, de bases de données d’indicateurs de compromission et autres.
Ces rapports sont souvent accompagnés de conseils spécifiques sur la lutte contre les cybercriminels et des mesures de protection nécessaires. Certains services proposent même un analyste dédié chargé d’enquêter davantage sur une menace ou un incident et d’adapter ses stratégies de sécurité.
Les plate-formes de Threat Intelligence
Les plate-formes de Threat Intelligence aident à analyser, trier, comparer et stocker des flux. Certaines plates-formes facilitent la réception, le stockage et l’analyse des flux, tandis que des solutions plus avancées fournissent des fonctionnalités avancées pour travailler avec des sources de données, une recherche avancée, des requêtes supplémentaires dans des systèmes externes et une fonctionnalité de réponse plus large. Il existe également une classe d’outils permettant de détecter les menaces cachées basées sur des données de Threat Intelligence.
Il est important donc de mettre en évidence le fait que, même dans sa forme la plus simple, la Threat Intelligence est en mesure d’apporter des avantages concrets en matière de protection contre les cybercriminels, car l’une de ses tâches importantes est de fournir aux spécialistes de la sécurité de l’information des données et un contexte pertinent pour hiérarchiser leurs actions et leurs décisions.
Sanda Spinu
Master 2 Cyberjustice – promotion 2018-2019
