Il y a presque déjà 10 ans, quand j’ai commencé à travailler dans le secteur de la cybersécurité (et à travailler tout court), mon premier poste consistait en grande partie à réaliser une veille sur la cybercriminalité et en rédiger des synthèses et des analyses. La finalité était alors en 2009 d’informer mes clients sur l’actualité cyber (c’était l’époque ou le préfixe cyber commençait à peine à envahir nos écrans). Cela prenait la forme de brèves alertes synthétiques envoyées par e-mail mais également de livrables d’analyse comme des newsletters ou des rapports hebdomadaires ou mensuels.
10 ans plus tard, le flux d’informations sur les cybermenaces a explosé. Il n’y a pas un jour sans qu’une cyberattaque fasse le buzz sur Twitter, dans les médias spécialisés voire le JT de 20h. Les éditeurs de solutions de cybersécurité, chercheurs et blogueurs nous abreuvent quotidiennement de nouveaux rapports sur les (nouveaux) modes opératoires d’une centaine de groupes d’attaquants informatiques. La quantité d’informations à analyser est considérable !
Know Your Adversaries
Quand on me demande d’expliquer ce qu’est la Threat Intelligence (aka le renseignement sur les menaces), je réponds généralement qu’il s’agit pour moi d’analyser les cybermenaces en fonction d’un contexte spécifique (une organisation, un secteur d’activité, une région du monde, un pays, etc.). Et que pour analyser ces menaces, on doit s’intéresser en particulier à ceux qui les commanditent ou exécutent : des adversaires loin d’être virtuels qui ne sont pas des ordinateurs mais bien des femmes et des hommes qui font leur travail : exploiter les failles techniques, humaines et organisationnelles de nos organisations pour subtiliser de l’information ou de l’argent, faire passer des messages politiques ou religieux voire saboter nos systèmes informatiques.
Il faut s’intéresser à nos adversaires pour les connaître et surtout les comprendre. Quelles sont leurs motivations ? Quels sont leurs moyens techniques, financiers et humains ? Quels modes opératoires utilisent-ils pour infiltrer nos réseaux informatiques ? Quelles empreintes laissent-ils ? Quelles erreurs font-ils ?
La Threat Intelligence va permettre de répondre à toutes ces questions. Mais je n’ai pas dit que ça serait facile 🙂 Tout comme la veille et l’analyse, qui sont deux piliers de la Threat Intelligence, une de ses finalités est d’informer les décideurs mais également les opérationnels. Mais le grand changement c’est que cette Threat Intelligence va devoir être « actionnable » (oui ce mot est loin d’être joli en français mais je n’ai rien trouvé de mieux). C’est à dire que ces informations transformées en renseignements doivent servir à quelqu’un et à quelque chose : prendre une décision sur un budget et adapter ses moyens de défense, détecter une attaque en cours ou qui a eu lieu dans le passé (rechercher une potentielle compromission aka l’art du hunting), anticiper les prochaines. C’est toute la difficulté de la Threat Intelligence : comment transformer une meilleure compréhension et visibilité des cybermenaces en une valeur ajoutée pour sa cyberdéfense ?
La Threat Intelligence ce n’est pas qu’une simple veille « de luxe » comme certaines mauvaises langues le sous-entendent en réduisant cette approche à un simple changement de nom « marketing ». C’est aussi et surtout de l’investigation et de l’analyse. Mais également imaginer et développer un ensemble de solutions technologiques (intégrant notamment tous les enjeux de l’automatisation) et une gouvernance permettant de faire en sorte que ces renseignements sur les (cyber)menaces renforcent le niveau de cybersécurité de l’organisation que l’on souhaite protéger.
10 ans plus tard, notre approche de la cybersécurité devient (enfin) de plus en plus mature et intelligente. C’est en connaissant et en comprenant nos adversaires (et leurs modes d’actions) que nous pourrons mieux nous protéger. En effet, ce n’est pas plus en empilant les solutions de sécurité périmétriques ou en étant simplement « conforme » à un référentiel ou à une réglementation que l’on réussira à sécuriser nos outils de travail. Soyons pragmatiques et adaptons nos défenses à ceux qui nous attaquent !
Et je n’ai pas oublié : je vous souhaite à toutes et à tous une excellente année 2019 !