Editor’s Note: Over the next several weeks, we’re sharing excerpts from the newly released second edition of our popular book, “The Threat Intelligence Handbook: Moving Toward a Security Intelligence Program.” Here, we’re looking at chapter two, “The Threat Intelligence Lifecycle.”

Dans votre parcours vers l’intelligence de sécurité, une intelligence complète et en temps réel doit être étroitement intégrée à vos processus de sécurité, à votre programme de gestion des risques liés aux tiers et à votre stratégie de protection de la marque. Mais pour y parvenir, comment pouvez-vous développer des renseignements sur les menaces qui ajoutent vraiment de la valeur à votre organisation ? Et comment pouvez-vous vous assurer que les informations que vous fournissez sont exploitables par les équipes dans toutes les fonctions de sécurité ?

Pour répondre à ces questions, il est important de considérer la production de renseignements sur les menaces comme un processus cyclique en plusieurs étapes, et non comme une tâche ponctuelle.

Définir le Renseignement sur les menaces Cycle

Tout d’abord, les objectifs du cycle de renseignement sur les cybermenaces doivent être définis par les principales parties prenantes. Ces objectifs peuvent varier considérablement d’une organisation à l’autre en fonction des cas d’utilisation, des priorités et des risques. À partir de là, les données doivent être recueillies à partir d’un éventail de sources – internes, techniques et humaines – afin d’obtenir une image complète des cybermenaces potentielles et réelles. Ensuite, ces données doivent être traitées et transformées en renseignements réels, opportuns, clairs et exploitables par tous, qu’il s’agisse de doter un SOC, de répondre à des incidents de sécurité, de gérer des vulnérabilités, d’analyser les risques liés aux tiers, de protéger votre marque numérique ou de prendre des décisions de sécurité de haut niveau. Cette production de renseignements finis est ensuite transmise aux principales parties prenantes, qui peuvent l’utiliser pour améliorer continuellement les cycles de renseignement futurs et affiner leur processus de prise de décision.

The following excerpt from “The Threat Intelligence Handbook: Moving Toward a Security Intelligence Program” has been edited and condensed for clarity. In it, we'll examine each of the six phases of the threat intelligence lifecycle, review sources of threat intelligence, and look at the roles of threat intelligence tools and human analysts.

Le cycle de vie de la Threat Intelligence en 6 étapes

Les renseignements sur les menaces s’appuient sur des techniques analytiques perfectionnées depuis plusieurs décennies par les agences gouvernementales et militaires. Le renseignement traditionnel se concentre sur six phases distinctes qui constituent ce que l’on appelle le « cycle du renseignement » : la direction, la collecte, le traitement, l’analyse, la diffusion et la rétroaction.

La Threat Intelligence et les six phases du cycle de vie du renseignement.

1. Mise en scène

La phase d’orientation du cycle de vie est celle où vous fixez des objectifs pour le programme de renseignement sur les menaces. Il s’agit de comprendre et d’articuler :

• Les actifs informationnels et les processus métier qui doivent être protégés
• Les impacts potentiels de la perte de ces actifs ou de l’interruption de ces processus
• Les types de renseignements sur les menaces dont l’organisation de sécurité a besoin pour protéger les actifs et répondre aux menaces émergentes
• Priorités concernant ce qu’il faut protéger

Une fois que les besoins en intelligence de haut niveau sont déterminés, une organisation peut formuler des questions qui canalisent le besoin d’information en exigences discrètes. Par exemple, si l’objectif est de comprendre les adversaires potentiels, une question logique serait la suivante : « Quels acteurs de la menace sur les forums clandestins sollicitent activement des données concernant notre organisation ? »

2. Collecte

La collecte est le processus de collecte d’informations pour répondre aux besoins les plus importants en matière de renseignement. La collecte d’information peut se faire de manière organique par divers moyens, notamment :

• Extraction de métadonnées et de journaux à partir de réseaux internes et de dispositifs de sécurité
• S’abonner aux flux de données sur les menaces provenant d’organisations industrielles et de fournisseurs de cybersécurité
• Tenir des conversations et des entretiens ciblés avec des sources bien informées
• Analyse des actualités et des blogs open source (une pratique OSINT courante)
• Scraping et récolte de sites web et de forums
• Infiltrer des sources fermées telles que les forums du dark web

Les données collectées sont généralement une combinaison d’informations de renseignement finies, telles que des rapports de renseignement d’experts et de fournisseurs en cybersécurité, et de données brutes, telles que des signatures de logiciels malveillants ou des informations d’identification divulguées sur un site de collage.

3. Traitement

Le traitement est la transformation des informations collectées dans un format utilisable par l’organisation. Presque toutes les données brutes collectées doivent être traitées d’une manière ou d’une autre, que ce soit par des humains ou des machines. Des méthodes de collecte différentes nécessitent souvent des moyens de traitement différents. Il peut être nécessaire de corréler et de classer les rapports humains, de déconflicter et de vérifier.

Par exemple, vous pouvez extraire des adresses IP du rapport d’un fournisseur de sécurité et les ajouter à un fichier CSV pour les importer dans un produit de gestion des informations et des événements de sécurité (SIEM). Dans un domaine plus technique, le traitement peut consister à extraire des indicateurs d’un e-mail, à les enrichir avec d’autres informations, puis à communiquer avec des outils de protection des terminaux pour un blocage automatisé.

4. Analyse

L’analyse est un processus humain qui transforme les informations traitées en informations susceptibles d’éclairer les décisions. Selon les circonstances, les décisions peuvent porter sur l’opportunité d’enquêter sur les menaces émergentes potentielles, les actions à prendre immédiatement pour bloquer une attaque, la manière de renforcer les contrôles de sécurité ou le montant justifié d’investir dans des ressources de sécurité supplémentaires.

La forme sous laquelle les informations sont présentées est particulièrement importante. Il est inutile et inutile de collecter et de traiter des informations, puis de les fournir sous une forme qui ne peut pas être comprise et utilisée par le décideur. Par exemple, si vous souhaitez communiquer avec des responsables non techniques, votre rapport doit :

• Soyez concis (une note de service d’une page ou une poignée de diapositives)
• Évitez les termes et le jargon déroutants et trop techniques
• Articuler les enjeux en termes commerciaux (tels que les coûts directs et indirects et l’impact sur la réputation)
• Inclure un plan d’action recommandé

Certaines informations peuvent avoir besoin d’être fournies dans une variété de formats pour différents publics, par exemple, par un flux vidéo en direct ou une présentation PowerPoint. Tous les renseignements n’ont pas besoin d’être digérés par le biais d’un rapport formel. Les équipes de renseignement sur les cybermenaces qui réussissent fournissent des rapports techniques continus à d’autres équipes de sécurité ayant un contexte externe sur les IOC, les logiciels malveillants, les acteurs malveillants, les vulnérabilités et les tendances des menaces.

5. Diffusion

La diffusion consiste à acheminer les renseignements finis là où ils doivent aller. La plupart des organisations de cybersécurité ont au moins six équipes qui peuvent bénéficier de la veille sur les menaces.

Pour chacun de ces publics, vous devez vous demander :

• De quelles informations sur les menaces ont-ils besoin et comment des informations externes peuvent-elles soutenir leurs activités ?
• Comment l’intelligence doit-elle être présentée pour la rendre facilement compréhensible et exploitable pour ce public ?
• À quelle fréquence devons-nous fournir des mises à jour et d’autres informations ?
• Par quels médias les renseignements doivent-ils être diffusés ?
• Comment devrions-nous faire un suivi s’ils ont des questions ?

6. Commentaires

Nous pensons qu’il est extrêmement important de comprendre vos priorités globales en matière de renseignement et les exigences des équipes de sécurité qui consommeront les renseignements sur les menaces. Leurs besoins guident toutes les phases du cycle de vie du renseignement sur les menaces et vous indiquent :

• Quels types de données collecter
• Comment traiter et enrichir les données pour les transformer en informations utiles
• Comment analyser les informations et les présenter sous forme de renseignements sur les menaces exploitables
• À qui chaque type de renseignement doit être diffusé, à quelle vitesse il doit être diffusé et à quelle vitesse il faut répondre aux questions

Vous avez besoin d’une rétroaction régulière pour vous assurer de comprendre les exigences de chaque groupe et d’apporter des ajustements à mesure que leurs besoins et leurs priorités changent.

Pourquoi le cycle de vie de Renseignement sur les menaces est-il si important ?

Fournit une structure et une organisation :

Le cycle de vie du Renseignement sur les menaces offre un cadre défini avec des phases claires (planification, collecte, traitement, analyse, diffusion, retour d'information). Cette structure garantit que les efforts de Renseignement sur les menaces sont organisés, systématiques et moins enclins au chaos ou aux étapes manquées, en particulier lorsqu'il s'agit de traiter de grandes quantités de données.

Garantir un renseignement ciblé et pertinent :

La phase de planification "" met l'accent sur la définition des besoins et des objectifs. Cela garantit que les efforts de collecte de renseignements sont ciblés sur les menaces et les besoins spécifiques de l'organisation, ce qui évite de gaspiller des ressources sur des informations non pertinentes et maximise la valeur des renseignements produits.

Transforme les données en informations exploitables :

Le cycle de vie de Renseignement sur les menaces ne consiste pas seulement à collecter des données, mais aussi à les transformer. Grâce au traitement "" et à l'analyse ", les données brutes" sont nettoyées, enrichies, contextualisées et analysées afin d'identifier des modèles, des tendances et des indicateurs de compromission significatifs. Cette transformation est essentielle pour que les renseignements soient utiles aux équipes de sécurité.

Permet des mesures de sécurité proactives :

En comprenant les motivations, les tactiques et l'infrastructure des attaquants (grâce à la phase d'analyse), les organisations peuvent anticiper les menaces potentielles et mettre en œuvre des mesures de sécurité proactives afin de prévenir les attaques avant qu'elles ne se produisent. La posture de sécurité passe ainsi d'une logique réactive à une logique préventive.

Améliore la détection des menaces et la réponse :

Actionable Renseignement sur les menaces améliore la capacité des outils de sécurité et des analystes à détecter avec précision les menaces et à réagir efficacement en cas d'incident. Les renseignements contextualisés réduisent les faux positifs et fournissent des informations cruciales permettant d'accélérer l'endiguement, l'éradication et la récupération.

Facilite la prise de décision en connaissance de cause :

Renseignement sur les menaces fournit un contexte précieux aux responsables de la sécurité pour qu'ils puissent prendre des décisions éclairées sur les investissements en matière de sécurité, les ajustements de politique, l'allocation des ressources et la gestion des risques sur la base du paysage des menaces, contexte des menaces.

Favorise l'amélioration continue :

La phase "Feedback" est essentielle pour tirer les leçons des efforts passés en matière de renseignement et des incidents de sécurité. Cette boucle de rétroaction permet aux organisations d'affiner leurs processus, d'améliorer la qualité de leurs renseignements et de s'adapter aux tactiques en constante évolution de l'acteur malveillant.

Améliore la collaboration et le partage d'informations :

La nature structurée du cycle de vie de la Renseignement sur les menaces facilite une meilleure communication et un meilleur partage de la Renseignement sur les menaces au sein de l'organisation et avec des partenaires externes de confiance, ce qui conduit à une défense plus collective et plus efficace.

En substance, le cycle de vie du Renseignement sur les menaces fournit une feuille de route pour transformer le bruit écrasant des cybermenaces en renseignements clairs et exploitables qui permettent aux organisations de mieux comprendre leur Adversaire, de renforcer leurs défenses et, en fin de compte, de réduire leurs risques.

FAQ sur le cycle de Cyber Threat Intelligence

Pourquoi le cycle de renseignement sur les cybermenaces est-il crucial pour les équipes de sécurité ?

Le cycle de renseignement sur les cybermenaces est essentiel pour les équipes de sécurité, car il fournit une méthodologie structurée pour recueillir, analyser et utiliser les renseignements sur les menaces. Ce cycle permet de mieux comprendre le paysage des menaces, ce qui permet de se préparer et de réagir efficacement aux menaces de sécurité. Tout au long de ce cycle, des renseignements exploitables sont générés, ce qui permet de prendre des décisions éclairées pour renforcer la posture de sécurité de l’organisation contre les cyberattaques.

Quels sont les principaux avantages de la mise en place d’un programme de threat intelligence ?

La mise en œuvre d’un programme de renseignement sur les menaces permet aux organisations d’anticiper, de se préparer et d’atténuer les menaces de sécurité potentielles. Ce programme fait partie intégrante du processus de renseignement sur les menaces, car il permet de mieux comprendre les auteurs de menace et leurs tactiques. Cela permet ainsi à l’équipe de renseignement sur les menaces de fournir des renseignements finis sur les menaces, essentiels pour des mesures de défense proactives. De plus, un programme de renseignement sur les menaces enrichit les stratégies de réponse aux incidents et favorise une culture d’apprentissage continu et d’adaptation à l’évolution du paysage des menaces.

Quelles sont les organisations qui bénéficient le plus du cycle de renseignement sur les cybermenaces ?

Les organisations opérant dans des secteurs disposant de données de grande valeur, tels que la finance, les soins de santé et le gouvernement, sont souvent des cibles de choix pour les acteurs de la menace, et bénéficient donc grandement du cycle de renseignement sur les cybermenaces. Ce cycle, avec ses étapes de cycle de vie définies pour les renseignements sur les menaces, facilite la collecte et l’analyse des renseignements sur les menaces, ce qui est essentiel pour comprendre et atténuer les risques potentiels. De plus, les organisations ayant une présence en ligne importante, les entreprises qui se concentrent fortement sur la disponibilité ou celles qui sont soumises à la conformité réglementaire trouvent également le cycle de renseignement sur les cybermenaces indispensable pour naviguer dans le paysage complexe de la sécurité.

Quels sont les défis courants rencontrés lors de la mise en œuvre du cycle de renseignement sur les cybermenaces ?

Les défis courants lors de la mise en œuvre comprennent la mise en place initiale d’une plate-forme de renseignement sur les menaces robuste, la garantie d’une collecte de renseignements continue et pertinente et l’analyse précise des données pour générer des informations exploitables. L’efficacité des rapports de renseignement sur les menaces peut être entravée par un manque de personnel qualifié ou des ressources insuffisantes. En outre, l’intégration des informations obtenues à partir de l’analyse des renseignements sur les menaces dans les procédures de réponse aux incidents existantes et la garantie d’un flux d’informations continu peuvent également poser des défis importants.

Comment le cycle de vie du Renseignement sur les menaces améliore-t-il la sécurité ?

Le cycle de vie du Renseignement sur les menaces renforce la sécurité en fournissant un processus structuré pour transformer les données brutes en informations exploitables sur les menaces. Cela permet aux organisations d'identifier de manière proactive les attaques potentielles, d'améliorer la précision de la détection des menaces, d'accroître l'efficacité de la réponse incident, de renforcer les défenses avec des contrôles ciblés, d'informer les décisions stratégiques en matière de sécurité, d'optimiser l'allocation des ressources, de faciliter la chasse proactive aux menaces, d'améliorer le partage des informations et d'affiner en permanence leur posture de sécurité sur la base de l'évolution du paysage des menaces, du contexte des menaces grâce à la boucle de rétroaction cruciale.

Comment l'automatisation et le site AI améliorent-ils le cycle de vie de Renseignement sur les menaces ?

L'automatisation et l'intelligence artificielle (AI) améliorent considérablement le cycle de vie de Renseignement sur les menaces à travers de multiples phases. 1 La collecte bénéficie de la capacité de AI à analyser et à traiter automatiquement de grandes quantités de données provenant de divers sites sources, y compris des textes non structurés utilisant le traitement du langage naturel, afin d'identifier les informations et les indicateurs pertinents. 2 Dans le domaine du traitement et de l'analyse, AI et les algorithmes d'apprentissage automatique peuvent automatiquement enrichir, corréler et hiérarchiser les données, identifier des schémas et des anomalies que les analystes humains pourraient manquer, et même prédire les menaces futures. 3 La diffusion peut être améliorée grâce à la génération de rapports alimentés par l'IA et à la fourniture de renseignements sur mesure à des publics spécifiques. 4 Enfin, la phase de retour d'information peut s'appuyer sur le site AI pour analyser l'efficacité des renseignements antérieurs et affiner l'ensemble du cycle de vie en vue d'une amélioration continue, ce qui permet d'obtenir des renseignements sur les menaces plus rapides, plus précis et plus exploitables. 5

Comment Renseignement sur les menaces s'intègre-t-il aux opérations de sécurité ?

Le renseignement sur les menaces fait partie intégrante des opérations de sécurité et fournit le contexte et les informations nécessaires à une défense proactive. En intégrant les flux et les plateformes de Renseignement sur les menaces aux outils SOC tels que SIEM et EDR, les alertes sont enrichies des détails et des tactiques des attaquants, ce qui permet une meilleure priorisation et une réduction des faux positifs. Pendant incident réponse, il fournit des informations vitales pour un confinement et une éradication efficaces, tout en permettant une chasse proactive aux menaces cachées. En outre, le Renseignement sur les menaces permet de configurer les outils de sécurité, de prioriser les correctifs de vulnérabilité et même d'automatiser les flux de travail de réponse, transformant ainsi les opérations de sécurité de réactives à anticipatives, améliorant leur capacité à comprendre et à atténuer l'évolution du paysage des menaces, du contexte des menaces.

Obtenir le « Manuel de renseignements sur les menaces »

Il y a beaucoup plus de contenu essentiel dans le chapitre complet du livre, y compris des diagrammes utiles, des notes et des conseils sur l’application de ces explications à votre propre programme efficace de renseignement sur les menaces, et des informations plus détaillées sur des choses comme les données sur les menaces.

To read the rest, download your full (and completely free) copy of “The Threat Intelligence Handbook” today.

Cet article a été initialement publié le 15 janvier 2020 et mis à jour pour la dernière fois le 5 février 2024.