Threat Intelligence
Comprendre comment la Threat Intelligence transforme les données brutes sur les menaces en renseignements exploitables pour anticiper et détecter les attaques.
- Comprendre les niveaux de Threat Intelligence
- Différencier les IoC (Indicators of Compromise) et les IoA (Indicators of Attack)
- Connaître les formats de partage STIX et TAXII
- Identifier les sources de Threat Intelligence
- Découvrir les principales Threat Intelligence Platforms
🧠 20.1 — Qu'est-ce que la Threat Intelligence ?
La Threat Intelligence (renseignement sur les menaces) est le processus de collecte, d'analyse et d'utilisation d'informations sur les menaces actuelles et potentielles pour prendre des décisions de sécurité éclairées. Ce n'est pas simplement collecter des données brutes : c'est transformer ces données en renseignements exploitables (actionable intelligence).
La Threat Intelligence, c'est comme le renseignement militaire. Un général ne se bat pas à l'aveugle. Ses éclaireurs collectent des informations sur l'ennemi : combien sont-ils ? Quelles armes ont-ils ? Par où vont-ils attaquer ? Avec ces renseignements, le général prépare sa défense. En cybersécurité, la Threat Intelligence joue exactement ce rôle : connaître l'ennemi pour mieux se défendre.
Les 4 niveaux de Threat Intelligence
Clique sur chaque niveau pour comprendre à qui il s'adresse et ce qu'il contient :
Vue d'ensemble des tendances et risques cyber à long terme.
- Audience : Direction générale, CISO, conseil d'administration
- Format : rapports, briefings, analyses de tendances
- Contenu : géopolitique cyber, évolution des menaces par secteur, risques émergents
- Horizon : mois à années
Exemple : "Les attaques ransomware contre le secteur santé ont augmenté de 300% en 2024."
Informations sur les campagnes d'attaque en cours ou imminentes.
- Audience : Responsables sécurité, équipes de réponse aux incidents
- Format : alertes, rapports de campagne
- Contenu : objectifs de l'attaquant, timing, infrastructure utilisée
- Horizon : jours à semaines
Exemple : "Le groupe APT28 prépare une campagne de phishing ciblant les entreprises aérospatiales européennes."
TTPs (Tactics, Techniques, Procedures) utilisées par les attaquants.
- Audience : Analystes SOC, threat hunters, architectes sécurité
- Format : rapports techniques, règles de détection
- Contenu : méthodes d'attaque, outils utilisés, vecteurs d'infection
- Horizon : semaines à mois
Exemple : "Le malware XYZ utilise des macros Word pour exécuter PowerShell et télécharger un payload depuis un domaine DGA."
Indicateurs techniques concrets et immédiatement exploitables.
- Audience : Analystes SOC, outils automatisés (SIEM, IDS, firewall)
- Format : IoCs, règles Snort/YARA/Sigma, feeds automatisés
- Contenu : hashes de malware, IPs malveillantes, domaines C2, URLs
- Horizon : heures à jours (très éphémère)
Exemple : "Bloquer l'IP 185.220.101.45 et le hash SHA256 a1b2c3d4... associés au ransomware LockBit."
🔍 20.2 — Indicateurs de compromission (IoC)
Un Indicator of Compromise (IoC) est un artefact technique observable qui suggère qu'un système a été compromis. Les IoCs sont des preuves après-coup : ils indiquent qu'une attaque a déjà eu lieu ou est en cours.
Les IoCs, c'est comme les indices sur une scène de crime. Des empreintes digitales, un verre brisé, des traces de pas — ce sont des signes qu'un crime a été commis. En cybersécurité, les IoCs sont les empreintes numériques laissées par les attaquants.
Types d'IoC
Indicateurs réseau
| Type | Description | Exemple |
|---|---|---|
| IP addresses | Adresses IP de serveurs C2 ou malveillants | 185.220.101.45 |
| Domain names | Domaines utilisés pour le phishing ou le C2 | evil-update.com |
| URLs | URLs de pages de phishing ou de téléchargement de malware | http://evil.com/payload.exe |
| DNS patterns | Requêtes DNS suspectes (DGA, tunneling) | Domaines aléatoires : x7k9m2p.xyz |
| Email indicators | Adresses d'expéditeur, sujets, en-têtes | Emails de phishing avec pièces jointes .xlsm |
Indicateurs hôte
| Type | Description | Exemple |
|---|---|---|
| File hashes | Empreintes MD5, SHA1, SHA256 de fichiers malveillants | SHA256: a1b2c3d4e5... |
| File names/paths | Noms ou chemins de fichiers suspects | C:\Temp\svchost.exe |
| Registry keys | Clés de registre créées pour la persistance | HKCU\Software\Microsoft\Windows\CurrentVersion\Run |
| Mutex names | Noms de mutex utilisés par les malwares | Global\M_unique_malware_id |
| Processes | Processus suspects en exécution | powershell.exe -enc Base64... |
Indicateurs comportementaux
- Trafic sortant inhabituel : transferts de données volumineux vers des destinations inconnues
- Connexions à des heures anormales : activité à 3h du matin depuis un compte standard
- Échecs d'authentification multiples : tentatives de brute force
- Modification de fichiers système : altération de binaires légitimes
- Création de comptes non autorisés : backdoor accounts
- Désactivation de l'antivirus : tentative d'évasion
Sources d'IoC et partage
- Feeds publics : AlienVault OTX, Abuse.ch, VirusTotal, Shodan
- Feeds commerciaux : CrowdStrike, Recorded Future, Mandiant
- ISACs : partage sectoriel (FS-ISAC pour la finance, H-ISAC pour la santé)
- CERTs : CERT-FR, US-CERT, équipes nationales de réponse
- Analyses internes : IoCs découverts lors d'investigations dans l'organisation
⚡ 20.3 — Indicateurs d'attaque (IoA)
Un Indicator of Attack (IoA) se concentre sur le comportement de l'attaquant plutôt que sur les artefacts laissés. Les IoA détectent l'attaque en temps réel, pendant qu'elle se déroule, avant même que des IoCs soient générés.
IoC vs IoA : la différence clé
| Aspect | IoC (Indicator of Compromise) | IoA (Indicator of Attack) |
|---|---|---|
| Focus | Artefacts techniques (hashes, IPs, domaines) | Comportements et intentions de l'attaquant |
| Timing | Après la compromission (réactif) | Pendant l'attaque (proactif) |
| Durée de vie | Éphémère (IPs et domaines changent fréquemment) | Durable (les comportements changent moins vite) |
| Évasion | Facile à contourner (changer de hash, d'IP) | Difficile à contourner (le comportement reste similaire) |
| Exemple | Hash du malware : a1b2c3... |
PowerShell lance un processus enfant qui se connecte à une IP externe |
IoC vs IoA, c'est comme la différence entre chercher une empreinte digitale (IoC) et surveiller quelqu'un qui essaie de crocheter une serrure (IoA). L'empreinte prouve qu'il est passé. L'observation du crochetage permet de l'arrêter sur le fait.
Exemples d'IoA
Comportement détecté : un processus accède à lsass.exe en mémoire (signe de Mimikatz ou outil similaire).
Pourquoi c'est un IoA : peu importe quel outil est utilisé (Mimikatz, ProcDump, comsvcs.dll) — le comportement d'accès à LSASS est l'indicateur.
Comportement détecté : winword.exe lance powershell.exe ou cmd.exe comme processus enfant.
Pourquoi c'est un IoA : un document Word légitime ne lance jamais PowerShell. Ce comportement indique une macro malveillante, quel que soit le malware spécifique.
Comportement détecté : un compte utilisateur se connecte à de nombreuses machines en peu de temps via SMB ou WMI.
Pourquoi c'est un IoA : un utilisateur normal n'accède pas à 50 machines en 10 minutes. Ce comportement suggère un lateral movement, peu importe l'outil utilisé.
📦 20.4 — STIX et TAXII
Pour que la Threat Intelligence soit partagée efficacement entre organisations, il faut des formats standardisés et des protocoles de transport. C'est le rôle de STIX et TAXII.
STIX est un langage standardisé (format JSON) pour décrire les informations sur les menaces.
Objets STIX (SDO - STIX Domain Objects) :
- Indicator : un pattern observable (IoC)
- Malware : description d'un malware
- Threat Actor : un groupe ou individu malveillant
- Attack Pattern : technique d'attaque (lien avec MITRE ATT&CK)
- Campaign : campagne d'attaque coordonnée
- Vulnerability : vulnérabilité connue (CVE)
- Tool : outil utilisé (légitime ou malveillant)
- Relationship : lien entre deux objets (ex : "malware X uses technique Y")
Analogie : STIX est le langage (la langue commune). C'est "ce qu'on dit".
TAXII est le protocole de transport utilisé pour échanger les données STIX entre systèmes.
Modèles d'échange :
- Collection : un dépôt d'objets STIX accessible via une API REST
- Channel : flux de données en temps réel (publish/subscribe)
Fonctionnement :
- Basé sur HTTPS et des API REST
- Authentification par certificats ou tokens
- Les clients s'abonnent à des collections et récupèrent les mises à jour
Analogie : TAXII est le service postal (le moyen de transport). C'est "comment on transmet l'information".
📡 20.5 — Sources de Threat Intelligence
La qualité de la Threat Intelligence dépend de la diversité et de la fiabilité des sources utilisées. Voici les principales catégories :
OSINT — Open Source Intelligence
Renseignements provenant de sources publiques et gratuites :
| Source | Description |
|---|---|
| VirusTotal | Analyse de fichiers et URLs par 70+ moteurs antivirus |
| AlienVault OTX | Plateforme communautaire de partage d'IoCs (pulses) |
| Abuse.ch | Feeds de malware, botnets, SSL certificates suspects |
| Shodan / Censys | Moteurs de recherche pour appareils connectés et services exposés |
| MITRE ATT&CK | Base de connaissances des TTPs des attaquants |
| CVE / NVD | Base de données des vulnérabilités connues |
Feeds et services commerciaux
Services payants offrant des renseignements plus enrichis et contextualisés :
- CrowdStrike Falcon Intelligence : renseignements sur les groupes APT et les menaces ciblées
- Recorded Future : analyse automatisée de millions de sources en temps réel
- Mandiant (Google) : expertise en réponse aux incidents et analyse APT
- Palo Alto Unit 42 : recherche sur les menaces et rapports techniques
- IBM X-Force : plateforme de threat intelligence intégrée
Sources communautaires et institutionnelles
- ISACs (Information Sharing and Analysis Centers) : partage par secteur
- FS-ISAC : secteur financier
- H-ISAC : secteur santé
- E-ISAC : secteur énergie
- CERTs (Computer Emergency Response Teams) :
- CERT-FR (France), US-CERT (États-Unis)
- Alertes, avis de sécurité, bulletins de vulnérabilité
- FIRST : Forum of Incident Response and Security Teams
- Groupes de confiance : cercles privés de partage entre analystes
Dark Web Monitoring
Surveillance des forums, marketplaces et canaux du dark web pour détecter :
- Données volées : identifiants, bases de données, dumps de cartes bancaires
- Vente de malware : Ransomware-as-a-Service (RaaS), exploit kits
- Discussions sur des cibles : mention de l'organisation comme cible potentielle
- Vulnérabilités zero-day : exploits en vente avant la publication du correctif
- Recrutement : groupes cherchant des insiders ou des affiliés
🖥️ 20.6 — Threat Intelligence Platforms (TIP)
Une Threat Intelligence Platform (TIP) est un outil qui centralise, enrichit, corrèle et partage les renseignements sur les menaces. Elle transforme le flux brut d'IoCs et de rapports en intelligence exploitable et intégrée aux outils de sécurité.
Une TIP, c'est comme le centre de commandement d'une armée. Tous les rapports des éclaireurs (sources) convergent vers ce centre. Les analystes les recoupent, les enrichissent et les transmettent aux unités de terrain (SIEM, EDR, firewalls) sous forme d'ordres précis (règles de détection, blocages).
Principales TIP
- Type : Open source, gratuit
- Développé par : CIRCL (Computer Incident Response Center Luxembourg)
- Fonctionnalités : collecte, stockage, partage et corrélation d'IoCs
- Format : format MISP natif + export STIX, OpenIOC, CSV, etc.
- Points forts : très utilisé par les CERTs et ISACs, large communauté, nombreuses intégrations
- Idéal pour : partage d'IoCs entre organisations, corrélation d'événements
- Type : Open source, gratuit
- Développé par : Filigran (anciennement Luatix)
- Fonctionnalités : gestion des connaissances sur les menaces, visualisation des relations, intégration STIX/TAXII native
- Points forts : interface moderne, graphe de connaissances avancé, modèle de données STIX 2.1 natif
- Idéal pour : analyse approfondie des menaces, mapping ATT&CK, gestion de la connaissance CTI
- Type : Commercial (version gratuite limitée disponible)
- Fonctionnalités : orchestration, automatisation (SOAR), analyse, partage de TI
- Points forts : intégration SOAR native, playbooks automatisés, gestion des risques
- Idéal pour : grandes entreprises cherchant une plateforme intégrée TI + SOAR
Intégration d'une TIP dans l'écosystème SOC
| Intégration | But |
|---|---|
| SIEM (Splunk, QRadar) | Enrichir les alertes avec le contexte threat intel |
| EDR (CrowdStrike, Carbon Black) | Pousser les IoCs vers les endpoints pour blocage |
| Firewall / IPS | Bloquer automatiquement les IPs/domaines malveillants |
| SOAR | Automatiser les workflows de réponse basés sur la TI |
| Ticketing (JIRA, ServiceNow) | Créer des tickets enrichis avec le contexte TI |
🔬 20.7 — Exercice : Analyse un rapport de Threat Intelligence
Voici un extrait simplifié d'un rapport de Threat Intelligence. Identifie les IoCs en les faisant glisser vers la bonne catégorie :
Rapport TI — Campagne "DarkNeedle"
Analyse de campagne de spear phishing
Le groupe APT-XZ a lancé une campagne de spear phishing ciblant le secteur énergie européen. Les emails contenaient des documents Word avec macros VBA téléchargeant un payload depuis update-service[.]xyz. Le malware "NeedleRAT" (SHA256: e3b0c44298fc1c149afb...) établit une connexion C2 vers 185.174.137[.]20 sur le port 443. Le malware crée une tâche planifiée nommée WindowsUpdateCheck pour la persistance et exfiltre les données via DNS tunneling vers dns-relay[.]net.
🔑 Hash
🌐 IP Address
🏷️ Domain
📁 Host Artifact
⚔️ TTP
🏢 20.8 — Organisations et outils cles de la Threat Intelligence
CIS (Center for Internet Security)
Le CIS est une organisation a but non lucratif qui fournit des alertes de cybermenaces 24/7, l'identification de vulnerabilites et des mesures de mitigation. Il est connu pour :
- CIS Controls : 18 controles de securite prioritaires classes par difficulte
- CIS Benchmarks : guides de configuration securisee pour OS, serveurs, cloud
- MS-ISAC / EI-ISAC : centres de partage pour les gouvernements et les elections
MITRE et le programme CVE
MITRE est l'organisation qui gere le programme CVE (Common Vulnerabilities and Exposures). Chaque vulnerabilite connue recoit un identifiant unique au format CVE-ANNEE-NUMERO (ex: CVE-2021-44228 pour Log4Shell).
CyBox (Cyber Observable eXpression)
CyBox est un standard qui fournit des schemas standardises pour decrire les evenements et proprietes des operations reseau. Il definit un vocabulaire commun pour les objets cyber observables : fichiers, adresses IP, connexions reseau, processus, etc. CyBox a ete integre dans STIX 2.0 en tant que "STIX Cyber-observable Objects".
Standards de partage : STIX, TAXII, CyBox
| Standard | Role | Description |
|---|---|---|
| STIX | Format / Langage | Specifications pour echanger des informations sur les cybermenaces (format JSON standardise) |
| TAXII | Transport / Protocole | Protocole de couche application pour la communication de CTI via HTTPS (REST APIs) |
| CyBox | Schema d'observables | Schemas standardises pour les evenements et proprietes des operations reseau |
AIS (Automated Indicator Sharing)
L'AIS est un programme de la CISA (Cybersecurity and Infrastructure Security Agency, anciennement DHS) qui permet l'echange en temps reel d'indicateurs de cybermenaces entre le gouvernement americain et le secteur prive. Lorsqu'une nouvelle menace est decouverte, AIS distribue automatiquement les indicateurs aux participants pour une defense proactive.
FIRST (Forum of Incident Response and Security Teams)
FIRST est un forum international dont l'objectif principal est de permettre aux equipes de reponse aux incidents de collaborer et coordonner le partage d'informations. Il regroupe plus de 600 equipes CERT/CSIRT dans le monde.
FireEye / Mandiant
FireEye (aujourd'hui Mandiant, acquis par Google) detecte et previent les attaques zero-day en utilisant un moteur sans signature (signature-less engine) avec une analyse stateful. Cette approche couvre toutes les etapes du cycle de vie d'une attaque, de l'infection initiale au C2 et a l'exfiltration, sans dependre de signatures connues.
📝 20.9 — Quiz de revision
🔬 20.7 — Lab : Analyse de Threat Intelligence
Utilise les outils de threat intelligence pour rechercher des indicateurs de compromission (IoC) et evaluer les menaces.
Exercice : place chaque IoC dans le bon niveau de la Pyramid of Pain
Points clés du Module 20
- La Threat Intelligence transforme des données brutes en renseignements exploitables pour anticiper les menaces
- 4 niveaux : Strategic (direction), Operational (campagnes), Tactical (TTPs), Technical (IoCs)
- Les IoC (Indicators of Compromise) sont des artefacts techniques prouvant une compromission passée
- Les IoA (Indicators of Attack) détectent les comportements malveillants en temps réel
- STIX est le format standardisé de partage ; TAXII est le protocole de transport
- Les sources incluent OSINT, feeds commerciaux, ISACs, CERTs et dark web monitoring
- Les TIP (MISP, OpenCTI, ThreatConnect) centralisent et enrichissent la threat intelligence
- IoCs et IoAs sont complémentaires : les IoCs bloquent, les IoAs détectent les comportements