DSI NumériquePartage d'expériencesComment la mutualisation du renseignement cyber améliore la lutte contre les attaques

Comment la mutualisation du renseignement cyber améliore la lutte contre les attaques

Éditeurs, experts, associations, mais aussi agences de renseignement travaillent de manière collaborative. Car la sécurité informatique est l’affaire de tous.

La DGSI (Direction Générale de la Sécurité Intérieure, qui dépend du Ministère de l’Intérieur) a installé depuis 2020 un stand de recrutement au salon FIC (Forum International de la Cybersécurité) de Lille. Une façon claire de montrer que les services de renseignement sont toujours à la recherche de compétences en matière de sécurité informatique. Mais les services de renseignement sont aussi présents au SSTIC de Rennes (Symposium sur la Sécurité des Technologies de l’Information et des Communications) ou d’autres conférences techniques. La DGSI et la DGSE sont en effet de grands acteurs R&D en cybersécurité, tout comme l’ANSSI. La CTI (Cyber Threat Intelligence), discipline dédiée à la connaissance, la défense et l’anticipation des risques cyber, est donc l’affaire des organisations étatiques telles que le NIST, au même titre que les éditeurs de sécurité informatique ou d’associations spécialisées comme MITRE.

Des outils standardisés

N’importe quel cyberattaquant laisse des traces de ses activités malveillantes. C’est le principe d’échange de Locard. Ces traces peuvent permettre de déduire les techniques d’attaque qu’il a employées, comprendre le fonctionnement d’une vulnérabilité. Lorsque mises bout-à-bout, ces données peuvent permettre de savoir quel groupe de pirates utilise quel modus operandi (on parle de Tactiques, Techniques et Procédures, ou TTPs), voire parfois de pouvoir attribuer l’origine de l’attaque. Il est par exemple possible de détecter que des groupes de cybercriminels de Corée du Nord attaquent des casinos en Amérique du Sud ou des banques en Asie avec certains types d’outils comme DarkComet.

Pour aider à normaliser ces méthodes d’enquêtes, le MITRE a développé un framework, MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge), qui permet de classifier les différentes tactiques et techniques associées employées par les cybercriminels. L’association a aussi contribué à la création d’un format d’échanges standard (STIX, Structured Threat Information eXpression) sur les menaces.

Notons également la naissance d’initiatives collaboratives et open source telles que MISP et OpenCTI (initié par l’ANSSI) permettant de partager ces indicateurs / marqueurs et renseignements autour des attaquants et leurs méthodes.

La communauté et les différents contributeurs tendent donc à standardiser les outils afin de faciliter les échanges mais également de réduire les temps de détection et d’améliorer la compréhension des chaînes d’évènements des cybermalveillances.

Les structures d’État ouvertes au partage d’information

L’objectif de ces initiatives de normalisation est de faciliter la communication entre tous les acteurs de la lutte contre la cybercriminalité. Si les éditeurs et les associations, notamment dans le monde de l’open-source, participent de longue date à ces actions de partage, les structures d’état ont longtemps été plus discrètes.

Aujourd’hui, elles contribuent de plus en plus aux échanges en redescendant leurs informations à la communauté. Elles communiquent aussi publiquement sur leurs actions. Par exemple, l’ANSSI, qui scrute de près les attaques sur les OIV (Opérateurs d’Importance Vitale), publie dans une certaine mesure le résultat de ses recherches au travers des avis du CERT-FR. Elles sont disponibles avec différents niveaux de confidentialité : à destination du grand public mais aussi à destination des entreprises cibles et des acteurs de la lutte contre la cybercriminalité. On peut également trouver sur Internet, des challenges proposés par les services de renseignement aux spécialistes de la cybersécurité tels que celui de la DGSE (https://ctf.404ctf.fr/) ou encore celui de la DGA (http://www.dghack.fr/).

Cette capitalisation permet notamment à un analyste forensique d’orienter ses recherches. Par exemple, si une entreprise de Santé se voit subir une exploitation de la vulnérabilité CVE-2020-10189, l’analyste peut émettre l’hypothèse d’investigation suivante : le groupe attaquant pourrait être APT41. Il peut donc chercher des traces d’exécutions de Mimikatz mais également de Windows Credential Editor qui sont les techniques de récupération d’identifiants utilisées par le groupe.

Des initiatives qui viennent compléter les solutions de sécurité

Toutes les plateformes de CTI sont compatibles avec le format STIX. Les grands éditeurs contribuent à la lutte contre la cybercriminalité, en collectant et diffusant les informations critiques réunies à partir de leurs propres recherches, qui peuvent d’ailleurs s’inspirer des techniques utilisées par les services de renseignement. Dans le même esprit, les éditeurs de solution réseau, présentes dans la plupart des entreprises, collectent des informations et participent à la CTI.

Les renseignements partagés par ces acteurs toujours plus nombreux, sur des attaques toujours en hausse ont un effet positif : il est possible de capitaliser sur les incidents pour mieux analyser des tendances et anticiper les risques. Ainsi, le « Ransomware as a Service », aujourd’hui très à la mode chez les cybercriminels, va évoluer sur d’autres types de techniques. Reste qu’identifier les prochaines menaces ne signifie pas qu’on peut y échapper. Les attaques par ransomwares sur les hôpitaux en sont un parfait exemple : on sait la menace croissante depuis plusieurs années, mais leur manque de moyen en matière de solution de cybersécurité – leur priorité étant plus d’obtenir des lits de réanimation que des firewalls – en font des cibles de choix pour les pirates. La CTI est donc indissociable de la mise en place d’outils de sécurité avancés et à jour.

Tristan PINCEAUX – Lead CERT CWATCH Almond

Articles récents

Cela pourrait aussi vous interesser
Innovations

Collaboration stratégique : Telehouse et Transatel au service des voitures connectées

Le fournisseur mondial de colocation en datacenter Telehouse s'est...

ITS Integra et FIDAL : partenariat gagnant pour une transition vers le Cloud sans faille

ITS Integra, spécialiste desServices managés sur le Cloud, étend...

La conformité à NIS2 : une priorité pour les entreprises en 2024

La cybersécurité est aujourd’hui un sujet stratégique qui concerne...

Guide pratique : intégrer efficacement un ERP

L’apport des technologies dans les stratégies de développement des...

Services managés SYAGE : Une équipe d’experts pour assurer la performance des systèmes

SYAGE, entreprise de services informatiques experte en infrastructures systèmes,...

IA Générative : Moteur de transformation pour produits et services

L'incroyable effervescence médiatique, en particulier grâce à l'ascension fulgurante...

delaware France renforce sa position sur le marché avec un partenariat clé en Cloud Computing

Ce partenariat stratégique marque une étape significative dans l’engagement...

Risques cyber 2024 : les options essentielles pour votre entreprise

À mesure que les technologies évoluent, les opportunités offertes...

Fusion-acquisition : le rôle crucial de l’architecte d’entreprise pour réussir la transformation

Avis d’expert par Paul ESTRACH, Directeur Marketing Produit chez...

Les Filles et les Garçons de la Tech innovent avec le lancement de leur Centre de Services

L’ESN les Filles et les Garçons de la Tech...

Prolival rejoint Infodis : une synergie pour l’innovation et la compétitivité

INFODIS, leader reconnu et expert dans les services d’intégration,...