Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

La Threat Intelligence, ou Cyber Threat Intelligence (CTI) est une discipline basée sur des techniques du renseignement, qui a pour but la collecte et l'organisation de toutes les informations liées aux menaces du cyber-espace (cyber-attaques), afin de dresser un portrait des attaquants ou de mettre en exergue des tendances (secteurs d'activités touchés, méthode utilisée, etc). Ce profiling permet de mieux se défendre et d'anticiper au mieux les différents incidents en permettant une détection aux prémices d'une attaque d'envergure (APT).

La terminologie « Threat Intelligence » est apparue au début de l’année 2011. À cette période, les premiers grands cas d’APT sont largement médiatisés. Le concept est toutefois utilisé depuis plus longtemps par des entités étatiques et certaines organisations^[1].

Selon la définition de Gartner, la threat intelligence est « la connaissance fondée sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications et des conseils concrets, concernant une menace nouvelle ou existante ou un risque pour les actifs d’une organisation qui peuvent être utilisés afin d’éclairer les décisions concernant la réponse du sujet à cette menace ou un danger. »^[2]

La CTI permet des avancées dans la recherche des 3 domaines principaux suivants: Cyber crime, Cyber activisme, Cyber espionnage (APT^[3]).

Les informations collectées peuvent être de différente nature. Ils peuvent être des marqueurs, des indicateurs de compromissions (IOC tels que des hash, des noms de domaine, des adresses IP), historiques d'attaques, mais aussi des signes d'identification comme la réutilisation d'architecture ou de plateforme ayant servi dans le passé, l'utilisation de services, techniques, méthodes spécifiques (signatures communes, registrant identique).

Les moyens de collecte sont divers:

• Renseignement Open Source (OSINT)
• Flux de données commerciaux et communautaires
• Média sociaux (SOCMINT)
• Renseignement d'origine humaine et capacité d'analyse et de corrélation (HUMINT)
• Informations provenant du Deep et Dark web.

Les moyens d'échanges tendent à s'harmoniser afin de développer des standards réutilisables par le plus grand nombre. Ainsi des initiatives OpenSource tels que STiX^[4] permettent d'échanger de l'information CTI de manière organisée. Cela permet par ailleurs de générer des règles de détection pour les outils de supervision tels que les IPS dans différents formats (snort, YARA, openIOC, etc)

Les outils utilisés par les analystes de Threat Intelligence sont nombreux, ils peuvent être accessibles publiquement et de manière gratuite ou non. Ci-dessous une liste non exhaustive d'outils qui sont utilisés pour le renseignement sur la menace:

• Les moteurs de recherche (Google Dorks)^[5]
• Les bases de données historiques d'enregistrements DNS, IP et WHOIS
• Les banques de fichiers malveillants et leurs résultats d'analyse en Sandbox
• Les informations échangées entre les différents CERT^[6]

• Tactique: méthodes utilisées par les attaquants, leurs habitudes et les outils dont ils se servent
• Technique: indicateurs de malwares spécifiques ou présence de communications malveillantes (C&C ou C²)
• Opérationnelle: détails d'une attaque spécifique, permet d'évaluer la capacité d'une organisation à se défendre des futures menaces
• Stratégique: information haut-niveau sur l'évolution des risques pour mieux anticiper les stratégies à adopter

• Cyber espace
• Zero-day
• Malware
• Denial-of-service
• SOAR (sécurité informatique)

• Portail du renseignement
• Portail de la sécurité de l’information