Dans ce chapitre, nous allons explorer comment structurer la collecte de données en cybersécurité pour répondre aux objectifs opérationnels, tactiques et stratégiques. Ce sont les objectifs que nous avons identifiés dans la partie précédente du cours.
Alimentez votre veille opérationnelle
Elle s’intéresse aux éléments suivants :
Suivi des flux d’IOCs (Indicator of Compromise ou Indicateur de Compromission) : En intégrant ces indicateurs aux outils de sécurité en place (Antivirus, Web Application Firewall, etc.), vous pouvez détecter rapidement des activités suspectes ou malveillantes sur votre réseau. Cela permet une réponse immédiate pour minimiser les dommages.
Suivi de nouvelles vulnérabilités et des correctifs associés : En restant à jour avec les nouvelles vulnérabilités applicables à votre SI, vous pouvez réagir rapidement pour sécuriser vos systèmes, réduisant ainsi les risques de compromission.
Suivi des fuites de données et des revendications des victimes par les groupes d’attaquants : Cette veille vous permet de détecter toute compromission potentielle sur le périmètre interne ou externe de votre organisation (par exemple, publication de données sensibles sur les sites de fuite de données opérés par les acteurs ransomware). Elle répond au besoin de garantir la confidentialité des données sensibles.
Alimentez votre veille tactique
Elle s’intéresse aux éléments suivants :
Tendances relatives aux risques et menaces cyber : En comprenant les tendances émergentes, vous pouvez anticiper les types d'attaques qui pourraient viser votre organisation et prendre des mesures préventives. Par exemple, vous pouvez adapter vos systèmes de défense en apprenant qu’un groupe d’attaquants a étendu son champ d’action et cible désormais un nouveau système d’exploitation (OS) qui vous concerne directement.
Techniques d’attaque adoptées par les acteurs de la menace : En analysant les méthodes utilisées par les attaquants, vous pouvez mieux comprendre leurs intentions et les contrer efficacement.
L’arsenal des attaquants : En identifiant et en surveillant les éléments clés dans l’arsenal des attaquants (tels que les outils et les logiciels malveillants), vous pouvez perturber leurs opérations et mieux vous défendre.
Apparition et évolution des outils malveillants : En suivant l'évolution des logiciels malveillants et des outils utilisés par les attaquants, vous pouvez adapter vos défenses en conséquence.
Alimentez votre veille stratégique
Elle s’intéresse aux éléments suivants :
Motivations des attaquants : En comprenant les motivations des attaquants, vous pouvez anticiper leurs cibles potentielles et renforcer votre posture de sécurité. Par exemple, un nombre très important de cyber attaques est motivé par le gain financier. Ces attaques sont typiquement réalisées par des acteurs opportunistes, dont le ciblage est difficile à anticiper. Par conséquent, pour contrer cette menace vous devez assurer la protection du système d’opération contre les outils génériques et les logiciels malveillants récurrents, indépendamment de votre secteur d’activité. En revanche, il est impératif de suivre de près les activités des groupes APT (Advanced Persistent Threat) - qui mènent typiquement des campagnes d’attaques ciblées - pour évaluer les risques cyber propres à votre type d’activité en particulier.
Liens entre les campagnes d’attaque et les intérêts étatiques : En identifiant les liens entre les attaques et les intérêts étatiques, vous pouvez mieux comprendre la motivation des attaquants.
Réglementations nationales et internationales : En suivant de près l’évolution des réglementations, vous pouvez vous assurer que votre organisation est en conformité et éviter les sanctions, ainsi que mieux anticiper des projets de mise en conformité. Par exemple, les initiatives les plus récentes qui visent à renforcer les règles en matière de cybersécurité sont la loi de programmation militaire 2024-2030, la loi visant à sécuriser et réguler l’espace numérique (SREN), ainsi que la directive NIS2 et le Cyber Resilience Act (CRA) à l’échelle de l'Union européenne.
Géopolitique et enjeux internationaux : En comprenant les enjeux internationaux, vous pouvez anticiper les menaces liées aux relations internationales.
Comprenez les objectifs multiples de la veille
Dans les paragraphes précédents, j’ai bien fait attention à séparer les différents éléments à collecter selon l’objectif visé. Dans la vraie vie, un même événement peut engendrer des éléments de veille à trois niveaux distincts.
Par exemple, la veille sur une campagne d’attaque spécifique peut révéler à la fois :
Les motivations du groupe d'attaquants, par exemple son alignement aux intérêts stratégiques d’un Etat (niveau stratégique, avec des implications géopolitiques).
Le mode opératoire spécifique à cette attaque (niveau tactique, relevant des techniques d'attaque ou encore des logiciels malveillants utilisés).
Les indicateurs de compromission (IOCs) correspondent à cette campagne (niveau opérationnel).
Prenons l’exemple du logiciel espion Predator, qui a été utilisé à des fins politiques en 2023. Cet article de la société Sekoia.io décrit le fonctionnement de ce logiciel et le contexte autour des campagnes détectées. Cela représente le résultat de la veille à plusieurs niveaux : opérationnel (énumération des IOCs associés au logiciel, tels que les noms de domaine), tactique (présentation de l’arsenal à disposition des acteurs) et stratégique (analyse du contexte géopolitique en lien avec la victimologie identifiée).
L'interconnexion entre les divers niveaux de veille met en évidence la complexité inhérente à la veille en cybersécurité. Cela souligne la nécessité d'adopter une approche globale pour assurer une protection efficace.
Catégorisez vos données
La classification et la catégorisation sont des méthodes couramment utilisées pour trier les informations collectées. Ces méthodes vous permettent de trouver rapidement les informations pertinentes lorsque vous en avez besoin et facilitent sa diffusion.
La classification peut suivre les critères suivants :
la priorité et l’importance ;
le type de source ;
la fiabilité et la crédibilité ;
la thématique ;
les critères géographiques ou linguistiques ;
le type de média collecté (vidéo, article, publication sur les réseaux sociaux, etc).
Imaginez que vous travaillez pour une agence gouvernementale chargée de la cybersécurité. Vous collectez des informations provenant de différentes sources, telles que des rapports d'incidents, des flux de menaces et des forums de discussion. Pour faciliter la gestion de ces données, vous les catégorisez en fonction de la priorité, de la source, de la fiabilité, de la thématique, de la géographie, du type de média, etc. Si pertinent, pensez à “taguer” vos sources, à faire des arborescences, à ajouter des commentaires concernant l’information capitalisée.
En résumé
La veille opérationnelle se concentre majoritairement sur les IOCs, les alertes de sécurité, les vulnérabilités et les fuites de données.
La veille tactique se concentre majoritairement sur les tendances, les techniques d'attaque, les infrastructures des attaquants et sur l'évolution des outils malveillants.
La veille stratégique se focalise sur les motivations des attaquants, les liens géopolitiques, les réglementations et la veille concurrentielle.
La veille peut combiner des objectifs multiples (opérationnel, tactique et stratégique).
Pour mieux s’y retrouver, les informations collectées doivent être classifiées et catégorisées selon des critères pertinents.
Voyons maintenant ensemble comment traiter et analyser les informations que vous avez récoltées.