Collecter, traiter, analyser… On pourrait tout simplement aller sur les sites et les enregistrer dans nos favoris, non ? Oui, mais ça peut vite devenir compliqué de s’y retrouver ! Dans ce chapitre, je vais vous présenter des outils qui vont bien au-delà de ça ! Ils vont vous permettre de retrouver, de classer et de traiter rapidement l’information afin d’optimiser votre gestion de l’information et donc…de gagner du temps.
Utilisez des outils pour collecter, traiter et analyser les données
Les TIPs (Threat Intelligence Platforms)
Ces plateformes de renseignement sur les menaces sont conçues pour collecter, agréger et analyser des informations sur les menaces provenant de diverses sources. OpenCTI et MISP en sont des exemples. Les équipes de sécurité vont pouvoir centraliser, corréler les données et les utiliser pour prendre des mesures de défense appropriées.
Les gestionnaires de favoris (ou signets)
Ce sont des outils pratiques pour organiser et stocker des URLs, des pages web ou des documents que vous voulez consulter ou utiliser plus tard. Ils vous permettent de regrouper, trier et partager des liens vers des ressources utiles. Vous pouvez également les utiliser pour créer des collections de favoris sur des sujets spécifiques.
RainDrop et Zotero sont des exemples de gestionnaires de favoris que vous pouvez intégrer à votre processus de veille.
Ces outils sont généralement disponibles en tant qu'extensions ou d'add-ons pour une grande variété de navigateurs web. En les intégrant directement dans votre navigateur, vous pouvez simplifier la sauvegarde et la récupération de favoris.
Si vous travaillez dans la recherche en cybersécurité, vous pouvez utiliser un gestionnaire de favoris pour enregistrer des liens vers des articles de recherche, des blogs, et des outils de sécurité pour garder une trace organisée de vos références en ligne. Vous pouvez organiser vos favoris par catégories, ce qui vous permet de retrouver rapidement les informations dont vous avez besoin pour vos travaux de recherche.
Les agrégateurs de flux RSS
Ce sont des outils essentiels pour centraliser et automatiser la collecte d'informations en cybersécurité.
Ils permettent de suivre les mises à jour des sites web et des sources d'information que vous jugez importantes. Ces outils facilitent également la veille collaborative, car vous pouvez partager les flux avec votre équipe ou d'autres utilisateurs.
Si vous travaillez dans une équipe de réponse aux incidents, vous pouvez utiliser un agrégateur de flux RSS pour suivre les dernières vulnérabilités, les alertes de sécurité et les avis de sécurité publiés par différentes organisations. Cela vous permettra de rester à jour sur les menaces potentielles et d'agir rapidement en cas d'incident.
Il existe plusieurs outils agrégateurs de flux RSS :
Feedly : il permet l’intégration avec la plateforme MISP pour extraire, collecter et contextualiser des IOCs provenant des articles publiés en sources ouvertes. Dans cet article, vous trouverez les modalités d’intégration.
Start.me : Sur Start.me, vous trouverez un exemple de dashboard “Cyber Threat Intelligence” (créé par Rahmat Nurfauzi).
Les plateformes de veille
Certaines solutions de veille en cybersécurité sont dotées de fonctionnalités de gestion et de capitalisation des informations. Elles permettent de stocker, d'organiser et de rechercher des données de veille de manière structurée. Ces plateformes offrent souvent des fonctionnalités avancées telles que l'indexation, la catégorisation et la recherche avancée pour faciliter la récupération rapide d'informations pertinentes. Elles vont aussi proposer des critères spécifiques à la cybersécurité tels que la recherche d’informations consacrées à un groupe cybercriminel ou à une technique d’attaque spécifique, le filtrage sur une criticité donnée de vulnérabilités, etc.
En plus des fonctions précédemment citées et de l’agrégation de flux RSS, Feedly est une plateforme de veille très répandue.
Les tableurs
Bien que moins esthétiques, les tableurs tels que Microsoft Excel ou Google Sheets peuvent être utilisés pour gérer des données de veille en cybersécurité. Ils vous offrent de la flexibilité pour organiser et analyser les informations de manière personnalisée.
Tous ces outils permettent la collecte et l'analyse de données, nous allons maintenant approfondir notre veille en cybersécurité en explorant des méthodes pour automatiser, accéder et suivre de manière dynamique et personnalisée les informations clés collectées.
Exploitez les fonctionnalités des réseaux sociaux
Les réseaux sociaux offrent des fonctionnalités utiles pour la veille en cybersécurité. Vous pouvez utiliser des outils intégrés aux réseaux sociaux pour suivre des comptes et des hashtags liés à la sécurité informatique.
En tant qu'analyste de menaces, vous pourriez utiliser X (anciennement Twitter) et son outil X Pro (anciennement TweetDeck) pour suivre les comptes de chercheurs en sécurité et les hashtags liés aux menaces cyber (par exemple, #ransomware ou encore #CVE-2023-044).
Bien que X soit, à date, une des principales sources d’information en cybersécurité, son application X Pro est désormais payante. Je vous suggère donc d’utiliser son alternative gratuite deck.blue - une application associée au réseau social Bluesky.
Chaque fois qu'une nouvelle publication en lien avec cette vulnérabilité est signalée, vous recevez une alerte, ce qui vous permet de vous informer rapidement et de réagir pour protéger votre réseau.
Explorez les outils d’alerte
Pour une veille en temps quasi réel sur un sujet d’intérêt, explorez les fonctionnalités des outils tels que “Google Alerts”. Cet outil permet de recevoir des alertes à chaque fois qu'un mot-clé prédéfini est mentionné en sources ouvertes sur Internet.
Personnalisez vos outils grâce aux scripts
Pour une veille encore plus approfondie, vous pouvez personnaliser vos outils en utilisant des scripts. Les scripts vous permettent d'automatiser certaines tâches, telles que le suivi automatique des sources d'intérêt sur les forums cybercriminels ou les canaux de messagerie sécurisés.
IFTTT (If This Then That)
Cet outil est précieux pour collecter des données grâce à sa capacité à automatiser des tâches et à intégrer divers services en ligne. Il vous permet de surveiller des sources spécifiques d'informations sur la cybersécurité.
Par exemple, vous pourriez créer un applet (une petite application ou un script automatisé) qui déclenche une action chaque fois qu'un mot-clé spécifique lié à la cybersécurité est mentionné sur des plateformes comme Twitter. L'action pourrait consister à envoyer ces informations directement dans votre Raindrop, un outil de gestion de données ou encore un fichier pour une analyse ultérieure.
De cette manière, IFTTT peut servir de pont entre diverses sources d'information et vos systèmes de surveillance, facilitant ainsi la collecte automatisée de données pertinentes en temps réel, ce qui est crucial dans le domaine dynamique de la cybersécurité.
Dans cet article rédigé par Nicolas Caproni, découvrez plusieurs cas d’usages de l’outil IFTTT spécifiques à l’activité de veille dans la Cyber Threat Intelligence.
Une alternative à IFTTT est l’outil Zapier.
Discord Bots
Supposons que vous êtes chercheur en sécurité indépendant : vous pouvez utiliser un script open source appelé "Threat Intelligence Discord Bot" pour surveiller les discussions sur les forums cybercriminels. Le script vous envoie automatiquement des notifications lorsqu'il détecte des discussions pertinentes sur les menaces en ligne.
À vous de jouer
Contexte
Vous êtes analyste junior en cybersécurité chez un fournisseur de services dans le Cloud. Votre rôle est de surveiller les menaces potentielles et de rester informé des dernières vulnérabilités et attaques. Pour cela, vous devez mettre en place un système de veille efficace.
Ressources à utiliser
Vous avez à disposition des outils comme Feedly ainsi qu' un fichier OPML contenant une liste de sources pertinentes en cybersécurité.
Consignes
Étape 1 : Configurez votre plateforme de Veille
Téléchargez le fichier OPML.
Créez un compte sur Feedly.
Importez le fichier OPML dans votre espace Feedly pour ajouter la liste de sources d'informations proposée. Accédez à la documentation Feedly si besoin. N’hésitez pas à explorer et à importer d’autres sources dans l’outil.
Étape 2 : Organisez les informations
Regroupez vos sources dans des dossiers.
Renommez les sources.
Ajustez leur ordre d'affichage selon vos préférences.
Accédez à la documentation Feedly si besoin (étapes 1, 2 et 3).
Éléments de réponses
Vous devez classer vos sources en fonction de vos besoins et de vos objectifs de veille. Voici quelques exemples pertinents pour notre contexte :
Type de menace traitée : menaces cybercriminelles ou étatiques
Sujets d’intérêt : la sécurité liée au Cloud.
En résumé
Utilisez des agrégateurs de flux RSS pour automatiser la collecte et la gestion des informations.
Exploitez un gestionnaire de bookmark pour stocker et organiser les liens vers des ressources importantes.
Les réseaux sociaux offrent des fonctionnalités utiles pour suivre les sujets de cybersécurité grâce à des comptes et des hashtags pertinents.
Personnalisez vos outils de veille en utilisant des scripts pour automatiser des tâches spécifiques et gagner en efficacité dans votre processus de veille en cybersécurité.
C’est la fin de cette deuxième partie. Avant de passer à la dernière partie du cours, je vous invite à passer un quiz pour tester vos connaissances à ce stade ! Bonne chance !