La Cyber Threat Intelligence (CTI), ou renseignement sur les menaces, transforme des données brutes sur les attaquants en décisions de défense concrètes. Plutôt que de subir les attaques, elle vous aide à anticiper : savoir qui vous cible, comment, et adapter vos défenses en conséquence. Cette page explique ce qu'est la CTI, ses quatre niveaux, la différence décisive entre indicateurs et modes opératoires, le cycle du renseignement et les outils de partage. Elle s'adresse à toute personne qui veut comprendre comment on passe de l'information à l'action défensive.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »La CTI n'est pas un flux d'alertes de plus : c'est une démarche qui oriente la défense. Concrètement, vous saurez :
- Définir la Cyber Threat Intelligence et ses quatre niveaux, du stratégique au technique.
- Distinguer les indicateurs de compromission (IoC) des modes opératoires (TTP), et comprendre la Pyramid of Pain.
- Suivre les étapes du cycle du renseignement, de la direction à la diffusion.
- Identifier les sources et formats de partage : MISP, STIX/TAXII, CERT et ISAC.
- Relier la CTI au référentiel MITRE ATT&CK et au modèle de menaces SOCLE, qui structurent le langage commun de la menace.
Qu'est-ce que la Cyber Threat Intelligence
Section intitulée « Qu'est-ce que la Cyber Threat Intelligence »La Cyber Threat Intelligence est la collecte, l'analyse et l'exploitation d'informations sur les menaces pour prendre de meilleures décisions de sécurité. La nuance importante est le mot renseignement : une donnée brute (une adresse IP suspecte) n'est pas du renseignement tant qu'elle n'a pas été analysée, mise en contexte et rendue actionnable.
L'analogie est celle de la météo pour un marin. Une liste de pressions et de températures ne sert à rien seule ; le renseignement, c'est le bulletin qui dit « tempête au nord, changez de cap ». La CTI fait de même : elle transforme le bruit en avertissement exploitable pour ajuster vos défenses avant l'impact.
Elle répond à trois questions : qui pourrait vous attaquer et pourquoi, comment il procède, et que faire pour l'anticiper. Ce dernier point est essentiel : une CTI qui ne débouche sur aucune action n'a aucune valeur.
Les quatre niveaux de renseignement
Section intitulée « Les quatre niveaux de renseignement »La CTI s'adresse à des publics différents, avec des niveaux de détail adaptés. Les confondre, c'est noyer un dirigeant sous des adresses IP ou priver un analyste de contexte.
| Niveau | Public | Contenu | Horizon |
|---|---|---|---|
| Stratégique | Direction | Tendances, motivations, risques métier | Long terme |
| Opérationnel | Responsables sécurité | Campagnes en cours, groupes actifs | Moyen terme |
| Tactique | Équipes de défense | Modes opératoires (TTP), techniques | Court terme |
| Technique | Outils, SOC | Indicateurs (IoC) : IP, hachages, domaines | Immédiat |
Le niveau stratégique guide les investissements ; le niveau technique alimente directement les outils de détection. Une CTI mature relie ces niveaux : un indicateur technique prend son sens quand il est rattaché à une campagne et à un groupe.
Indicateurs, modes opératoires et Pyramid of Pain
Section intitulée « Indicateurs, modes opératoires et Pyramid of Pain »Tous les renseignements n'ont pas la même valeur défensive. La Pyramid of Pain, proposée par David Bianco, classe les indicateurs selon la difficulté qu'ils imposent à l'attaquant quand vous les bloquez.
- En bas, les indicateurs volatils : hachages de fichiers, adresses IP, noms de domaine. Faciles à détecter, mais triviaux à changer pour l'attaquant. Les bloquer ne le gêne qu'une journée.
- Au milieu, les artefacts réseau et hôte, les outils employés. Plus coûteux à remplacer.
- Au sommet, les TTP (tactiques, techniques et procédures), la façon dont l'attaquant opère. Les détecter le force à repenser sa méthode, ce qui est très coûteux.
C'est le lien direct avec ATT&CK : le référentiel fournit le vocabulaire des TTP, le sommet de la pyramide. Cartographier un rapport de CTI en techniques ATT&CK, c'est traduire le renseignement en détections durables.
Le cycle du renseignement
Section intitulée « Le cycle du renseignement »La CTI n'est pas un achat ponctuel de flux, mais un cycle continu, hérité du renseignement militaire. Chaque tour affine le suivant.
- Direction : définir les besoins. Que doit-on protéger, contre qui ?
- Collecte : rassembler les données (sources ouvertes, flux, incidents internes, partage sectoriel).
- Traitement : normaliser et dédupliquer les données brutes.
- Analyse : donner du sens, corréler, mettre en contexte, produire du renseignement actionnable.
- Diffusion : livrer le bon niveau au bon public (bulletin dirigeant, IoC pour le SOC).
- Retour : mesurer l'utilité et réorienter la direction.
Le maillon le plus souvent négligé est la direction : sans besoin clair, la collecte produit un flux ingérable d'indicateurs sans priorité.
Sources et partage du renseignement
Section intitulée « Sources et partage du renseignement »La CTI se nourrit de sources variées et gagne en valeur par le partage, car une attaque vue par une organisation prévient les autres.
- Sources ouvertes (OSINT) : rapports d'éditeurs, blogs, bases publiques. Pour l'analyse d'artefacts et l'extraction d'indicateurs, un outil comme CyberChef est précieux.
- Flux de renseignement : listes d'indicateurs, commerciales ou communautaires, à intégrer dans les outils de détection.
- Plateformes de partage : MISP (Malware Information Sharing Platform) centralise et diffuse les indicateurs entre organisations de confiance.
- Formats standardisés : STIX décrit le renseignement de façon structurée, TAXII en assure le transport automatisé entre plateformes.
- Communautés : les CERT (comme le CERT-FR) et les ISAC sectoriels diffusent des alertes ciblées à leurs membres.
À quoi sert la CTI au quotidien
Section intitulée « À quoi sert la CTI au quotidien »Le renseignement n'a de valeur que s'il change quelque chose dans la défense. Ses usages concrets sont directs.
- Alimenter la détection : traduire les TTP observés en règles, en priorisant les techniques réellement employées contre votre secteur.
- Prioriser les correctifs : concentrer l'effort sur les vulnérabilités activement exploitées, comme le montre la phase d'exploitation.
- Enrichir la réponse à incident : reconnaître un mode opératoire connu accélère l'analyse et le confinement, notamment sur les canaux de commande et contrôle.
- Éclairer les décisions : au niveau stratégique, adapter la posture selon les profils d'attaquants qui vous ciblent.
À retenir
Section intitulée « À retenir »-
La CTI transforme des données en décisions : sans analyse ni contexte, une donnée n'est pas du renseignement.
-
Quatre niveaux, du stratégique (direction) au technique (SOC) : adapter le détail au public.
-
La Pyramid of Pain hiérarchise les indicateurs : viser les TTP, coûteuses à changer, plutôt que les IoC jetables.
-
Le cycle du renseignement commence par la direction : sans besoin clair, la collecte noie l'analyste.
-
Le partage démultiplie la valeur : MISP, STIX/TAXII, CERT et ISAC diffusent le renseignement entre organisations.
-
La CTI parle le langage d'ATT&CK et du socle : cartographier les menaces en TTP relie le renseignement aux contrôles du référentiel SOCLE.