Aller au contenu
Sécurité medium

Cyber Threat Intelligence (CTI) : le renseignement sur les menaces

9 min de lecture

La Cyber Threat Intelligence (CTI), ou renseignement sur les menaces, transforme des données brutes sur les attaquants en décisions de défense concrètes. Plutôt que de subir les attaques, elle vous aide à anticiper : savoir qui vous cible, comment, et adapter vos défenses en conséquence. Cette page explique ce qu'est la CTI, ses quatre niveaux, la différence décisive entre indicateurs et modes opératoires, le cycle du renseignement et les outils de partage. Elle s'adresse à toute personne qui veut comprendre comment on passe de l'information à l'action défensive.

La CTI n'est pas un flux d'alertes de plus : c'est une démarche qui oriente la défense. Concrètement, vous saurez :

  • Définir la Cyber Threat Intelligence et ses quatre niveaux, du stratégique au technique.
  • Distinguer les indicateurs de compromission (IoC) des modes opératoires (TTP), et comprendre la Pyramid of Pain.
  • Suivre les étapes du cycle du renseignement, de la direction à la diffusion.
  • Identifier les sources et formats de partage : MISP, STIX/TAXII, CERT et ISAC.
  • Relier la CTI au référentiel MITRE ATT&CK et au modèle de menaces SOCLE, qui structurent le langage commun de la menace.

La Cyber Threat Intelligence est la collecte, l'analyse et l'exploitation d'informations sur les menaces pour prendre de meilleures décisions de sécurité. La nuance importante est le mot renseignement : une donnée brute (une adresse IP suspecte) n'est pas du renseignement tant qu'elle n'a pas été analysée, mise en contexte et rendue actionnable.

L'analogie est celle de la météo pour un marin. Une liste de pressions et de températures ne sert à rien seule ; le renseignement, c'est le bulletin qui dit « tempête au nord, changez de cap ». La CTI fait de même : elle transforme le bruit en avertissement exploitable pour ajuster vos défenses avant l'impact.

Elle répond à trois questions : qui pourrait vous attaquer et pourquoi, comment il procède, et que faire pour l'anticiper. Ce dernier point est essentiel : une CTI qui ne débouche sur aucune action n'a aucune valeur.

La CTI s'adresse à des publics différents, avec des niveaux de détail adaptés. Les confondre, c'est noyer un dirigeant sous des adresses IP ou priver un analyste de contexte.

NiveauPublicContenuHorizon
StratégiqueDirectionTendances, motivations, risques métierLong terme
OpérationnelResponsables sécuritéCampagnes en cours, groupes actifsMoyen terme
TactiqueÉquipes de défenseModes opératoires (TTP), techniquesCourt terme
TechniqueOutils, SOCIndicateurs (IoC) : IP, hachages, domainesImmédiat

Le niveau stratégique guide les investissements ; le niveau technique alimente directement les outils de détection. Une CTI mature relie ces niveaux : un indicateur technique prend son sens quand il est rattaché à une campagne et à un groupe.

Indicateurs, modes opératoires et Pyramid of Pain

Section intitulée « Indicateurs, modes opératoires et Pyramid of Pain »

Tous les renseignements n'ont pas la même valeur défensive. La Pyramid of Pain, proposée par David Bianco, classe les indicateurs selon la difficulté qu'ils imposent à l'attaquant quand vous les bloquez.

  • En bas, les indicateurs volatils : hachages de fichiers, adresses IP, noms de domaine. Faciles à détecter, mais triviaux à changer pour l'attaquant. Les bloquer ne le gêne qu'une journée.
  • Au milieu, les artefacts réseau et hôte, les outils employés. Plus coûteux à remplacer.
  • Au sommet, les TTP (tactiques, techniques et procédures), la façon dont l'attaquant opère. Les détecter le force à repenser sa méthode, ce qui est très coûteux.

C'est le lien direct avec ATT&CK : le référentiel fournit le vocabulaire des TTP, le sommet de la pyramide. Cartographier un rapport de CTI en techniques ATT&CK, c'est traduire le renseignement en détections durables.

Pyramid of Pain : des valeurs de hachage et adresses IP faciles à changer, jusqu'aux TTP très douloureuses à modifier pour l'attaquant

La CTI n'est pas un achat ponctuel de flux, mais un cycle continu, hérité du renseignement militaire. Chaque tour affine le suivant.

Le cycle du renseignement en six étapes : direction, collecte, traitement, analyse, diffusion et retour, en boucle continue

  1. Direction : définir les besoins. Que doit-on protéger, contre qui ?
  2. Collecte : rassembler les données (sources ouvertes, flux, incidents internes, partage sectoriel).
  3. Traitement : normaliser et dédupliquer les données brutes.
  4. Analyse : donner du sens, corréler, mettre en contexte, produire du renseignement actionnable.
  5. Diffusion : livrer le bon niveau au bon public (bulletin dirigeant, IoC pour le SOC).
  6. Retour : mesurer l'utilité et réorienter la direction.

Le maillon le plus souvent négligé est la direction : sans besoin clair, la collecte produit un flux ingérable d'indicateurs sans priorité.

La CTI se nourrit de sources variées et gagne en valeur par le partage, car une attaque vue par une organisation prévient les autres.

  • Sources ouvertes (OSINT) : rapports d'éditeurs, blogs, bases publiques. Pour l'analyse d'artefacts et l'extraction d'indicateurs, un outil comme CyberChef est précieux.
  • Flux de renseignement : listes d'indicateurs, commerciales ou communautaires, à intégrer dans les outils de détection.
  • Plateformes de partage : MISP (Malware Information Sharing Platform) centralise et diffuse les indicateurs entre organisations de confiance.
  • Formats standardisés : STIX décrit le renseignement de façon structurée, TAXII en assure le transport automatisé entre plateformes.
  • Communautés : les CERT (comme le CERT-FR) et les ISAC sectoriels diffusent des alertes ciblées à leurs membres.

Le renseignement n'a de valeur que s'il change quelque chose dans la défense. Ses usages concrets sont directs.

  • Alimenter la détection : traduire les TTP observés en règles, en priorisant les techniques réellement employées contre votre secteur.
  • Prioriser les correctifs : concentrer l'effort sur les vulnérabilités activement exploitées, comme le montre la phase d'exploitation.
  • Enrichir la réponse à incident : reconnaître un mode opératoire connu accélère l'analyse et le confinement, notamment sur les canaux de commande et contrôle.
  • Éclairer les décisions : au niveau stratégique, adapter la posture selon les profils d'attaquants qui vous ciblent.
  1. La CTI transforme des données en décisions : sans analyse ni contexte, une donnée n'est pas du renseignement.

  2. Quatre niveaux, du stratégique (direction) au technique (SOC) : adapter le détail au public.

  3. La Pyramid of Pain hiérarchise les indicateurs : viser les TTP, coûteuses à changer, plutôt que les IoC jetables.

  4. Le cycle du renseignement commence par la direction : sans besoin clair, la collecte noie l'analyste.

  5. Le partage démultiplie la valeur : MISP, STIX/TAXII, CERT et ISAC diffusent le renseignement entre organisations.

  6. La CTI parle le langage d'ATT&CK et du socle : cartographier les menaces en TTP relie le renseignement aux contrôles du référentiel SOCLE.

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracking. Un soutien, même symbolique, m'aide à couvrir l'hébergement et à garder ces ressources gratuites. Merci pour votre appui.

Le formulaire ne s'affiche pas ? Ouvrir Ko-fi dans un onglet.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn