Un flux de cyberveille est un flux de données continu en temps réel qui collecte des informations liées aux cyberrisques ou aux cybermenaces. Les données se concentrent généralement sur un seul domaine d’intérêt en matière de cybersécurité, comme les domaines inhabituels, les signatures de logiciels malveillants ou les adresses IP associées à des cybercriminels connus.
Les données provenant des flux de cyberveille ont, en général, une utilité plutôt limitée. Elles prennent toute leur valeur lorsque ce flux est intégré à d’autres outils, plateformes ou fonctionnalités de sécurité afin de renforcer au sens large les mesures de protection de l’organisation face aux cybermenaces.
Qu’est-ce que la cyberveille ?
On entend par cyberveille l’ensemble des données collectées, traitées et analysées pour comprendre les motivations, les cibles et les comportements d’attaque des cybercriminels. La cyberveille offre aux équipes de sécurité la possibilité de prendre plus rapidement des décisions informées en la matière, en s’appuyant sur des informations précises et des données solides, tout en adoptant une approche proactive plutôt que réactive face aux cybercriminels.
Les informations et les données provenant des flux de cyberveille peuvent être utilisées aux fins suivantes :
- Bloquer les sources malveillantes connues
- Renforcer la détection des cybermenaces
- Hiérarchiser les alertes et orienter les activités de correction
- Ajouter du contexte lors d’une enquête
Flux de cybermenaces et flux de cyberveille
Les flux de menaces et les flux de cyberveille sont des flux de données en temps réel qui rassemblent des informations sur les cyberrisques ou les cybermenaces. Toutefois, le contexte constitue la distinction majeure entre les deux.
Les flux de menaces se contentent de rassembler d’importants volumes d’informations et à les présenter aux équipes de sécurité sous forme de rapport ou d’affichage en temps réel des données. En revanche, un flux de cyberveille fournit des indicateurs de compromission, qui sont des éléments d’investigation informatiques, suggérant qu’un fichier, un système ou un réseau a potentiellement subi une intrusion, tout en fournissant un contexte approprié. Ainsi, les équipes peuvent se concentrer sur les problèmes et les alertes les plus urgents.
L’importance du contexte se révèle cruciale pour les équipes informatiques actuelles, souvent débordées et en sous-effectif, car elles disposent de peu de temps pour traiter et analyser plusieurs flux de données. La technologie, incluant l’agrégation et l’analyse des données grâce à l’intelligence artificielle et l’apprentissage automatique, sert à examiner les informations brutes des flux, à éliminer les doublons et à offrir un contexte pour les résultats. Ainsi, les données deviennent plus exploitables et utiles.
Flux de renseignements open source et flux de renseignements payants
Les flux de cyberveille sont généralement classés en deux catégories :
- Flux de renseignements gratuits et open source
- Services payants de tiers
Les flux de cyberveille gratuits reposent généralement sur des données en libre accès et sont tenus à jour par les membres d’une communauté en ligne. De nombreux flux de cybermenaces open source sont spécialisés dans un type spécifique d’attaques, comme les URL de logiciels malveillants ou les adresses IP de spams. Voici quelques-uns des flux de cyberveille open source parmi les plus populaires :
- URLhaus : collecte, suit et partage les URL de logiciels malveillants
- Spamhaus Project : suit les spammeurs d’e-mail et les activités liées aux spams
- FBI InfraGard : partenariat entre le FBI et des entreprises du secteur privé pour protéger les infrastructures stratégiques des États-Unis
Les flux de cybermenaces payants peuvent également exploiter des données open source. Toutefois, ils ont également tendance à collecter des données à partir de sources fermées, à agréger plusieurs flux de sources ouvertes en un seul flux, ou à exécuter leur propre flux basé sur l’analyse.
Que votre entreprise s’appuie sur des flux de cyberveille gratuits ou payants, gardez à l’esprit qu’une plus grande quantité de données n’est pas nécessairement synonyme de sécurité accrue. En fait, disposer d’un grand volume de données (via des flux multiples) peut involontairement compromettre la stratégie de sécurité de l’entreprise en fournissant au personnel une quantité écrasante d’informations. Celle-ci peut, à son tour, entraîner, une certaine lassitude, des alertes manquées ou l’incapacité à reconnaître une véritable cybermenace.
En outre, les entreprises doivent comprendre que les flux de cybermenaces ne sont pas tous fiables ou pertinents. Elles doivent se demander qui possède et recueille les informations, et évaluer le degré d’exactitude, d’exhaustivité et de fiabilité du jeu de données. Elles doivent également tenir compte du fait que les cybercriminels auront accès à de nombreux flux de cyberveille, en particulier des flux open source. Certains cybercriminels émettent délibérément des données erronées afin de fausser les renseignements, tandis que d’autres surveillent les flux pour devancer les équipes de cybersécurité.
Finalement, les entreprises doivent garantir que leur équipe informatique possède le contexte adéquat des données générées par les flux de cyberveille, qu’ils soient payants ou gratuits, afin d’identifier les renseignements essentiels et d’agir de manière appropriée.
2023 CrowdStrike Global Threat Report
Téléchargez le Global Threat Report 2023 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.
TéléchargerAvantages des flux de cyberveille
Les flux de cyberveille offrent aux professionnels de la sécurité une visibilité externe sur les sources malveillantes connues. Ces informations peuvent contribuer à la détection et à la prévention des incidents, ainsi qu’à la réponse aux incidents et à leur correction.
Une bonne utilisation des flux de cyberveille présente de nombreux avantages pour les entreprises :
- Efficacité accrue et meilleure affectation des ressources : l’automatisation de la collecte, du formatage, de l’analyse et de la diffusion des données permet de redéployer le personnel informatique pour qu’il se consacre à des activités à plus forte valeur ajoutée. En outre, comme le flux de cyberveille fournit un contexte précieux sur les données recueillies, les équipes informatiques peuvent hiérarchiser les activités et consacrer les ressources limitées sur les tâches les plus urgentes.
- Renforcement des mesures de sécurité proactives: si les données sur les cybermenaces ne permettent pas nécessairement à elles seules d’améliorer la stratégie de sécurité, l’association de la cyberveille aux fonctionnalités de détection et de contrôle peut aider l’entreprise à mieux prévenir les incidents de sécurité. Cet objectif peut être atteint grâce à des mesures de sécurité ciblées visant à lutter contre des cybermenaces spécifiques, ainsi qu’au renforcement global des défenses en fonction d’informations révélées par les données issues des flux de cyberveille.
- Amélioration de la rapidité : les flux de cyberveille permettent d’accéder en temps réel aux données et aux informations les plus récentes. Cela est d’autant plus important que le paysage de la sécurité évolue rapidement et fréquemment. L’accès aux bonnes données de cyberveille, associées à une infrastructure et à un ensemble de puissants outils de sécurité, peut aider les entreprises à garder une longueur d’avance sur leurs cyberadversaires.
Comment les flux de cyberveille collectent-ils des données ?
Les flux de cyberveille fonctionnent comme de nombreux autres flux de données. Le système est programmé pour recevoir, stocker, dédupliquer et préparer automatiquement les données qui correspondent à certains attributs définis par des sources prédéterminées. Dans de nombreux cas, les équipes de sécurité utilisent les données d’une plateforme de cyberveille (TIP) pour coordonner cette activité.
En général, ce processus se déroule de la façon suivante :
1. Définition des besoins en matière de données.
Cette étape de planification consiste à déterminer les buts et objectifs de l’entreprise en fonction des informations recueillies grâce à la cyberveille. Les exigences varieront en fonction de l’utilisation qui sera faite des données, ainsi que des cybermenaces spécifiques auxquelles l’entreprise est confrontée et des techniques d’attaque les plus courantes utilisées par des cyberadversaires connus.
2. Automatisation de la collecte des données.
La plupart des systèmes de cyberveille commencent par collecter des données brutes auprès de sources extérieures, telles que des fournisseurs de sécurité, des communautés, des bases de données nationales sur les vulnérabilités ou des flux open source. Les fournisseurs de solutions de sécurité peuvent agréger les données de l’ensemble de leur base d’utilisateurs et soit intégrer les flux de données de cyberveille qui en résultent dans leurs solutions au bénéfice de leurs clients, soit mettre les flux de données à disposition en tant que produit distinct. Les flux spécifiques au secteur, les « cercles de confiance » des professionnels de la cybersécurité et les forums du Dark Web sont d’autres sources à prendre en compte. Les robots d’indexation peuvent également être utilisés pour rechercher des exploits et des cyberattaques sur Internet.
3. Conversion des données et préparation à l’analyse.
Les données brutes sont converties dans des formats analysables. Cette opération passe par le décryptage de fichiers, la traduction du contenu de source étrangère, l’organisation des données dans des feuilles de calcul et l’évaluation de la fiabilité et de la pertinence des données.
4. Analyse des données.
À cette étape, les données brutes sont converties en cyberveille exploitable pour formuler des plans d’action conformément aux décisions prises lors de la phase de définition des objectifs. Les informations finales sont regroupées dans différents rapports et évaluations spécifiques à chaque public :
- La cyberveille stratégique est destinée aux planificateurs de sécurité de haut niveau. Elle s’intéresse surtout aux grandes tendances afin de planifier les investissements et les politiques de sécurité.
- La cyberveille tactique se concentre sur les indicateurs de compromission. Elle accélère l’identification et l’élimination d’une cybermenace potentielle. Plus facile à générer, la cyberveille tactique est généralement automatisée.
- La cyberveille opérationnelle prête attention aux auteurs ainsi qu’aux tenants et aboutissants d’une cyberattaque. Son but est de comprendre les tactiques, les motivations et les niveaux de compétence des cyberattaquants. On peut ainsi mettre en place les défenses adéquates avant la cyberattaque suivante ou une cyberattaque similaire.
5. Diffusion des données.
Les résultats d’analyse sont traduits en recommandations adaptées à des publics spécifiques et présentés aux parties prenantes. À cette étape, il est important d’éviter le jargon technique et de rester concis. Un rapport d’une page ou un bref diaporama sont les formats de présentation idéaux.
6. Création d’un retour d’information.
Vu l’évolution constante du paysage des cybermenaces, un retour d’informations permanent s’impose. À cette étape, demandez aux parties prenantes de juger la pertinence des rapports fournis et mesurez l’efficacité des contrôles techniques en place. Ces commentaires peuvent servir à ajuster la sélection des sources externes de cyberveille ainsi que la priorisation des nouvelles informations générées en fonction du contexte.
Transformer les flux de cyberveille en données exploitables
Pour atteindre cet objectif, vous devez associer les données au contexte adéquat pour faciliter l’examen rapide des données du rapport par les équipes de sécurité, et leur permettre ainsi de les hiérarchiser et d’intervenir de manière appropriée. Ces flux doivent également être intégrés à d’autres outils et plateformes de sécurité afin que les données soient utilisées efficacement et de manière coordonnée dans l’ensemble de l’entreprise.
Les entreprises dotées de capacités de sécurité avancées peuvent automatiser les réponses à certaines alertes produites par les données du flux de cyberveille. Elles pourront ainsi non seulement accélérer leur rapidité d’action, mais aussi libérer le personnel informatique pour qu’il se consacre à des activités à plus forte valeur ajoutée ou à des problèmes plus complexes.
Les flux de cyberveille, essentiels pour préserver la stratégie de sécurité des sociétés, nécessitent un contrôle régulier et une vérification de la fiabilité des informations qu’ils contiennent. Pour transformer les flux de cyberveille en données véritablement exploitables, vous devez maîtriser le processus, les sources et le contexte de toutes les données du flux.
Comme pour tout système basé sur des données, le concept de « Bad-In, Bad-Out » s’applique à la cyberveille. Malheureusement, dans le cas de la cyberveille, les conséquences de l’utilisation de données incomplètes, inexactes ou peu fiables pour prendre des décisions en matière de sécurité peuvent être réellement dévastatrices.
Implémentation
Comme indiqué plus haut, la plupart des entreprises s’appuient sur une plateforme de cyberveille ou sur un système de gestion des événements et des informations de sécurité (SIEM) pour automatiser la collecte, l’agrégation et le rapprochement des données sur les cybermenaces externes. Les outils SIEM créent également la plateforme numérique que les équipes de sécurité peuvent utiliser pour surveiller et examiner les informations les plus récentes sur les cybermenaces. La maintenance des outils SIEM ou TIP peut être très compliquée et leur intégration peut prendre du temps.
La cyberveille avec CrowdStrike
CrowdStrike est un leader du marché qui fournit aux équipes de sécurité des renseignements exploitables. L’architecture de sécurité cloud de CrowdStrike corrèle chaque jour des billions d’événements de sécurité recueillis auprès de millions d’endpoints et de workloads cloud dans le monde. En conjuguant intelligence artificielle et analyse humaine par des experts, nous générons chaque année des millions d’indicateurs de compromission en temps réel et des milliers de rapports de cyberveille à l’intention des clients de CrowdStrike.
Notre module primé de cyberveille, CrowdStrike Falcon Intelligence, fournit des indicateurs de compromission (IOC) enrichis par le contexte, des rapports sur les cybermenaces, une fonctionnalité de mise en quarantaine des logiciels malveillants, l’identification des responsables et un référentiel de logiciels malveillants consultable. Celui-ci offre des informations exploitables sur les principaux cybercriminels, vecteurs d’attaque et tendances en matière de cyberveille. CrowdStrike offre aussi des modules préintégrés et des API en collaboration avec les principaux fournisseurs de TIP du secteur, tels que ThreatQuotient, ThreatConnect et Anomali. Les utilisateurs peuvent également télécharger et filtrer des indicateurs directement à partir de la plateforme en utilisant une API ou une exportation d’un fichier CSV.
Envie de savoir comment nos clients tirent parti de CrowdStrike pour réaliser leurs objectifs de cyberveille ? Consultez notre page CrowdStrike Falcon Intelligence et celle de la plateforme Falcon pour découvrir tout ce que nous avons à offrir.