SlideShare une entreprise Scribd logo

Threat intelligence.pptx fichier sur cours de securite informatique

Télécharger en tant que PPTX, PDF
D
DALLELKHEZZANE2

cours

Formation
1  sur  60
Threat Intelligence
Plan 1. Introduction à la Threat Intelligence 2. Types de Threat Intelligence 3. Collecte de Données et Sources de Threat Intelligence 4. Analyse de Menaces 5. Threat Intelligence Collaborative 6. Mise en Pratique 7. Éthique et Légalité 8. Normes et Protocoles 4. Outils de collecte
Threat intelligence
 La Threat Intelligence, ou Intelligence sur les Menaces, désigne le processus de collecte, d'analyse et d'interprétation d'informations relatives aux menaces potentielles ou existantes qui pèsent sur un système informatique, une organisation ou des actifs numériques.  Cette discipline vise à anticiper et à répondre aux activités malveillantes en fournissant une compréhension approfondie des tactiques, techniques et procédures (TTP) des attaquants, ainsi que des indicateurs de compromission (IOC).  La Threat Intelligence rassemble des données provenant de diverses sources, qu'elles soient ouvertes (sources publiques, forums, blogs) ou fermées (sources gouvernementales, entreprises de sécurité, partenariats), et les transforme en informations exploitables. Threat intelligence = Anticipation 1. Introduction à la Threat Intelligence Définition et Concepts Fondamentaux
1. Introduction à la Threat Intelligence Comprendre la menace, l'intelligence et leur intersection dans le domaine de la cybersécurité. .  Une menace en cybersécurité fait référence à tout événement, processus ou acteur potentiel qui peut compromettre la confidentialité, l'intégrité, ou la disponibilité des systèmes informatiques, des données ou des réseaux.  L'intelligence en cybersécurité consiste en la collecte, l'analyse et l'interprétation de données pertinentes sur les menaces informatiques. Elle vise à fournir des informations exploitables pour comprendre et atténuer les risques liés à la sécurité informatique.  L'intelligence sur les menaces permet une détection précoce des activités malveillantes en identifiant les indicateurs de compromission (IoC) et les indicateurs de comportement (BoC).
1.Anticipation des Menaces : La Threat Intelligence permet d'anticiper les attaques en identifiant les menaces potentielles avant qu'elles ne se concrétisent. En comprenant les méthodes d'opération des attaquants, les organisations peuvent renforcer leurs défenses. 2.Réponse Proactive : En fournissant des informations en temps réel sur les menaces, la Threat Intelligence permet une réponse proactive. Les équipes de sécurité peuvent prendre des mesures immédiates pour contrer une attaque en cours ou prévenir une future exploitation. 3.Identification d'Indicateurs de Compromission (IOC) : La Threat Intelligence identifie des IOC tels que des adresses IP malveillantes, des signatures de logiciels malveillants, des modèles de comportement suspect, etc. Ces IOC sont utilisés pour détecter des incidents de sécurité. 4. Meilleure Allocation des Ressources : En comprenant les menaces spécifiques qui ciblent une organisation, celle-ci peut allouer efficacement ses ressources de cybersécurité en se concentrant sur les vecteurs d'attaque les plus pertinents. 5. Amélioration de la Détection : La Threat Intelligence alimente les systèmes de détection d'intrusions et les outils de sécurité pour améliorer leur capacité à identifier les activités malveillantes. Cela inclut la création de règles de détection et la mise à jour des signatures antivirus. 1. Introduction à la Threat Intelligence Importance de la Threat Intelligence dans le Contexte de la Cybersécurité
1. Introduction à la Threat Intelligence Importance de la Threat Intelligence dans le Contexte de la Cybersécurité 6. Partage d'Informations : Les organisations peuvent collaborer en partageant des informations sur les menaces, créant ainsi une communauté collaborative qui renforce la sécurité de tous les membres. Les partages d'informations sur les menaces contribuent à une compréhension collective des risques. 7. Gestion des Risques : En comprenant les menaces auxquelles elles sont exposées, les organisations peuvent mieux gérer leurs risques de cybersécurité. Cela inclut l'identification des vulnérabilités à corriger et la mise en œuvre de mesures préventives. 8. Sensibilisation et Formation : La Threat Intelligence alimente les programmes de sensibilisation à la sécurité en mettant en évidence les dernières tendances et tactiques utilisées par les attaquants. Cela aide les utilisateurs à reconnaître et à signaler les activités suspectes.
1. Introduction à la Threat Intelligence Acteurs et Motivations Présentation des acteurs de menaces Hacktivistes Criminels États-nations Groupes de Pirates Informatiques Organisés Insiders (Personnel Interne) Hackers Indépendants Cyberespions
1. Introduction à la Threat Intelligence Acteurs et Motivations 1. Hacktivistes : 1. Motivations : Les hacktivistes sont généralement motivés par des causes politiques, sociales ou idéologiques. Ils cherchent à promouvoir un message, à protester ou à lutter pour une cause particulière en utilisant des techniques de piratage. 2. Méthodes : Attaques DDoS, défacement de sites web, vol et divulgation de données pour atteindre leurs objectifs. 2. Criminels : 1. Motivations : Les criminels agissent principalement pour un gain financier. Ils cherchent à voler des informations sensibles, à extorquer de l'argent, à vendre des données ou à commettre des fraudes. 2. Méthodes : Malwares, ransomwares, phishing, fraude financière, vol d'identité.
1. Introduction à la Threat Intelligence Acteurs et Motivations 1.États-nations : 1. Motivations : Les États-nations peuvent être impliqués dans des activités cybernétiques pour des raisons politiques, militaires, économiques ou de renseignement. Ils peuvent chercher à espionner d'autres nations, à perturber des infrastructures critiques ou à mener des opérations de désinformation. 2. Méthodes : Espionnage électronique, attaques contre des infrastructures critiques, sabotage numérique, propagande en ligne. 2.Groupes de Pirates Informatiques Organisés : 1. Motivations : Ces groupes opèrent souvent dans un but financier, mais peuvent également être mandatés par des États- nations pour des opérations spécifiques. 2. Méthodes : Attaques sophistiquées, vols de données massifs, manipulation des marchés financiers.
1. Introduction à la Threat Intelligence Acteurs et Motivations 3. Insiders (Personnel Interne) : 1. Motivations : Des employés internes malveillants peuvent agir par vengeance, mécontentement professionnel, ou dans le cadre d'une collusion avec des acteurs externes. 2. Méthodes : Fuites de données, sabotage interne, accès non autorisé. 4. Hackers Indépendants : 1. Motivations : Les hackers indépendants peuvent agir par curiosité, pour tester leurs compétences ou pour gagner en notoriété dans la communauté hacker. 2. Méthodes : Exploitation de vulnérabilités, recherche de failles de sécurité, participation à des compétitions de hacking. 5. Cyberespions : 1. Motivations : Les cyberespions sont souvent mandatés par des gouvernements pour collecter des informations stratégiques sur d'autres nations, entreprises ou individus. 2. Méthodes : Espionnage électronique, infiltration de réseaux,
1. Introduction à la Threat Intelligence Analyse des motivations derrière les attaques. Gain Financier Espionnage Économiqu e Sabotage et Destruction Vol d'Identité Cyberterroris me
2. Types de Threat Intelligence Threat Intelligence Stratégique  une approche de la sécurité informatique qui se concentre sur la compréhension des menaces à long terme, l'analyse des tendances et l'identification des acteurs majeurs.  Cette discipline vise à anticiper les menaces et à développer des stratégies proactives pour renforcer la sécurité d'une organisation. Compréhensio n des Menaces à Long Terme Analyse des Tendances Identification des Acteurs Majeurs Collaboratio n et Partage Sources de Threat Intelligence Élaboration de Stratégies de Sécurité
2. Types de Threat Intelligence Threat Intelligence Stratégique 1. Compréhension des Menaces à Long Terme :  Veille Stratégique : Surveiller les évolutions technologiques, les changements politiques, les développements économiques, etc., pour anticiper les menaces potentielles.  Évaluation des Risques à Long Terme : Identifier les tendances émergentes susceptibles d'avoir un impact sur la sécurité, en se basant sur des analyses prospectives. 2. Analyse des Tendances :  Analyse Temporelle : Examiner comment les menaces évoluent au fil du temps pour identifier des schémas et des cycles.  Identification des Modèles : Rechercher des modèles de comportement dans les attaques passées et actuelles pour prédire les futures tactiques.
2. Types de Threat Intelligence Threat Intelligence Stratégique 3. Identification des Acteurs Majeurs :  Attribution des Menaces : Essayer d'identifier les individus, groupes ou entités responsables des attaques.  Analyse des Motivations : Comprendre les motivations derrière les attaques pour mieux anticiper les cibles potentielles. 4. Sources de Threat Intelligence :  Open Source Intelligence (OSINT) : Utilisation de sources d'information publiques pour collecter des données sur les menaces.  Intelligence Humaine (HUMINT) : Collecte d'informations par le biais d'informateurs humains.  Intelligence Technique (TECHINT) : Analyse des artefacts techniques laissés par les attaquants.
2. Types de Threat Intelligence Threat Intelligence Stratégique 5. Collaboration et Partage :  Partage d'Informations : Collaborer avec d'autres organisations, secteurs ou entités pour échanger des informations sur les menaces.  Participation aux Communautés : Être actif au sein des communautés de sécurité pour rester informé des dernières menaces. 6. Élaboration de Stratégies de Sécurité :  Planification Préventive : Développer des stratégies proactives basées sur les tendances identifiées.  Élaboration de Contremesures : Concevoir des réponses appropriées pour contrer les menaces prévues.
2. Types de Threat Intelligence Threat Intelligence Stratégique Exemple concret Groupe de Menace Stratégique "Crimson Phoenix" Contexte : Le groupe de menace "Crimson Phoenix" est un acteur cybercriminel émergent qui a attiré l'attention des chercheurs en cybersécurité en raison de ses activités sophistiquées et de ses motivations financières. Le groupe semble cibler principalement des institutions financières et des entreprises du secteur de la santé. Informations sur les Motivations : •"Crimson Phoenix" semble être motivé principalement par des gains financiers, utilisant des tactiques de ransomware pour extorquer des paiements en cryptomonnaie. •Des signes indiquent également une possible affiliation à des groupes criminels organisés cherchant à diversifier leurs opérations. Informations sur les Capacités : •Le groupe a démontré une compréhension avancée des vulnérabilités de logiciels spécifiques, exploitant des failles zero-day dans certains cas. •Utilisation de techniques d'évasion sophistiquées, rendant la détection plus difficile.
2. Types de Threat Intelligence Threat Intelligence Tactique Tactiques, Techniques et Procédures (TTP) •Tactiques : Il s'agit des objectifs généraux poursuivis par un attaquant. Par exemple, une tactique pourrait être "obtenir un accès non autorisé". •Techniques : Ce sont les méthodes spécifiques utilisées pour atteindre une tactique. Par exemple, une technique pourrait être "utiliser une attaque de phishing pour obtenir des identifiants". •Procédures : Il s'agit des étapes détaillées et spécifiques suivies par un attaquant pour mettre en œuvre une technique. Par exemple, une procédure pourrait inclure des détails sur la manière dont l'attaquant personnalise un e-mail de phishing. La "threat intelligence tactique" se concentre sur l'analyse des tactiques, techniques et procédures (TTP) utilisées par les attaquants, ainsi que sur l'identification des indicateurs de compromission (IOC).
2. Types de Threat Intelligence Threat Intelligence Tactique Indicateurs de Compromission (IOC) •Les IOC sont des éléments spécifiques qui indiquent la présence probable d'une activité malveillante. Ils peuvent être divisés en plusieurs catégories :  IOC basés sur le réseau : Adresses IP, noms de domaine, signatures de trafic réseau, etc.  IOC basés sur le système : Fichiers malveillants, empreintes de malware, registre système modifié, etc.  IOC basés sur le comportement : Modèles de comportement suspect, activités anormales, etc.  IOC basés sur les emails (Email-based IOC) : Adresses email de phishing  IOC basés sur les informations contextuelles : Activités provenant de régions géographiques inhabituelles.
2. Types de Threat Intelligence Threat Intelligence Tactique Indicateurs de Compromission (IOC) Gravité : - Classification des IOC : •La gravité représente la sévérité intrinsèque d'un IOC, c'est-à-dire la mesure dans laquelle il peut causer des dommages ou compromettre la sécurité. Une évaluation de la gravité doit tenir compte de la nature de la menace, de la sophistication de l'attaque et du potentiel de préjudice. •Échelle indicative : • Faible : La menace a un impact limité et peut être gérée avec des ressources relativement faibles. • Moyenne : La menace a un impact modéré, nécessitant des efforts significatifs pour la gestion et la remédiation. • Élevée : La menace a un impact grave, avec des conséquences potentielles majeures nécessitant une action immédiate.
2. Types de Threat Intelligence Threat Intelligence Tactique Indicateurs de Compromission (IOC) - Classification des IOC : Impact : •L'impact représente les conséquences réelles ou potentielles d'un IOC sur l'organisation. Cela prend en compte la manière dont la menace affecte les opérations, les données, la réputation et d'autres aspects cruciaux de l'entreprise. •Échelle indicative : • Faible : Les conséquences sont gérables avec des perturbations mineures. • Moyen : Les conséquences ont un impact notable sur les opérations, la confidentialité ou l'intégrité des données. • Élevé : Les conséquences sont graves, entraînant des pertes importantes, une interruption des opérations ou une atteinte significative à la réputation.
2. Types de Threat Intelligence Threat Intelligence Tactique Exemple concret Tactiques Générales : •"Crimson Phoenix" a recours à des campagnes de phishing ciblées pour infiltrer les réseaux d'entreprises. •Utilisation de techniques de living-off-the-land (LOLBin) pour minimiser la détection des activités malveillantes. Indicateurs de Compromission (IoC) : •Adresses IP associées aux serveurs de commande et de contrôle utilisés dans les attaques. •Signature de ransomware spécifique utilisée par le groupe. Impacts Anticipés : •Risque élevé d'interruption des opérations commerciales en raison de campagnes de ransomware. •Possibilité de vol de données sensibles, avec des conséquences financières et de réputation.
2. Types de Threat Intelligence Threat Intelligence Opérationnelle  La Threat Intelligence Opérationnelle (OTI) met l'accent sur l'application immédiate des renseignements sur les menaces pour renforcer la défense en temps réel et coordonner efficacement les réponses aux incidents.  L'objectif est d'améliorer la posture de sécurité d'une organisation en intégrant activement des informations sur les menaces dans ses systèmes et processus de sécurité.  Les aspects clés de la Threat Intelligence Opérationnelle : Collecte et Analyse des Renseignements, Intégration avec les Systèmes de Sécurité, Analyse Comportementale en Temps Réel, Formation Continue, Collaboration et Partage d'Informations
3, Collecte de Données et Sources de Threat Intelligence Sources Ouvertes et Fermées Sources Ouvertes (Open Source) : •Forums et Blogs de Sécurité : Des forums en ligne et des blogs tenus par des experts en sécurité peuvent fournir des informations sur les dernières menaces et tactiques utilisées par les cybercriminels. •Médias Sociaux : La surveillance des discussions sur les médias sociaux peut révéler des informations sur les attaques en cours, les campagnes de phishing, etc. •Sites Web de Gouvernements et d'Organisations Internationales : Les agences gouvernementales et les organisations internationales publient parfois des informations sur les menaces. •Rapports Publics d'Incidents de Sécurité : Les rapports publics sur des incidents de sécurité antérieurs peuvent fournir des détails utiles sur les tactiques utilisées par les attaquants.
3. Collecte de Données et Sources de Threat Intelligence Sources Ouvertes et Fermées •Flux de Renseignements sur les Menaces (Threat Feeds) : Des fournisseurs de sécurité et d'autres organisations partagent des flux de renseignements sur les menaces, qui incluent des IOC (Indicateurs de Compromission) et des informations contextuelles. •Partenariats et Partage d'Informations : Les partenariats avec d'autres organisations de confiance permettent le partage confidentiel d'informations sur les menaces. •Dark Web : La surveillance du dark web peut fournir des renseignements sur les activités de cybercriminalité et les ventes de données volées. •Analyses Privées : Les entreprises spécialisées dans l'analyse des menaces produisent des rapports privés sur les tendances et les attaques actuelles. Sources Fermées (Closed Source) :
3. Collecte de Données et Sources de Threat Intelligence Contexte : Vous êtes responsable de la collecte de Threat Intelligence pour une entreprise du secteur financier. Utilisez The Hacker News comme source pour identifier des menaces potentielles et des incidents récents qui pourraient impacter les systèmes informatiques de l'organisation. 1. Accédez à The Hacker News : 1. Visitez le site web de The Hacker News à l'adresse https://thehackernews.com/. 2. Analysez les Articles Récents : 1. Parcourez les articles récents sur The Hacker News. Identifiez des incidents de sécurité, des vulnérabilités ou des attaques qui pourraient affecter le secteur financier. Exercice : Exercice de Collecte de Threat Intelligence avec The Hacker News 3. Thèmes Clés : 1. Identifiez les thèmes clés abordés dans les articles. S'agit-il de ransomwares, d'attaques par phishing, de vulnérabilités logicielles, ou d'autres types de menaces ? 4. Collecte d'Indicateurs de Compromission (IoC) : 1. Si possible, notez les Indicateurs de Compromission (IoC) mentionnés dans les articles, tels que des adresses IP malveillantes, des noms de domaine
3. Collecte de Données et Sources de Threat Intelligence Introduction aux bases de données du Dark Web  Le Dark Web, également appelé le Web caché ou le Web profond, est une partie d'Internet qui n'est pas indexée par les moteurs de recherche traditionnels et qui nécessite des outils spécifiques pour y accéder.  Il est souvent associé à des activités illégales et clandestines, mais il est également utilisé à des fins légitimes, notamment pour la protection de la vie privée et la communication sécurisée.  Les bases de données du Dark Web font référence aux collections d'informations disponibles sur ces plateformes souterraines.  Caractéristiques du Dark Web : Anonymat, Cryptomonnaies, Plateformes Spécifiques, Contenus Illicites Dark web monitoring - ITChronicles
3. Collecte de Données et Sources de Threat Intelligence Introduction aux bases de données du Dark Web Types de Bases de Données du Dark Web 1.Marchés en Ligne : 1. Les marchés du Dark Web permettent l'achat et la vente de biens et services, souvent illégaux. Cela inclut des éléments tels que des drogues, des armes, des données volées, etc. 2.Forums et Communautés : 1. Des forums spécialisés existent pour discuter de sujets variés, de la sécurité informatique aux conseils sur des activités illicites. 3.Fuites de Données : 1. Les bases de données contenant des informations volées sont souvent mises en vente sur le Dark Web. Cela peut inclure des informations personnelles, des identifiants, des cartes de crédit, etc. 4.Services de Hacking : 1. Certains individus offrent des services de piratage, tels que le piratage de comptes de réseaux sociaux, le vol de comptes de messagerie électronique, etc. 5.Arnaques et Escroqueries : 1. Des bases de données d'escroqueries et d'arnaques passées peuvent être partagées pour avertir ou éduquer d'autres utilisateurs.
4. Outils de Collecte et d'Analyse Présentation des outils automatisés de collecte d'informations Collecte de données réseau : •Wireshark : Un outil de capture et d'analyse de paquets réseau. Il permet d'inspecter le trafic réseau en temps réel et de récupérer des données pour une analyse plus approfondie. •Nmap : Un scanner de réseau qui permet de découvrir les dispositifs connectés à un réseau, d'identifier les ports ouverts, et de collecter des informations sur ces dispositifs. Collecte de données open-source : •OSINT (Open Source Intelligence) : Des outils comme Maltego ou recon-ng sont utilisés pour collecter des informations à partir de sources ouvertes en ligne, comme les réseaux sociaux, les bases de données publiques, etc. Outils de Collecte de Données sur les Malwares : •Description : Ces outils se concentrent sur la collecte d'informations liées aux logiciels malveillants, y compris leurs caractéristiques, comportements et signatures. •Exemples : VirusTotal, Hybrid Analysis, Cuckoo Sandbox. Outils d'Analyse de Log : •Description : Ces outils analysent les journaux (logs) générés par les systèmes, applications et dispositifs réseau pour identifier des schémas de comportement suspect. •Exemples : ELK Stack (Elasticsearch, Logstash, Kibana), Splunk.
4. Outils de Collecte et d'Analyse Méthodes de Tri, de Filtrage et d'Analyse des Données Collectées 1. Tri des Données : •Tri par Type d'Attaque : Classer les données en fonction des types d'attaques détectées, comme les attaques DDoS, les attaques de phishing, etc. •Tri par Groupe d'Auteurs : Organiser les données en groupes d'attaquants connus pour identifier des motifs de comportement. 2. Filtrage des Données : •Filtrage par Signature : Utiliser des signatures de malwares pour filtrer les données et identifier des éléments malveillants. •Filtrage par IP/Domaine : Éliminer les données provenant d'adresses IP ou de domaines connus pour être associés à des 3. Analyse des données: 1. Analyse Statistique : 1. Calcul des Fréquences : Analyser la fréquence d'apparition des indicateurs pour identifier des modèles. 2. Corrélation : Rechercher des relations statistiques entre différents indicateurs. 2. Analyse de Texte et de Contenu : 1. Analyse de Menace : Utiliser des outils d'analyse de texte pour extraire des informations sur les tactiques, techniques et procédures (TTP) des menaces. 2. Recherche de Mot-clé : Identifier des termes spécifiques liés aux menaces.
5. Analyse de Menaces Analyse de Tactiques, Techniques et Procédures (TTP) Compréhension Approfondie des Méthodes Utilisées par les Attaquants Méthodes Phishing : •Techniques : Emails trompeurs, sites web de phishing, attaques de spear phishing ciblées. •Procédures : Création de faux emails, conception de pages web de phishing, exploitation de la confiance humaine. Exploitation de Vulnérabilités : •Techniques : Utilisation d'exploits zero-day, exploitation de vulnérabilités connues. •Procédures : Recherche de failles, développement d'exploits, intrusion dans les systèmes. Ingénierie Sociale : •Techniques : Manipulation psychologique, usurpation d'identité, tromperie. •Procédures : Collecte d'informations sur la cible, création de scénarios convaincants, exploitation des relations de confiance.
5. Analyse de Menaces Analyse de Tactiques, Techniques et Procédures (TTP) Compréhension Approfondie des Méthodes Utilisées par les Attaquants Méthodes Malwares :  Techniques : Logiciels malveillants, ransomwares, chevaux de Troie.  Procédures : Injection de code malveillant, propagation sur le réseau, évitement de la détection. Attaques par Déni de Service (DoS) : •Techniques : Inondation de trafic, attaques distribuées par déni de service (DDoS). •Procédures : Coordination de botnets, exploitation de vulnérabilités de protocoles. Attaques Zero-Trust : •Techniques : Contournement des mécanismes de confiance, attaques "living off the land". •Procédures : Utilisation d'outils et de protocoles légitimes, dissimulation dans le trafic normal.
6. Études de cas sur des campagnes malveillantes notoires. 5. Analyse de Menaces Stuxnet (2010) : 1. Objectif : Attaque ciblant les systèmes de contrôle industriel (SCADA) iraniens. 2. TTP Notables : Utilisation de vulnérabilités zero-day, propagation via des périphériques USB, ciblage spécifique de systèmes industriels. APT28 (Fancy Bear) : 1. Attribution : Groupe de menace associé à la Russie. 2. TTP Notables : Phishing avancé, exploitation de vulnérabilités zero-day, utilisation de malwares personnalisés. NotPetya (2017) : 1. Type : Attaque ransomware déguisée en attaque de destruction de données. 2. TTP Notables : Utilisation d'un exploit EternalBlue (vulnérabilité Windows), propagation rapide au sein des réseaux. DarkTequila (2018) : 1. Type : Malware bancaire sophistiqué ciblant principalement l'Amérique du Sud. 2. TTP Notables : Techniques d'infection avancées, évitement de la détection en temps réel. APT29 (Cozy Bear) : 1. Attribution : Groupe de menace associé à la Russie. 2. TTP Notables : Campagnes de spear phishing, utilisation de faux certificats SSL, persistance au sein des réseaux cibles.
6. Threat Intelligence Collaborative  La Threat Intelligence Collaborative (collaboration en intelligence des menaces) est une approche stratégique qui vise à rassembler, partager et analyser des informations sur les menaces cybernétiques au sein d'une communauté d'organisations.  Cette collaboration permet de renforcer la posture de sécurité globale en offrant une vue plus complète du paysage des menaces.  Plateformes et Initiatives de Threat Intelligence Collaborative: MISP (Malware Information Sharing Platform & Threat Sharing) , ISAC (Information Sharing and Analysis Center)
6. Threat Intelligence Collaborative Participation à des Initiatives de Partage Participation aux ISAC : 1. Avantages : Accès à des informations sectorielles pertinentes, partage d'expérience avec des pairs, possibilité de collaborer sur des initiatives de sécurité communes. 2. Défis : Besoin de respecter les politiques de confidentialité, nécessité de contribuer activement. Collaboration avec des Partenaires de Confiance : 1. Avantages : Échange d'informations plus approfondies et ciblées, construction de relations de confiance, possibilité de coordonner des réponses à des incidents. 2. Défis : Nécessité de garantir la fiabilité des partenaires, gestion des accords de partage d'informations. Participation à des Programmes de Threat Intelligence Collaborative : 1. Avantages : Accès à une variété d'informations, possibilité d'identifier des menaces émergentes, contribution à la sécurité collective. 2. Défis : Besoin de gérer la surcharge d'informations, nécessité de maintenir une posture de
6. Threat Intelligence Collaborative Avantages et défis de la collaboration en Threat Intelligence Amélioration de la Visibilité : 1. Description : La collaboration permet d'obtenir une vue plus complète des menaces en intégrant des données provenant de différentes sources. 2. Avantages : Détection plus précoce des menaces, compréhension approfondie du paysage des menaces. Réponse Coordonnée aux Incidents : 1. Description : La collaboration facilite la coordination des réponses aux incidents, permettant une action plus rapide et plus efficace. 2. Avantages : Limitation des dommages, partage d'expertise, atténuation des risques. Avantages de la Collaboration en Threat Intelligence : Identification de Tendances et de Modèles : 1. Description : La collaboration permet de détecter des tendances et des schémas d'attaques à l'échelle sectorielle ou mondiale. 2. Avantages : Préparation proactive, ajustement des défenses en fonction des évolutions. Optimisation des Ressources : 1. Description : La collaboration permet aux organisations de tirer parti des connaissances et des ressources des autres pour renforcer leur propre posture de sécurité. 2. Avantages : Économie de ressources, accès à des compétences spécialisées.
6. Threat Intelligence Collaborative Avantages et défis de la collaboration en Threat Intelligence Défis de la Collaboration en Threat Intelligence Confidentialité des Informations Sensibles : 1. Description : La collaboration implique le partage d'informations sensibles, ce qui peut poser des problèmes de confidentialité. 2. Défis : Nécessité de garantir la confidentialité, respect des réglementations. Gestion de la Surcharge d'Informations : 1. Description : La collaboration peut générer une grande quantité d'informations, ce qui peut être difficile à gérer. 2. Défis : Filtrage efficace, priorisation des données, éviter la fatigue des analystes. Diversité des Normes et Formats : 1. Description : La diversité des normes et formats utilisés peut compliquer l'échange d'informations entre différentes organisations. 2. Défis : Besoin de normalisation, adoption de standards reconnus. Confiance et Fiabilité des Partenaires : 1. Description : La collaboration repose sur la confiance mutuelle, ce qui peut être un défi, en particulier dans des environnements virtuels. 2. Défis : Établissement et maintien de la confiance, évaluation de la fiabilité des
7. Mise en Pratique Rapport d'Analyse et Communication Rédaction de rapports d'analyse de Threat Intelligence. 1. Introduction 1.1 Objectif du Rapport Définissez clairement l'objectif de l'analyse et du rapport. Quelle est la question ou la problématique que cette analyse vise à résoudre? 1.2 Contexte Fournissez un bref contexte sur la situation actuelle en matière de sécurité informatique qui motive cette analyse. 2. Résumé Exécutif 2.1 Principales Menaces Identifiées Au cours de cette analyse, les principales menaces identifiées incluent [liste des menaces], avec une attention particulière portée à [menace spécifique]. 2.2 Recommandations Pour faire face à ces menaces, nous recommandons la mise en place immédiate de [mesures recommandées] et la planification de [actions futures] pour renforcer notre défense.
7. Mise en Pratique Rapport d'Analyse et Communication Rédaction de rapports d'analyse de Threat Intelligence. 3. Méthodologie Expliquez comment les données ont été collectées, les sources utilisées, et les techniques d'analyse employées. Assurez-vous de mettre en avant la fiabilité des données. 4. Tendances et Menaces Actuelles Identifiez les menaces cybernétiques actuelles qui pourraient avoir un impact sur l'organisation. Utilisez des exemples concrets et, si possible, fournissez des indicateurs de compromission (IoC). Menaces Actuelles : •[Liste des Menaces Actuelles] •[Exemples d'Indicateurs de Compromission] Tendances Émergentes : •[Tendance Émergente 1] •[Tendance Émergente 2]
7. Mise en Pratique Rapport d'Analyse et Communication Rédaction de rapports d'analyse de Threat Intelligence. 5. Impact sur l'Environnement Évaluez l'impact potentiel des menaces identifiées sur les opérations, la confidentialité et l'intégrité des systèmes. 6. Recommandations Proposez des actions préventives spécifiques et des mesures de réponse aux incidents en fonction des menaces identifiées. Actions Préventives : •[Mesure Préventive 1] •[Mesure Préventive 2] Réponses aux Incidents : •[Étapes de Réponse aux Incidents] 7. Graphiques et Visuels Utilisez des graphiques, des tableaux, ou d'autres visuels pour rendre les données complexes plus accessibles et compréhensibles
7. Mise en Pratique Communication efficace des résultats aux parties prenantes.. Adaptez le Message au Public Cible •Identifiez le niveau de technicité de votre auditoire. •Utilisez un langage adapté pour les non-techniciens, mais soyez précis pour les équipes de sécurité. Résumé Exécutif Clair et Concis •Fournissez un résumé succinct des principaux résultats. •Mettez en avant les menaces les plus critiques et leurs impacts potentiels. Visuels pour Illustrer les Tendances •Utilisez des graphiques et des tableaux pour représenter visuellement les tendances. •Les infographies simplifiées peuvent aider à expliquer des concepts complexes. Réunions de Présentation Interactives •Organisez des réunions pour discuter des résultats en personne ou virtuellement. •Encouragez les questions pour assurer une compréhension complète.
7. Mise en Pratique Communication efficace des résultats aux parties prenantes.. Canal de Communication Approprié •Choisissez le bon canal de communication en fonction de votre public. •Utilisez des e-mails, des réunions, des rapports écrits, etc., selon la situation. Feed-back et Ajustements •Encouragez les retours d'information pour améliorer la qualité de la communication. •Ajustez votre approche en fonction des commentaires reçus. Formation Continue des Parties Prenantes •Organisez des sessions de formation pour améliorer la compréhension des parties prenantes sur les menaces et les bonnes pratiques de sécurité. Sécurité de l'Information •Respectez les protocoles de sécurité lors de la communication. •Limitez la diffusion des informations sensibles aux personnes autorisées.
8. Éthique et Légalité Considérations Éthiques dans la Collecte de Threat Intelligence 1. Transparence et Consentement • Informer clairement les parties prenantes sur la collecte d'informations. • Obtenir le consentement explicite lorsque cela est possible, en particulier dans le contexte de la collecte de données personnelles. 2. Minimisation des Données • Collecter uniquement les données nécessaires à des fins spécifiques. • Éviter la collecte excessive ou non pertinente de données sensibles. 3. Anonymisation et Agrégation •Utiliser des techniques d'anonymisation pour protéger l'identité des individus. •Agréger les données chaque fois que cela est possible pour préserver l'intimité. 4. Sécurité des Données •Mettre en place des mesures de sécurité robustes pour protéger les données collectées. •Éviter les vulnérabilités qui pourraient compromettre la confidentialité des informations
8. Éthique et Légalité Protection de la Vie Privée et Droits Fondamentaux 1. Protection des Données Personnelles •Identifier et protéger les données personnelles conformément aux régulations en vigueur. •Respecter les droits individuels liés à la vie privée. 2. Évaluation de l'Impact sur les Individus •Évaluer l'impact potentiel des activités de Threat Intelligence sur la vie privée des individus. •Minimiser les effets négatifs sur les droits fondamentaux. 3. Transparence sur les Pratiques de Collecte •Fournir des informations transparentes sur les pratiques de collecte de données. •Permettre aux individus de comprendre comment leurs données sont utilisées.
8. Éthique et Légalité Respect des Lois et Régulations en Cybersécurité 1. Conformité aux Lois Nationales et Internationales •Connaître et respecter les lois nationales et internationales liées à la collecte de Threat Intelligence. •Ajuster les pratiques pour se conformer aux régulations locales. 2. Collaboration avec les Autorités Légales •Collaborer avec les autorités légales et respecter les procédures d'enquête. •Répondre aux demandes légales de manière appropriée. 3. Évaluation Régulière de la Conformité •Effectuer des évaluations régulières pour s'assurer que les pratiques de collecte sont conformes aux changements dans les lois et régulations.
9. Normes et Protocoles dans cyber threat intelligence STIX (Structured Threat Information eXpression)  STIX est un langage de codage normalisé conçu pour représenter des informations sur les menaces de manière structurée.  Il fournit un ensemble de schémas XML permettant de décrire les indicateurs de compromission (IoC), les campagnes de menaces, les tactiques, techniques et procédures (TTP), etc.  STIX facilite le partage d'informations entre les organisations.  Collaboration et normes ouvertes : le développement de STIX est le fruit d'un effort de collaboration impliquant des contributions d'entités gouvernementales, du secteur privé et de la communauté plus large de la cybersécurité. Il a été conçu pour être un standard ouvert, permettant une adoption et une utilisation généralisées.  Versions publiées : STIX a connu plusieurs versions, chaque itération affinant et élargissant les capacités de la norme. La version 1.0 a été publiée en 2016 et les versions ultérieures, notamment 2.0 et 2.1, ont introduit des améliorations et des améliorations.
9. Normes et Protocoles dans cyber threat intelligence STIX (Structured Threat Information eXpression) Composants de base de STIX •Indicateurs : les indicateurs sont des informations suggérant une activité malveillante. Ils peuvent inclure des adresses IP, des noms de domaine, des hachages de fichiers, etc. •Observables : les observables sont des instances spécifiques d'indicateurs trouvés dans l'environnement, fournissant des preuves concrètes d'une menace potentielle. • Incidents : les incidents représentent des événements de cybersécurité réels ou suspectés qui se sont produits. Ils fournissent un contexte et des détails sur la menace. •TTP (Tactiques, Techniques et Procédures) : les TTP décrivent les méthodes et stratégies utilisées par les acteurs malveillants pour mener des cyberattaques. • Malware : les objets malveillants contiennent des informations sur les logiciels malveillants, notamment leurs caractéristiques et leurs comportements. •Acteurs de menace : les objets acteurs de menace décrivent les individus, les groupes ou les organisations à l'origine des cybermenaces et fournissent des informations sur leurs motivations, leurs capacités et leurs activités connues.
9. Normes et Protocoles dans cyber threat intelligence TAXI (Trusted Automated eXchange of Indicator Information)  TAXI est un protocole basé sur STIX qui facilite l'échange automatisé d'indicateurs de compromission entre les systèmes. Il permet une communication plus rapide et plus efficace des informations sur les menaces entre les entités.  Rôles de TAXII dans la cybersécurité: Partage automatisé, Communication sécurisée, Collaboration efficace, Atténuation en temps opportun  Principales Caractéristiques: Basé sur STIX, Protocole de Communication, Canal Bidirectionnel, Chiffrement et Authentification, Adoption de Services Web  TAXI a été largement adopté par les organisations de cybersécurité, les fournisseurs de produits de sécurité, et les gouvernements. Il bénéficie également d'une communauté active qui travaille continuellement sur
9. Normes et Protocoles dans cyber threat intelligence CybOX (Cyber Observable eXpression)  CybOX est un langage normalisé qui complémente STIX en décrivant les observables cybernétiques, tels que les fichiers, les processus, les registres, etc. Il offre une structure normalisée pour représenter ces entités, améliorant ainsi la précision et la cohérence des informations partagées.  CybOX est fréquemment utilisé pour décrire les comportements malveillants observés, tels que des schémas d'attaques, des signatures de malware, etc.  CybOX est souvent utilisé en tandem avec STIX (Structured Threat Information eXpression) pour représenter les observables associés aux menaces détaillées dans STIX.  CybOX fournit des structures normalisées pour représenter une variété d'observables, y compris des objets, des réseaux, des processus, des fichiers, des événements, etc.
9. Cycle de vie de la Threat Intelligence Les experts en cybersécurité utilisent le concept de cycle de vie en relation avec la Threat Intelligence. Un exemple typique du cycle de vie d'une cybermenace comprendrait les étapes suivantes : direction, collecte, traitement, analyse, diffusion et commentaires.
9. Cycle de vie de la Threat Intelligence Étape 1 : Direction Cette étape consiste à fixer des objectifs pour le programme de Threat Intelligence. Il peut s'agir de ce qui suit : • Comprendre quels aspects de l'organisation doivent être protégés et éventuellement créer un ordre de priorité. • Définir le type de Threat Intelligence dont l'organisation a besoin pour protéger ses éléments et répondre aux menaces. •Comprendre l'impact organisationnel d'une atteinte à la cybersécurité. Étape 2 : Collecte Cette étape consiste à recueillir des données pour soutenir les objectifs fixés lors de l'étape 1. Au cours de cette étape, les organisations doivent déterminer leurs sources de données : •Métadonnées provenant de réseaux internes et d'appareils de sécurité •Flux de données sur les menaces provenant d'organisations de cybersécurité crédibles •Entretiens avec des parties prenantes informées •Sites d'information et blogs à code source ouvert
9. Cycle de vie de la Threat Intelligence Étape 3 : Traitement Toutes les données collectées doivent être converties dans un format utilisable par l'organisation. Les différentes méthodes de collecte de données nécessiteront divers moyens de traitement. Par exemple, il se peut que les données issues d'entretiens avec des personnes doivent être vérifiées et recoupées avec d'autres données. Étape 4 : Analyse Une fois que les données ont été traitées dans un format utilisable, elles doivent être analysées. L'analyse est le processus qui consiste à transformer les informations en renseignements susceptibles de guider les décisions organisationnelles. Ces décisions peuvent porter sur la question de savoir s'il convient d'augmenter l'investissement dans les ressources de sécurité, d'enquêter sur une menace particulière ou un ensemble de menaces, de prendre les mesures nécessaires pour bloquer une menace immédiate, d'utiliser les outils de renseignement sur les menaces, etc.
9. Cycle de vie de la Threat Intelligence Étape 5 : Diffusion Une fois l'analyse effectuée, les principales recommandations et conclusions doivent être diffusées aux parties prenantes concernées au sein de l'organisation. Les différentes équipes au sein de l'organisation auront des besoins différents. Pour diffuser efficacement les renseignements, il convient de se demander de quels renseignements chaque public a besoin, mais également dans quel format et à quelle fréquence il en a besoin. Étape 6 : Commentaires Les commentaires des parties prenantes permettront d'améliorer le programme de Threat Intelligence, en veillant à ce qu'il reflète les exigences et les objectifs de chaque groupe.
10. les applications concrètes de la CTI Détection Précoce des Menaces :  En utilisant des informations en temps réel provenant de sources de Threat Intelligence, les organisations peuvent détecter rapidement les nouvelles menaces émergentes et les attaques en cours.  La surveillance des indicateurs de compromission (IoC) tels que les adresses IP malveillantes, les domaines suspects et les signatures de malwares permet une détection précoce des activités malveillantes. Corrélation des Événements :  Les informations de Threat Intelligence peuvent être intégrées aux systèmes de gestion des événements de sécurité (SIEM) pour améliorer la corrélation des événements.  En associant les données internes de l'organisation avec des renseignements externes, les équipes de sécurité peuvent identifier plus facilement les schémas et les anomalies. Attribution des Menaces :  La CTI fournit des informations sur les acteurs de menace, leurs motivations, leurs tactiques, techniques et procédures (TTP). Cela aide à attribuer les activités malveillantes à des groupes spécifiques, facilitant ainsi la réponse appropriée.
10. les applications concrètes de la CTI Identification des Vulnérabilités Exploitées :  Les rapports de Threat Intelligence indiquent souvent les vulnérabilités exploitées par les attaquants. En identifiant ces vulnérabilités, les organisations peuvent prendre des mesures proactives pour les corriger avant qu'elles ne soient exploitées. Enrichissement des Alertes de Sécurité :  L'enrichissement des alertes de sécurité avec des données de CTI fournit un contexte supplémentaire aux analystes. Cela leur permet de mieux comprendre la nature des incidents et de prendre des décisions informées plus rapidement. Adaptation des Stratégies de Défense :  La CTI informe sur les évolutions des tactiques d'attaques. Les organisations peuvent adapter leurs stratégies de défense en fonction des nouvelles informations pour rester en avance sur les attaquants. Partage d'Informations entre Organisations :  La CTI collaborative implique le partage d'informations sur les menaces entre différentes organisations. Cela permet une réponse coordonnée et une protection collective contre les attaques.
10. Simulation d'Attaque et Threat Hunting Conception et Réalisation d'une Simulation d'Attaque. Objectifs de la Simulation : 1. Définissez clairement les objectifs de la simulation, tels que tester la résilience des défenses, évaluer la capacité de réponse aux incidents, ou détecter des vulnérabilités spécifiques. Scénarios d'Attaque : 1. Concevez des scénarios réalistes basés sur les menaces potentielles auxquelles l'organisation est confrontée. 2. Incluez une variété de vecteurs d'attaque, tels que le phishing, les attaques par injection, les exploitations de vulnérabilités, etc. Autorisations et Coordination : 1. Obtenez les autorisations nécessaires et coordonnez avec les parties prenantes pour éviter tout impact indésirable sur les opérations réelles.
10. Simulation d'Attaque et Threat Hunting Conception et Réalisation d'une Simulation d'Attaque. Environnement de Simulation : 1. Créez un environnement de simulation isolé en utilisant des réseaux virtuels, des machines virtuelles ou des conteneurs. 2. Déployez les outils et les techniques d'attaque correspondant aux scénarios définis. Exécution de la Simulation : 1. Menez la simulation en suivant les scénarios prévus. 2. Documentez les étapes de l'attaque, les résultats obtenus, et les observations pertinentes. Collecte de Données : 1. Collectez des données telles que les logs, les captures de trafic, et d'autres informations pertinentes pendant la simulation. 2. Utilisez ces données pour évaluer l'efficacité des défenses.
10. Simulation d'Attaque et Threat Hunting Évaluation des Défenses et Identification des Vulnérabilités Analyse des Résultats :  Analysez les résultats de la simulation pour identifier les failles de sécurité exploitées et évaluer la réaction des défenses. Documentation des Vulnérabilités :  Documentez les vulnérabilités identifiées, en fournissant des détails sur leur nature, leur sévérité, et des recommandations pour les corriger. Évaluation de la Réponse aux Incidents :  Évaluez la capacité du système à détecter et à répondre aux attaques simulées.  Identifiez les processus de réponse aux incidents qui ont bien fonctionné et ceux qui nécessitent des améliorations. Proposition de Correctifs :  Proposez des correctifs et des mesures d'atténuation pour chaque vulnérabilité identifiée.  Mettez en avant les meilleures pratiques de sécurité pour renforcer la posture globale.
10. Simulation d'Attaque et Threat Hunting Techniques de Threat Hunting Collecte de Données Contextuelles :  Rassemblez des données contextuelles sur le réseau, les utilisateurs et les systèmes pour détecter des anomalies. Analyse Comportementale :  Surveillez les comportements normaux et anormaux pour repérer des activités suspectes.  Utilisez des outils d'analyse comportementale pour détecter des schémas malveillants. Corrélation d'Événements :  Corrélez les événements de sécurité pour identifier des schémas ou des séquences d'activités malveillantes. Utilisation d'Indicateurs de Compromission (IoC) :  Recherchez activement des IoC dans les logs et les données pour détecter des signes d'attaques connues.
Merci pour votre attention !

Recommandé

Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI EyesOpen Association
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
Principes de l’intelligence économique
Principes de l’intelligence économiquePrincipes de l’intelligence économique
Principes de l’intelligence économiqueBAHLOUL LOTFI
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdfbadrboutouja1
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ipsYassmina AGHIL
 
cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxOuattaraAboulaye1
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdfssuserdd27481
 

Recommandé

Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI EyesOpen Association
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
Principes de l’intelligence économique
Principes de l’intelligence économiquePrincipes de l’intelligence économique
Principes de l’intelligence économiqueBAHLOUL LOTFI
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdfbadrboutouja1
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...OPcyberland
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ipsYassmina AGHIL
 
cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxOuattaraAboulaye1
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdfssuserdd27481
 
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...ITrust - Cybersecurity as a Service
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCOMPETITIC
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxSchadracMoualou
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...EyesOpen Association
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfFootballLovers9
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
Ingénierie sociale
Ingénierie socialeIngénierie sociale
Ingénierie socialeHabiba Kessraoui
 
INTELLIGENCE ECONOMIQUE
INTELLIGENCE ECONOMIQUEINTELLIGENCE ECONOMIQUE
INTELLIGENCE ECONOMIQUEBabacar LO
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelleDominique Gayraud
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...EyesOpen Association
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsRomain Willmann
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéEChristophe-Alexandre PAILLARD
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéPatrick Bouillaud
 
5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces Ciblées5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces CibléesSymantec
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Télécommunication et transport .pdfcours
Télécommunication et transport .pdfcoursTélécommunication et transport .pdfcours
Télécommunication et transport .pdfcourshalima98ahlmohamed
 
CALENDRIER ET COMPTE RENDU REUNION DIRECTION
CALENDRIER ET COMPTE RENDU REUNION DIRECTIONCALENDRIER ET COMPTE RENDU REUNION DIRECTION
CALENDRIER ET COMPTE RENDU REUNION DIRECTIONfrizzole
 

Contenu connexe

Similaire à Threat intelligence.pptx fichier sur cours de securite informatique

Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...ITrust - Cybersecurity as a Service
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCOMPETITIC
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxSchadracMoualou
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...EyesOpen Association
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfFootballLovers9
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
INTELLIGENCE ECONOMIQUE
INTELLIGENCE ECONOMIQUEINTELLIGENCE ECONOMIQUE
INTELLIGENCE ECONOMIQUEBabacar LO
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelleDominique Gayraud
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesChristophe Elut
 
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...EyesOpen Association
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsRomain Willmann
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationDany Rabe
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéPatrick Bouillaud
 
5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces Ciblées5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces CibléesSymantec
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 

Similaire à Threat intelligence.pptx fichier sur cours de securite informatique (20)

Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
 
Competitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensiblesCompetitic - Identifier et Protéger vos données sensibles
Competitic - Identifier et Protéger vos données sensibles
 
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptxCHAPITRE 2 SECURITE INFORMATIQUE.pptx
CHAPITRE 2 SECURITE INFORMATIQUE.pptx
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
Ingénierie sociale
Ingénierie socialeIngénierie sociale
Ingénierie sociale
 
INTELLIGENCE ECONOMIQUE
INTELLIGENCE ECONOMIQUEINTELLIGENCE ECONOMIQUE
INTELLIGENCE ECONOMIQUE
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
 
Cnil guide securite_personnelle
Cnil guide securite_personnelleCnil guide securite_personnelle
Cnil guide securite_personnelle
 
CNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnellesCNIL - Guide de la sécurité des données personnelles
CNIL - Guide de la sécurité des données personnelles
 
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisations
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Sã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'informationSã©curitã© des systã¨mes d'information
Sã©curitã© des systã¨mes d'information
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces Ciblées5 Conclusions À Retenir Concernant Les Menaces Ciblées
5 Conclusions À Retenir Concernant Les Menaces Ciblées
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
 

Dernier

Télécommunication et transport .pdfcours
Télécommunication et transport .pdfcoursTélécommunication et transport .pdfcours
Télécommunication et transport .pdfcourshalima98ahlmohamed
 
CALENDRIER ET COMPTE RENDU REUNION DIRECTION
CALENDRIER ET COMPTE RENDU REUNION DIRECTIONCALENDRIER ET COMPTE RENDU REUNION DIRECTION
CALENDRIER ET COMPTE RENDU REUNION DIRECTIONfrizzole
 
CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...
CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...
CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...Universidad Complutense de Madrid
 
L'expression du but : fiche et exercices niveau C1 FLE
L'expression du but : fiche et exercices niveau C1 FLEL'expression du but : fiche et exercices niveau C1 FLE
L'expression du but : fiche et exercices niveau C1 FLElebaobabbleu
 
Neuvaine de la Pentecôte avec des textes de saint Jean Eudes
Neuvaine de la Pentecôte avec des textes de saint Jean EudesNeuvaine de la Pentecôte avec des textes de saint Jean Eudes
Neuvaine de la Pentecôte avec des textes de saint Jean EudesUnidad de Espiritualidad Eudista
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxikospam0
 
RAPPORT DE STAGE D'INTERIM DE ATTIJARIWAFA BANK
RAPPORT DE STAGE D'INTERIM DE ATTIJARIWAFA BANKRAPPORT DE STAGE D'INTERIM DE ATTIJARIWAFA BANK
RAPPORT DE STAGE D'INTERIM DE ATTIJARIWAFA BANKNassimaMdh
 
Cours Généralités sur les systèmes informatiques
Cours Généralités sur les systèmes informatiquesCours Généralités sur les systèmes informatiques
Cours Généralités sur les systèmes informatiquesMohammedAmineHatoch
 
Saint Damien, missionnaire auprès des lépreux de Molokai, Hawaï.pptx
Saint Damien, missionnaire auprès des lépreux de Molokai, Hawaï.pptxSaint Damien, missionnaire auprès des lépreux de Molokai, Hawaï.pptx
Saint Damien, missionnaire auprès des lépreux de Molokai, Hawaï.pptxMartin M Flynn
 
python-Cours Officiel POO Python-m103.pdf
python-Cours Officiel POO Python-m103.pdfpython-Cours Officiel POO Python-m103.pdf
python-Cours Officiel POO Python-m103.pdftrendingv83
 

Dernier (11)

Télécommunication et transport .pdfcours
Télécommunication et transport .pdfcoursTélécommunication et transport .pdfcours
Télécommunication et transport .pdfcours
 
CALENDRIER ET COMPTE RENDU REUNION DIRECTION
CALENDRIER ET COMPTE RENDU REUNION DIRECTIONCALENDRIER ET COMPTE RENDU REUNION DIRECTION
CALENDRIER ET COMPTE RENDU REUNION DIRECTION
 
CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...
CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...
CompLit - Journal of European Literature, Arts and Society - n. 7 - Table of ...
 
Echos libraries Burkina Faso newsletter 2024
Echos libraries Burkina Faso newsletter 2024Echos libraries Burkina Faso newsletter 2024
Echos libraries Burkina Faso newsletter 2024
 
L'expression du but : fiche et exercices niveau C1 FLE
L'expression du but : fiche et exercices niveau C1 FLEL'expression du but : fiche et exercices niveau C1 FLE
L'expression du but : fiche et exercices niveau C1 FLE
 
Neuvaine de la Pentecôte avec des textes de saint Jean Eudes
Neuvaine de la Pentecôte avec des textes de saint Jean EudesNeuvaine de la Pentecôte avec des textes de saint Jean Eudes
Neuvaine de la Pentecôte avec des textes de saint Jean Eudes
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
 
RAPPORT DE STAGE D'INTERIM DE ATTIJARIWAFA BANK
RAPPORT DE STAGE D'INTERIM DE ATTIJARIWAFA BANKRAPPORT DE STAGE D'INTERIM DE ATTIJARIWAFA BANK
RAPPORT DE STAGE D'INTERIM DE ATTIJARIWAFA BANK
 
Cours Généralités sur les systèmes informatiques
Cours Généralités sur les systèmes informatiquesCours Généralités sur les systèmes informatiques
Cours Généralités sur les systèmes informatiques
 
Saint Damien, missionnaire auprès des lépreux de Molokai, Hawaï.pptx
Saint Damien, missionnaire auprès des lépreux de Molokai, Hawaï.pptxSaint Damien, missionnaire auprès des lépreux de Molokai, Hawaï.pptx
Saint Damien, missionnaire auprès des lépreux de Molokai, Hawaï.pptx
 
python-Cours Officiel POO Python-m103.pdf
python-Cours Officiel POO Python-m103.pdfpython-Cours Officiel POO Python-m103.pdf
python-Cours Officiel POO Python-m103.pdf
 

Threat intelligence.pptx fichier sur cours de securite informatique

  • 2. Plan 1. Introduction à la Threat Intelligence 2. Types de Threat Intelligence 3. Collecte de Données et Sources de Threat Intelligence 4. Analyse de Menaces 5. Threat Intelligence Collaborative 6. Mise en Pratique 7. Éthique et Légalité 8. Normes et Protocoles 4. Outils de collecte
  • 4.  La Threat Intelligence, ou Intelligence sur les Menaces, désigne le processus de collecte, d'analyse et d'interprétation d'informations relatives aux menaces potentielles ou existantes qui pèsent sur un système informatique, une organisation ou des actifs numériques.  Cette discipline vise à anticiper et à répondre aux activités malveillantes en fournissant une compréhension approfondie des tactiques, techniques et procédures (TTP) des attaquants, ainsi que des indicateurs de compromission (IOC).  La Threat Intelligence rassemble des données provenant de diverses sources, qu'elles soient ouvertes (sources publiques, forums, blogs) ou fermées (sources gouvernementales, entreprises de sécurité, partenariats), et les transforme en informations exploitables. Threat intelligence = Anticipation 1. Introduction à la Threat Intelligence Définition et Concepts Fondamentaux
  • 5. 1. Introduction à la Threat Intelligence Comprendre la menace, l'intelligence et leur intersection dans le domaine de la cybersécurité. .  Une menace en cybersécurité fait référence à tout événement, processus ou acteur potentiel qui peut compromettre la confidentialité, l'intégrité, ou la disponibilité des systèmes informatiques, des données ou des réseaux.  L'intelligence en cybersécurité consiste en la collecte, l'analyse et l'interprétation de données pertinentes sur les menaces informatiques. Elle vise à fournir des informations exploitables pour comprendre et atténuer les risques liés à la sécurité informatique.  L'intelligence sur les menaces permet une détection précoce des activités malveillantes en identifiant les indicateurs de compromission (IoC) et les indicateurs de comportement (BoC).
  • 6. 1.Anticipation des Menaces : La Threat Intelligence permet d'anticiper les attaques en identifiant les menaces potentielles avant qu'elles ne se concrétisent. En comprenant les méthodes d'opération des attaquants, les organisations peuvent renforcer leurs défenses. 2.Réponse Proactive : En fournissant des informations en temps réel sur les menaces, la Threat Intelligence permet une réponse proactive. Les équipes de sécurité peuvent prendre des mesures immédiates pour contrer une attaque en cours ou prévenir une future exploitation. 3.Identification d'Indicateurs de Compromission (IOC) : La Threat Intelligence identifie des IOC tels que des adresses IP malveillantes, des signatures de logiciels malveillants, des modèles de comportement suspect, etc. Ces IOC sont utilisés pour détecter des incidents de sécurité. 4. Meilleure Allocation des Ressources : En comprenant les menaces spécifiques qui ciblent une organisation, celle-ci peut allouer efficacement ses ressources de cybersécurité en se concentrant sur les vecteurs d'attaque les plus pertinents. 5. Amélioration de la Détection : La Threat Intelligence alimente les systèmes de détection d'intrusions et les outils de sécurité pour améliorer leur capacité à identifier les activités malveillantes. Cela inclut la création de règles de détection et la mise à jour des signatures antivirus. 1. Introduction à la Threat Intelligence Importance de la Threat Intelligence dans le Contexte de la Cybersécurité
  • 7. 1. Introduction à la Threat Intelligence Importance de la Threat Intelligence dans le Contexte de la Cybersécurité 6. Partage d'Informations : Les organisations peuvent collaborer en partageant des informations sur les menaces, créant ainsi une communauté collaborative qui renforce la sécurité de tous les membres. Les partages d'informations sur les menaces contribuent à une compréhension collective des risques. 7. Gestion des Risques : En comprenant les menaces auxquelles elles sont exposées, les organisations peuvent mieux gérer leurs risques de cybersécurité. Cela inclut l'identification des vulnérabilités à corriger et la mise en œuvre de mesures préventives. 8. Sensibilisation et Formation : La Threat Intelligence alimente les programmes de sensibilisation à la sécurité en mettant en évidence les dernières tendances et tactiques utilisées par les attaquants. Cela aide les utilisateurs à reconnaître et à signaler les activités suspectes.
  • 8. 1. Introduction à la Threat Intelligence Acteurs et Motivations Présentation des acteurs de menaces Hacktivistes Criminels États-nations Groupes de Pirates Informatiques Organisés Insiders (Personnel Interne) Hackers Indépendants Cyberespions
  • 9. 1. Introduction à la Threat Intelligence Acteurs et Motivations 1. Hacktivistes : 1. Motivations : Les hacktivistes sont généralement motivés par des causes politiques, sociales ou idéologiques. Ils cherchent à promouvoir un message, à protester ou à lutter pour une cause particulière en utilisant des techniques de piratage. 2. Méthodes : Attaques DDoS, défacement de sites web, vol et divulgation de données pour atteindre leurs objectifs. 2. Criminels : 1. Motivations : Les criminels agissent principalement pour un gain financier. Ils cherchent à voler des informations sensibles, à extorquer de l'argent, à vendre des données ou à commettre des fraudes. 2. Méthodes : Malwares, ransomwares, phishing, fraude financière, vol d'identité.
  • 10. 1. Introduction à la Threat Intelligence Acteurs et Motivations 1.États-nations : 1. Motivations : Les États-nations peuvent être impliqués dans des activités cybernétiques pour des raisons politiques, militaires, économiques ou de renseignement. Ils peuvent chercher à espionner d'autres nations, à perturber des infrastructures critiques ou à mener des opérations de désinformation. 2. Méthodes : Espionnage électronique, attaques contre des infrastructures critiques, sabotage numérique, propagande en ligne. 2.Groupes de Pirates Informatiques Organisés : 1. Motivations : Ces groupes opèrent souvent dans un but financier, mais peuvent également être mandatés par des États- nations pour des opérations spécifiques. 2. Méthodes : Attaques sophistiquées, vols de données massifs, manipulation des marchés financiers.
  • 11. 1. Introduction à la Threat Intelligence Acteurs et Motivations 3. Insiders (Personnel Interne) : 1. Motivations : Des employés internes malveillants peuvent agir par vengeance, mécontentement professionnel, ou dans le cadre d'une collusion avec des acteurs externes. 2. Méthodes : Fuites de données, sabotage interne, accès non autorisé. 4. Hackers Indépendants : 1. Motivations : Les hackers indépendants peuvent agir par curiosité, pour tester leurs compétences ou pour gagner en notoriété dans la communauté hacker. 2. Méthodes : Exploitation de vulnérabilités, recherche de failles de sécurité, participation à des compétitions de hacking. 5. Cyberespions : 1. Motivations : Les cyberespions sont souvent mandatés par des gouvernements pour collecter des informations stratégiques sur d'autres nations, entreprises ou individus. 2. Méthodes : Espionnage électronique, infiltration de réseaux,
  • 12. 1. Introduction à la Threat Intelligence Analyse des motivations derrière les attaques. Gain Financier Espionnage Économiqu e Sabotage et Destruction Vol d'Identité Cyberterroris me
  • 13. 2. Types de Threat Intelligence Threat Intelligence Stratégique  une approche de la sécurité informatique qui se concentre sur la compréhension des menaces à long terme, l'analyse des tendances et l'identification des acteurs majeurs.  Cette discipline vise à anticiper les menaces et à développer des stratégies proactives pour renforcer la sécurité d'une organisation. Compréhensio n des Menaces à Long Terme Analyse des Tendances Identification des Acteurs Majeurs Collaboratio n et Partage Sources de Threat Intelligence Élaboration de Stratégies de Sécurité
  • 14. 2. Types de Threat Intelligence Threat Intelligence Stratégique 1. Compréhension des Menaces à Long Terme :  Veille Stratégique : Surveiller les évolutions technologiques, les changements politiques, les développements économiques, etc., pour anticiper les menaces potentielles.  Évaluation des Risques à Long Terme : Identifier les tendances émergentes susceptibles d'avoir un impact sur la sécurité, en se basant sur des analyses prospectives. 2. Analyse des Tendances :  Analyse Temporelle : Examiner comment les menaces évoluent au fil du temps pour identifier des schémas et des cycles.  Identification des Modèles : Rechercher des modèles de comportement dans les attaques passées et actuelles pour prédire les futures tactiques.
  • 15. 2. Types de Threat Intelligence Threat Intelligence Stratégique 3. Identification des Acteurs Majeurs :  Attribution des Menaces : Essayer d'identifier les individus, groupes ou entités responsables des attaques.  Analyse des Motivations : Comprendre les motivations derrière les attaques pour mieux anticiper les cibles potentielles. 4. Sources de Threat Intelligence :  Open Source Intelligence (OSINT) : Utilisation de sources d'information publiques pour collecter des données sur les menaces.  Intelligence Humaine (HUMINT) : Collecte d'informations par le biais d'informateurs humains.  Intelligence Technique (TECHINT) : Analyse des artefacts techniques laissés par les attaquants.
  • 16. 2. Types de Threat Intelligence Threat Intelligence Stratégique 5. Collaboration et Partage :  Partage d'Informations : Collaborer avec d'autres organisations, secteurs ou entités pour échanger des informations sur les menaces.  Participation aux Communautés : Être actif au sein des communautés de sécurité pour rester informé des dernières menaces. 6. Élaboration de Stratégies de Sécurité :  Planification Préventive : Développer des stratégies proactives basées sur les tendances identifiées.  Élaboration de Contremesures : Concevoir des réponses appropriées pour contrer les menaces prévues.
  • 17. 2. Types de Threat Intelligence Threat Intelligence Stratégique Exemple concret Groupe de Menace Stratégique "Crimson Phoenix" Contexte : Le groupe de menace "Crimson Phoenix" est un acteur cybercriminel émergent qui a attiré l'attention des chercheurs en cybersécurité en raison de ses activités sophistiquées et de ses motivations financières. Le groupe semble cibler principalement des institutions financières et des entreprises du secteur de la santé. Informations sur les Motivations : •"Crimson Phoenix" semble être motivé principalement par des gains financiers, utilisant des tactiques de ransomware pour extorquer des paiements en cryptomonnaie. •Des signes indiquent également une possible affiliation à des groupes criminels organisés cherchant à diversifier leurs opérations. Informations sur les Capacités : •Le groupe a démontré une compréhension avancée des vulnérabilités de logiciels spécifiques, exploitant des failles zero-day dans certains cas. •Utilisation de techniques d'évasion sophistiquées, rendant la détection plus difficile.
  • 18. 2. Types de Threat Intelligence Threat Intelligence Tactique Tactiques, Techniques et Procédures (TTP) •Tactiques : Il s'agit des objectifs généraux poursuivis par un attaquant. Par exemple, une tactique pourrait être "obtenir un accès non autorisé". •Techniques : Ce sont les méthodes spécifiques utilisées pour atteindre une tactique. Par exemple, une technique pourrait être "utiliser une attaque de phishing pour obtenir des identifiants". •Procédures : Il s'agit des étapes détaillées et spécifiques suivies par un attaquant pour mettre en œuvre une technique. Par exemple, une procédure pourrait inclure des détails sur la manière dont l'attaquant personnalise un e-mail de phishing. La "threat intelligence tactique" se concentre sur l'analyse des tactiques, techniques et procédures (TTP) utilisées par les attaquants, ainsi que sur l'identification des indicateurs de compromission (IOC).
  • 19. 2. Types de Threat Intelligence Threat Intelligence Tactique Indicateurs de Compromission (IOC) •Les IOC sont des éléments spécifiques qui indiquent la présence probable d'une activité malveillante. Ils peuvent être divisés en plusieurs catégories :  IOC basés sur le réseau : Adresses IP, noms de domaine, signatures de trafic réseau, etc.  IOC basés sur le système : Fichiers malveillants, empreintes de malware, registre système modifié, etc.  IOC basés sur le comportement : Modèles de comportement suspect, activités anormales, etc.  IOC basés sur les emails (Email-based IOC) : Adresses email de phishing  IOC basés sur les informations contextuelles : Activités provenant de régions géographiques inhabituelles.
  • 20. 2. Types de Threat Intelligence Threat Intelligence Tactique Indicateurs de Compromission (IOC) Gravité : - Classification des IOC : •La gravité représente la sévérité intrinsèque d'un IOC, c'est-à-dire la mesure dans laquelle il peut causer des dommages ou compromettre la sécurité. Une évaluation de la gravité doit tenir compte de la nature de la menace, de la sophistication de l'attaque et du potentiel de préjudice. •Échelle indicative : • Faible : La menace a un impact limité et peut être gérée avec des ressources relativement faibles. • Moyenne : La menace a un impact modéré, nécessitant des efforts significatifs pour la gestion et la remédiation. • Élevée : La menace a un impact grave, avec des conséquences potentielles majeures nécessitant une action immédiate.
  • 21. 2. Types de Threat Intelligence Threat Intelligence Tactique Indicateurs de Compromission (IOC) - Classification des IOC : Impact : •L'impact représente les conséquences réelles ou potentielles d'un IOC sur l'organisation. Cela prend en compte la manière dont la menace affecte les opérations, les données, la réputation et d'autres aspects cruciaux de l'entreprise. •Échelle indicative : • Faible : Les conséquences sont gérables avec des perturbations mineures. • Moyen : Les conséquences ont un impact notable sur les opérations, la confidentialité ou l'intégrité des données. • Élevé : Les conséquences sont graves, entraînant des pertes importantes, une interruption des opérations ou une atteinte significative à la réputation.
  • 22. 2. Types de Threat Intelligence Threat Intelligence Tactique Exemple concret Tactiques Générales : •"Crimson Phoenix" a recours à des campagnes de phishing ciblées pour infiltrer les réseaux d'entreprises. •Utilisation de techniques de living-off-the-land (LOLBin) pour minimiser la détection des activités malveillantes. Indicateurs de Compromission (IoC) : •Adresses IP associées aux serveurs de commande et de contrôle utilisés dans les attaques. •Signature de ransomware spécifique utilisée par le groupe. Impacts Anticipés : •Risque élevé d'interruption des opérations commerciales en raison de campagnes de ransomware. •Possibilité de vol de données sensibles, avec des conséquences financières et de réputation.
  • 23. 2. Types de Threat Intelligence Threat Intelligence Opérationnelle  La Threat Intelligence Opérationnelle (OTI) met l'accent sur l'application immédiate des renseignements sur les menaces pour renforcer la défense en temps réel et coordonner efficacement les réponses aux incidents.  L'objectif est d'améliorer la posture de sécurité d'une organisation en intégrant activement des informations sur les menaces dans ses systèmes et processus de sécurité.  Les aspects clés de la Threat Intelligence Opérationnelle : Collecte et Analyse des Renseignements, Intégration avec les Systèmes de Sécurité, Analyse Comportementale en Temps Réel, Formation Continue, Collaboration et Partage d'Informations
  • 24. 3, Collecte de Données et Sources de Threat Intelligence Sources Ouvertes et Fermées Sources Ouvertes (Open Source) : •Forums et Blogs de Sécurité : Des forums en ligne et des blogs tenus par des experts en sécurité peuvent fournir des informations sur les dernières menaces et tactiques utilisées par les cybercriminels. •Médias Sociaux : La surveillance des discussions sur les médias sociaux peut révéler des informations sur les attaques en cours, les campagnes de phishing, etc. •Sites Web de Gouvernements et d'Organisations Internationales : Les agences gouvernementales et les organisations internationales publient parfois des informations sur les menaces. •Rapports Publics d'Incidents de Sécurité : Les rapports publics sur des incidents de sécurité antérieurs peuvent fournir des détails utiles sur les tactiques utilisées par les attaquants.
  • 25. 3. Collecte de Données et Sources de Threat Intelligence Sources Ouvertes et Fermées •Flux de Renseignements sur les Menaces (Threat Feeds) : Des fournisseurs de sécurité et d'autres organisations partagent des flux de renseignements sur les menaces, qui incluent des IOC (Indicateurs de Compromission) et des informations contextuelles. •Partenariats et Partage d'Informations : Les partenariats avec d'autres organisations de confiance permettent le partage confidentiel d'informations sur les menaces. •Dark Web : La surveillance du dark web peut fournir des renseignements sur les activités de cybercriminalité et les ventes de données volées. •Analyses Privées : Les entreprises spécialisées dans l'analyse des menaces produisent des rapports privés sur les tendances et les attaques actuelles. Sources Fermées (Closed Source) :
  • 26. 3. Collecte de Données et Sources de Threat Intelligence Contexte : Vous êtes responsable de la collecte de Threat Intelligence pour une entreprise du secteur financier. Utilisez The Hacker News comme source pour identifier des menaces potentielles et des incidents récents qui pourraient impacter les systèmes informatiques de l'organisation. 1. Accédez à The Hacker News : 1. Visitez le site web de The Hacker News à l'adresse https://thehackernews.com/. 2. Analysez les Articles Récents : 1. Parcourez les articles récents sur The Hacker News. Identifiez des incidents de sécurité, des vulnérabilités ou des attaques qui pourraient affecter le secteur financier. Exercice : Exercice de Collecte de Threat Intelligence avec The Hacker News 3. Thèmes Clés : 1. Identifiez les thèmes clés abordés dans les articles. S'agit-il de ransomwares, d'attaques par phishing, de vulnérabilités logicielles, ou d'autres types de menaces ? 4. Collecte d'Indicateurs de Compromission (IoC) : 1. Si possible, notez les Indicateurs de Compromission (IoC) mentionnés dans les articles, tels que des adresses IP malveillantes, des noms de domaine
  • 27. 3. Collecte de Données et Sources de Threat Intelligence Introduction aux bases de données du Dark Web  Le Dark Web, également appelé le Web caché ou le Web profond, est une partie d'Internet qui n'est pas indexée par les moteurs de recherche traditionnels et qui nécessite des outils spécifiques pour y accéder.  Il est souvent associé à des activités illégales et clandestines, mais il est également utilisé à des fins légitimes, notamment pour la protection de la vie privée et la communication sécurisée.  Les bases de données du Dark Web font référence aux collections d'informations disponibles sur ces plateformes souterraines.  Caractéristiques du Dark Web : Anonymat, Cryptomonnaies, Plateformes Spécifiques, Contenus Illicites Dark web monitoring - ITChronicles
  • 28. 3. Collecte de Données et Sources de Threat Intelligence Introduction aux bases de données du Dark Web Types de Bases de Données du Dark Web 1.Marchés en Ligne : 1. Les marchés du Dark Web permettent l'achat et la vente de biens et services, souvent illégaux. Cela inclut des éléments tels que des drogues, des armes, des données volées, etc. 2.Forums et Communautés : 1. Des forums spécialisés existent pour discuter de sujets variés, de la sécurité informatique aux conseils sur des activités illicites. 3.Fuites de Données : 1. Les bases de données contenant des informations volées sont souvent mises en vente sur le Dark Web. Cela peut inclure des informations personnelles, des identifiants, des cartes de crédit, etc. 4.Services de Hacking : 1. Certains individus offrent des services de piratage, tels que le piratage de comptes de réseaux sociaux, le vol de comptes de messagerie électronique, etc. 5.Arnaques et Escroqueries : 1. Des bases de données d'escroqueries et d'arnaques passées peuvent être partagées pour avertir ou éduquer d'autres utilisateurs.
  • 29. 4. Outils de Collecte et d'Analyse Présentation des outils automatisés de collecte d'informations Collecte de données réseau : •Wireshark : Un outil de capture et d'analyse de paquets réseau. Il permet d'inspecter le trafic réseau en temps réel et de récupérer des données pour une analyse plus approfondie. •Nmap : Un scanner de réseau qui permet de découvrir les dispositifs connectés à un réseau, d'identifier les ports ouverts, et de collecter des informations sur ces dispositifs. Collecte de données open-source : •OSINT (Open Source Intelligence) : Des outils comme Maltego ou recon-ng sont utilisés pour collecter des informations à partir de sources ouvertes en ligne, comme les réseaux sociaux, les bases de données publiques, etc. Outils de Collecte de Données sur les Malwares : •Description : Ces outils se concentrent sur la collecte d'informations liées aux logiciels malveillants, y compris leurs caractéristiques, comportements et signatures. •Exemples : VirusTotal, Hybrid Analysis, Cuckoo Sandbox. Outils d'Analyse de Log : •Description : Ces outils analysent les journaux (logs) générés par les systèmes, applications et dispositifs réseau pour identifier des schémas de comportement suspect. •Exemples : ELK Stack (Elasticsearch, Logstash, Kibana), Splunk.
  • 30. 4. Outils de Collecte et d'Analyse Méthodes de Tri, de Filtrage et d'Analyse des Données Collectées 1. Tri des Données : •Tri par Type d'Attaque : Classer les données en fonction des types d'attaques détectées, comme les attaques DDoS, les attaques de phishing, etc. •Tri par Groupe d'Auteurs : Organiser les données en groupes d'attaquants connus pour identifier des motifs de comportement. 2. Filtrage des Données : •Filtrage par Signature : Utiliser des signatures de malwares pour filtrer les données et identifier des éléments malveillants. •Filtrage par IP/Domaine : Éliminer les données provenant d'adresses IP ou de domaines connus pour être associés à des 3. Analyse des données: 1. Analyse Statistique : 1. Calcul des Fréquences : Analyser la fréquence d'apparition des indicateurs pour identifier des modèles. 2. Corrélation : Rechercher des relations statistiques entre différents indicateurs. 2. Analyse de Texte et de Contenu : 1. Analyse de Menace : Utiliser des outils d'analyse de texte pour extraire des informations sur les tactiques, techniques et procédures (TTP) des menaces. 2. Recherche de Mot-clé : Identifier des termes spécifiques liés aux menaces.
  • 31. 5. Analyse de Menaces Analyse de Tactiques, Techniques et Procédures (TTP) Compréhension Approfondie des Méthodes Utilisées par les Attaquants Méthodes Phishing : •Techniques : Emails trompeurs, sites web de phishing, attaques de spear phishing ciblées. •Procédures : Création de faux emails, conception de pages web de phishing, exploitation de la confiance humaine. Exploitation de Vulnérabilités : •Techniques : Utilisation d'exploits zero-day, exploitation de vulnérabilités connues. •Procédures : Recherche de failles, développement d'exploits, intrusion dans les systèmes. Ingénierie Sociale : •Techniques : Manipulation psychologique, usurpation d'identité, tromperie. •Procédures : Collecte d'informations sur la cible, création de scénarios convaincants, exploitation des relations de confiance.
  • 32. 5. Analyse de Menaces Analyse de Tactiques, Techniques et Procédures (TTP) Compréhension Approfondie des Méthodes Utilisées par les Attaquants Méthodes Malwares :  Techniques : Logiciels malveillants, ransomwares, chevaux de Troie.  Procédures : Injection de code malveillant, propagation sur le réseau, évitement de la détection. Attaques par Déni de Service (DoS) : •Techniques : Inondation de trafic, attaques distribuées par déni de service (DDoS). •Procédures : Coordination de botnets, exploitation de vulnérabilités de protocoles. Attaques Zero-Trust : •Techniques : Contournement des mécanismes de confiance, attaques "living off the land". •Procédures : Utilisation d'outils et de protocoles légitimes, dissimulation dans le trafic normal.
  • 33. 6. Études de cas sur des campagnes malveillantes notoires. 5. Analyse de Menaces Stuxnet (2010) : 1. Objectif : Attaque ciblant les systèmes de contrôle industriel (SCADA) iraniens. 2. TTP Notables : Utilisation de vulnérabilités zero-day, propagation via des périphériques USB, ciblage spécifique de systèmes industriels. APT28 (Fancy Bear) : 1. Attribution : Groupe de menace associé à la Russie. 2. TTP Notables : Phishing avancé, exploitation de vulnérabilités zero-day, utilisation de malwares personnalisés. NotPetya (2017) : 1. Type : Attaque ransomware déguisée en attaque de destruction de données. 2. TTP Notables : Utilisation d'un exploit EternalBlue (vulnérabilité Windows), propagation rapide au sein des réseaux. DarkTequila (2018) : 1. Type : Malware bancaire sophistiqué ciblant principalement l'Amérique du Sud. 2. TTP Notables : Techniques d'infection avancées, évitement de la détection en temps réel. APT29 (Cozy Bear) : 1. Attribution : Groupe de menace associé à la Russie. 2. TTP Notables : Campagnes de spear phishing, utilisation de faux certificats SSL, persistance au sein des réseaux cibles.
  • 34. 6. Threat Intelligence Collaborative  La Threat Intelligence Collaborative (collaboration en intelligence des menaces) est une approche stratégique qui vise à rassembler, partager et analyser des informations sur les menaces cybernétiques au sein d'une communauté d'organisations.  Cette collaboration permet de renforcer la posture de sécurité globale en offrant une vue plus complète du paysage des menaces.  Plateformes et Initiatives de Threat Intelligence Collaborative: MISP (Malware Information Sharing Platform & Threat Sharing) , ISAC (Information Sharing and Analysis Center)
  • 35. 6. Threat Intelligence Collaborative Participation à des Initiatives de Partage Participation aux ISAC : 1. Avantages : Accès à des informations sectorielles pertinentes, partage d'expérience avec des pairs, possibilité de collaborer sur des initiatives de sécurité communes. 2. Défis : Besoin de respecter les politiques de confidentialité, nécessité de contribuer activement. Collaboration avec des Partenaires de Confiance : 1. Avantages : Échange d'informations plus approfondies et ciblées, construction de relations de confiance, possibilité de coordonner des réponses à des incidents. 2. Défis : Nécessité de garantir la fiabilité des partenaires, gestion des accords de partage d'informations. Participation à des Programmes de Threat Intelligence Collaborative : 1. Avantages : Accès à une variété d'informations, possibilité d'identifier des menaces émergentes, contribution à la sécurité collective. 2. Défis : Besoin de gérer la surcharge d'informations, nécessité de maintenir une posture de
  • 36. 6. Threat Intelligence Collaborative Avantages et défis de la collaboration en Threat Intelligence Amélioration de la Visibilité : 1. Description : La collaboration permet d'obtenir une vue plus complète des menaces en intégrant des données provenant de différentes sources. 2. Avantages : Détection plus précoce des menaces, compréhension approfondie du paysage des menaces. Réponse Coordonnée aux Incidents : 1. Description : La collaboration facilite la coordination des réponses aux incidents, permettant une action plus rapide et plus efficace. 2. Avantages : Limitation des dommages, partage d'expertise, atténuation des risques. Avantages de la Collaboration en Threat Intelligence : Identification de Tendances et de Modèles : 1. Description : La collaboration permet de détecter des tendances et des schémas d'attaques à l'échelle sectorielle ou mondiale. 2. Avantages : Préparation proactive, ajustement des défenses en fonction des évolutions. Optimisation des Ressources : 1. Description : La collaboration permet aux organisations de tirer parti des connaissances et des ressources des autres pour renforcer leur propre posture de sécurité. 2. Avantages : Économie de ressources, accès à des compétences spécialisées.
  • 37. 6. Threat Intelligence Collaborative Avantages et défis de la collaboration en Threat Intelligence Défis de la Collaboration en Threat Intelligence Confidentialité des Informations Sensibles : 1. Description : La collaboration implique le partage d'informations sensibles, ce qui peut poser des problèmes de confidentialité. 2. Défis : Nécessité de garantir la confidentialité, respect des réglementations. Gestion de la Surcharge d'Informations : 1. Description : La collaboration peut générer une grande quantité d'informations, ce qui peut être difficile à gérer. 2. Défis : Filtrage efficace, priorisation des données, éviter la fatigue des analystes. Diversité des Normes et Formats : 1. Description : La diversité des normes et formats utilisés peut compliquer l'échange d'informations entre différentes organisations. 2. Défis : Besoin de normalisation, adoption de standards reconnus. Confiance et Fiabilité des Partenaires : 1. Description : La collaboration repose sur la confiance mutuelle, ce qui peut être un défi, en particulier dans des environnements virtuels. 2. Défis : Établissement et maintien de la confiance, évaluation de la fiabilité des
  • 38. 7. Mise en Pratique Rapport d'Analyse et Communication Rédaction de rapports d'analyse de Threat Intelligence. 1. Introduction 1.1 Objectif du Rapport Définissez clairement l'objectif de l'analyse et du rapport. Quelle est la question ou la problématique que cette analyse vise à résoudre? 1.2 Contexte Fournissez un bref contexte sur la situation actuelle en matière de sécurité informatique qui motive cette analyse. 2. Résumé Exécutif 2.1 Principales Menaces Identifiées Au cours de cette analyse, les principales menaces identifiées incluent [liste des menaces], avec une attention particulière portée à [menace spécifique]. 2.2 Recommandations Pour faire face à ces menaces, nous recommandons la mise en place immédiate de [mesures recommandées] et la planification de [actions futures] pour renforcer notre défense.
  • 39. 7. Mise en Pratique Rapport d'Analyse et Communication Rédaction de rapports d'analyse de Threat Intelligence. 3. Méthodologie Expliquez comment les données ont été collectées, les sources utilisées, et les techniques d'analyse employées. Assurez-vous de mettre en avant la fiabilité des données. 4. Tendances et Menaces Actuelles Identifiez les menaces cybernétiques actuelles qui pourraient avoir un impact sur l'organisation. Utilisez des exemples concrets et, si possible, fournissez des indicateurs de compromission (IoC). Menaces Actuelles : •[Liste des Menaces Actuelles] •[Exemples d'Indicateurs de Compromission] Tendances Émergentes : •[Tendance Émergente 1] •[Tendance Émergente 2]
  • 40. 7. Mise en Pratique Rapport d'Analyse et Communication Rédaction de rapports d'analyse de Threat Intelligence. 5. Impact sur l'Environnement Évaluez l'impact potentiel des menaces identifiées sur les opérations, la confidentialité et l'intégrité des systèmes. 6. Recommandations Proposez des actions préventives spécifiques et des mesures de réponse aux incidents en fonction des menaces identifiées. Actions Préventives : •[Mesure Préventive 1] •[Mesure Préventive 2] Réponses aux Incidents : •[Étapes de Réponse aux Incidents] 7. Graphiques et Visuels Utilisez des graphiques, des tableaux, ou d'autres visuels pour rendre les données complexes plus accessibles et compréhensibles
  • 41. 7. Mise en Pratique Communication efficace des résultats aux parties prenantes.. Adaptez le Message au Public Cible •Identifiez le niveau de technicité de votre auditoire. •Utilisez un langage adapté pour les non-techniciens, mais soyez précis pour les équipes de sécurité. Résumé Exécutif Clair et Concis •Fournissez un résumé succinct des principaux résultats. •Mettez en avant les menaces les plus critiques et leurs impacts potentiels. Visuels pour Illustrer les Tendances •Utilisez des graphiques et des tableaux pour représenter visuellement les tendances. •Les infographies simplifiées peuvent aider à expliquer des concepts complexes. Réunions de Présentation Interactives •Organisez des réunions pour discuter des résultats en personne ou virtuellement. •Encouragez les questions pour assurer une compréhension complète.
  • 42. 7. Mise en Pratique Communication efficace des résultats aux parties prenantes.. Canal de Communication Approprié •Choisissez le bon canal de communication en fonction de votre public. •Utilisez des e-mails, des réunions, des rapports écrits, etc., selon la situation. Feed-back et Ajustements •Encouragez les retours d'information pour améliorer la qualité de la communication. •Ajustez votre approche en fonction des commentaires reçus. Formation Continue des Parties Prenantes •Organisez des sessions de formation pour améliorer la compréhension des parties prenantes sur les menaces et les bonnes pratiques de sécurité. Sécurité de l'Information •Respectez les protocoles de sécurité lors de la communication. •Limitez la diffusion des informations sensibles aux personnes autorisées.
  • 43. 8. Éthique et Légalité Considérations Éthiques dans la Collecte de Threat Intelligence 1. Transparence et Consentement • Informer clairement les parties prenantes sur la collecte d'informations. • Obtenir le consentement explicite lorsque cela est possible, en particulier dans le contexte de la collecte de données personnelles. 2. Minimisation des Données • Collecter uniquement les données nécessaires à des fins spécifiques. • Éviter la collecte excessive ou non pertinente de données sensibles. 3. Anonymisation et Agrégation •Utiliser des techniques d'anonymisation pour protéger l'identité des individus. •Agréger les données chaque fois que cela est possible pour préserver l'intimité. 4. Sécurité des Données •Mettre en place des mesures de sécurité robustes pour protéger les données collectées. •Éviter les vulnérabilités qui pourraient compromettre la confidentialité des informations
  • 44. 8. Éthique et Légalité Protection de la Vie Privée et Droits Fondamentaux 1. Protection des Données Personnelles •Identifier et protéger les données personnelles conformément aux régulations en vigueur. •Respecter les droits individuels liés à la vie privée. 2. Évaluation de l'Impact sur les Individus •Évaluer l'impact potentiel des activités de Threat Intelligence sur la vie privée des individus. •Minimiser les effets négatifs sur les droits fondamentaux. 3. Transparence sur les Pratiques de Collecte •Fournir des informations transparentes sur les pratiques de collecte de données. •Permettre aux individus de comprendre comment leurs données sont utilisées.
  • 45. 8. Éthique et Légalité Respect des Lois et Régulations en Cybersécurité 1. Conformité aux Lois Nationales et Internationales •Connaître et respecter les lois nationales et internationales liées à la collecte de Threat Intelligence. •Ajuster les pratiques pour se conformer aux régulations locales. 2. Collaboration avec les Autorités Légales •Collaborer avec les autorités légales et respecter les procédures d'enquête. •Répondre aux demandes légales de manière appropriée. 3. Évaluation Régulière de la Conformité •Effectuer des évaluations régulières pour s'assurer que les pratiques de collecte sont conformes aux changements dans les lois et régulations.
  • 46. 9. Normes et Protocoles dans cyber threat intelligence STIX (Structured Threat Information eXpression)  STIX est un langage de codage normalisé conçu pour représenter des informations sur les menaces de manière structurée.  Il fournit un ensemble de schémas XML permettant de décrire les indicateurs de compromission (IoC), les campagnes de menaces, les tactiques, techniques et procédures (TTP), etc.  STIX facilite le partage d'informations entre les organisations.  Collaboration et normes ouvertes : le développement de STIX est le fruit d'un effort de collaboration impliquant des contributions d'entités gouvernementales, du secteur privé et de la communauté plus large de la cybersécurité. Il a été conçu pour être un standard ouvert, permettant une adoption et une utilisation généralisées.  Versions publiées : STIX a connu plusieurs versions, chaque itération affinant et élargissant les capacités de la norme. La version 1.0 a été publiée en 2016 et les versions ultérieures, notamment 2.0 et 2.1, ont introduit des améliorations et des améliorations.
  • 47. 9. Normes et Protocoles dans cyber threat intelligence STIX (Structured Threat Information eXpression) Composants de base de STIX •Indicateurs : les indicateurs sont des informations suggérant une activité malveillante. Ils peuvent inclure des adresses IP, des noms de domaine, des hachages de fichiers, etc. •Observables : les observables sont des instances spécifiques d'indicateurs trouvés dans l'environnement, fournissant des preuves concrètes d'une menace potentielle. • Incidents : les incidents représentent des événements de cybersécurité réels ou suspectés qui se sont produits. Ils fournissent un contexte et des détails sur la menace. •TTP (Tactiques, Techniques et Procédures) : les TTP décrivent les méthodes et stratégies utilisées par les acteurs malveillants pour mener des cyberattaques. • Malware : les objets malveillants contiennent des informations sur les logiciels malveillants, notamment leurs caractéristiques et leurs comportements. •Acteurs de menace : les objets acteurs de menace décrivent les individus, les groupes ou les organisations à l'origine des cybermenaces et fournissent des informations sur leurs motivations, leurs capacités et leurs activités connues.
  • 48. 9. Normes et Protocoles dans cyber threat intelligence TAXI (Trusted Automated eXchange of Indicator Information)  TAXI est un protocole basé sur STIX qui facilite l'échange automatisé d'indicateurs de compromission entre les systèmes. Il permet une communication plus rapide et plus efficace des informations sur les menaces entre les entités.  Rôles de TAXII dans la cybersécurité: Partage automatisé, Communication sécurisée, Collaboration efficace, Atténuation en temps opportun  Principales Caractéristiques: Basé sur STIX, Protocole de Communication, Canal Bidirectionnel, Chiffrement et Authentification, Adoption de Services Web  TAXI a été largement adopté par les organisations de cybersécurité, les fournisseurs de produits de sécurité, et les gouvernements. Il bénéficie également d'une communauté active qui travaille continuellement sur
  • 49. 9. Normes et Protocoles dans cyber threat intelligence CybOX (Cyber Observable eXpression)  CybOX est un langage normalisé qui complémente STIX en décrivant les observables cybernétiques, tels que les fichiers, les processus, les registres, etc. Il offre une structure normalisée pour représenter ces entités, améliorant ainsi la précision et la cohérence des informations partagées.  CybOX est fréquemment utilisé pour décrire les comportements malveillants observés, tels que des schémas d'attaques, des signatures de malware, etc.  CybOX est souvent utilisé en tandem avec STIX (Structured Threat Information eXpression) pour représenter les observables associés aux menaces détaillées dans STIX.  CybOX fournit des structures normalisées pour représenter une variété d'observables, y compris des objets, des réseaux, des processus, des fichiers, des événements, etc.
  • 50. 9. Cycle de vie de la Threat Intelligence Les experts en cybersécurité utilisent le concept de cycle de vie en relation avec la Threat Intelligence. Un exemple typique du cycle de vie d'une cybermenace comprendrait les étapes suivantes : direction, collecte, traitement, analyse, diffusion et commentaires.
  • 51. 9. Cycle de vie de la Threat Intelligence Étape 1 : Direction Cette étape consiste à fixer des objectifs pour le programme de Threat Intelligence. Il peut s'agir de ce qui suit : • Comprendre quels aspects de l'organisation doivent être protégés et éventuellement créer un ordre de priorité. • Définir le type de Threat Intelligence dont l'organisation a besoin pour protéger ses éléments et répondre aux menaces. •Comprendre l'impact organisationnel d'une atteinte à la cybersécurité. Étape 2 : Collecte Cette étape consiste à recueillir des données pour soutenir les objectifs fixés lors de l'étape 1. Au cours de cette étape, les organisations doivent déterminer leurs sources de données : •Métadonnées provenant de réseaux internes et d'appareils de sécurité •Flux de données sur les menaces provenant d'organisations de cybersécurité crédibles •Entretiens avec des parties prenantes informées •Sites d'information et blogs à code source ouvert
  • 52. 9. Cycle de vie de la Threat Intelligence Étape 3 : Traitement Toutes les données collectées doivent être converties dans un format utilisable par l'organisation. Les différentes méthodes de collecte de données nécessiteront divers moyens de traitement. Par exemple, il se peut que les données issues d'entretiens avec des personnes doivent être vérifiées et recoupées avec d'autres données. Étape 4 : Analyse Une fois que les données ont été traitées dans un format utilisable, elles doivent être analysées. L'analyse est le processus qui consiste à transformer les informations en renseignements susceptibles de guider les décisions organisationnelles. Ces décisions peuvent porter sur la question de savoir s'il convient d'augmenter l'investissement dans les ressources de sécurité, d'enquêter sur une menace particulière ou un ensemble de menaces, de prendre les mesures nécessaires pour bloquer une menace immédiate, d'utiliser les outils de renseignement sur les menaces, etc.
  • 53. 9. Cycle de vie de la Threat Intelligence Étape 5 : Diffusion Une fois l'analyse effectuée, les principales recommandations et conclusions doivent être diffusées aux parties prenantes concernées au sein de l'organisation. Les différentes équipes au sein de l'organisation auront des besoins différents. Pour diffuser efficacement les renseignements, il convient de se demander de quels renseignements chaque public a besoin, mais également dans quel format et à quelle fréquence il en a besoin. Étape 6 : Commentaires Les commentaires des parties prenantes permettront d'améliorer le programme de Threat Intelligence, en veillant à ce qu'il reflète les exigences et les objectifs de chaque groupe.
  • 54. 10. les applications concrètes de la CTI Détection Précoce des Menaces :  En utilisant des informations en temps réel provenant de sources de Threat Intelligence, les organisations peuvent détecter rapidement les nouvelles menaces émergentes et les attaques en cours.  La surveillance des indicateurs de compromission (IoC) tels que les adresses IP malveillantes, les domaines suspects et les signatures de malwares permet une détection précoce des activités malveillantes. Corrélation des Événements :  Les informations de Threat Intelligence peuvent être intégrées aux systèmes de gestion des événements de sécurité (SIEM) pour améliorer la corrélation des événements.  En associant les données internes de l'organisation avec des renseignements externes, les équipes de sécurité peuvent identifier plus facilement les schémas et les anomalies. Attribution des Menaces :  La CTI fournit des informations sur les acteurs de menace, leurs motivations, leurs tactiques, techniques et procédures (TTP). Cela aide à attribuer les activités malveillantes à des groupes spécifiques, facilitant ainsi la réponse appropriée.
  • 55. 10. les applications concrètes de la CTI Identification des Vulnérabilités Exploitées :  Les rapports de Threat Intelligence indiquent souvent les vulnérabilités exploitées par les attaquants. En identifiant ces vulnérabilités, les organisations peuvent prendre des mesures proactives pour les corriger avant qu'elles ne soient exploitées. Enrichissement des Alertes de Sécurité :  L'enrichissement des alertes de sécurité avec des données de CTI fournit un contexte supplémentaire aux analystes. Cela leur permet de mieux comprendre la nature des incidents et de prendre des décisions informées plus rapidement. Adaptation des Stratégies de Défense :  La CTI informe sur les évolutions des tactiques d'attaques. Les organisations peuvent adapter leurs stratégies de défense en fonction des nouvelles informations pour rester en avance sur les attaquants. Partage d'Informations entre Organisations :  La CTI collaborative implique le partage d'informations sur les menaces entre différentes organisations. Cela permet une réponse coordonnée et une protection collective contre les attaques.
  • 56. 10. Simulation d'Attaque et Threat Hunting Conception et Réalisation d'une Simulation d'Attaque. Objectifs de la Simulation : 1. Définissez clairement les objectifs de la simulation, tels que tester la résilience des défenses, évaluer la capacité de réponse aux incidents, ou détecter des vulnérabilités spécifiques. Scénarios d'Attaque : 1. Concevez des scénarios réalistes basés sur les menaces potentielles auxquelles l'organisation est confrontée. 2. Incluez une variété de vecteurs d'attaque, tels que le phishing, les attaques par injection, les exploitations de vulnérabilités, etc. Autorisations et Coordination : 1. Obtenez les autorisations nécessaires et coordonnez avec les parties prenantes pour éviter tout impact indésirable sur les opérations réelles.
  • 57. 10. Simulation d'Attaque et Threat Hunting Conception et Réalisation d'une Simulation d'Attaque. Environnement de Simulation : 1. Créez un environnement de simulation isolé en utilisant des réseaux virtuels, des machines virtuelles ou des conteneurs. 2. Déployez les outils et les techniques d'attaque correspondant aux scénarios définis. Exécution de la Simulation : 1. Menez la simulation en suivant les scénarios prévus. 2. Documentez les étapes de l'attaque, les résultats obtenus, et les observations pertinentes. Collecte de Données : 1. Collectez des données telles que les logs, les captures de trafic, et d'autres informations pertinentes pendant la simulation. 2. Utilisez ces données pour évaluer l'efficacité des défenses.
  • 58. 10. Simulation d'Attaque et Threat Hunting Évaluation des Défenses et Identification des Vulnérabilités Analyse des Résultats :  Analysez les résultats de la simulation pour identifier les failles de sécurité exploitées et évaluer la réaction des défenses. Documentation des Vulnérabilités :  Documentez les vulnérabilités identifiées, en fournissant des détails sur leur nature, leur sévérité, et des recommandations pour les corriger. Évaluation de la Réponse aux Incidents :  Évaluez la capacité du système à détecter et à répondre aux attaques simulées.  Identifiez les processus de réponse aux incidents qui ont bien fonctionné et ceux qui nécessitent des améliorations. Proposition de Correctifs :  Proposez des correctifs et des mesures d'atténuation pour chaque vulnérabilité identifiée.  Mettez en avant les meilleures pratiques de sécurité pour renforcer la posture globale.
  • 59. 10. Simulation d'Attaque et Threat Hunting Techniques de Threat Hunting Collecte de Données Contextuelles :  Rassemblez des données contextuelles sur le réseau, les utilisateurs et les systèmes pour détecter des anomalies. Analyse Comportementale :  Surveillez les comportements normaux et anormaux pour repérer des activités suspectes.  Utilisez des outils d'analyse comportementale pour détecter des schémas malveillants. Corrélation d'Événements :  Corrélez les événements de sécurité pour identifier des schémas ou des séquences d'activités malveillantes. Utilisation d'Indicateurs de Compromission (IoC) :  Recherchez activement des IoC dans les logs et les données pour détecter des signes d'attaques connues.
  • 60. Merci pour votre attention !