LA THREAT

INTELLIGENCE,
À LA CROISÉE DU
RENSEIGNEMENT ET
DE LA CYBERSÉCURITÉ

#TechforPeople Octobre 2019

_ 2 www.devoteam.com
TABLE DES MATIÈRES

04 06 08
Executive summary Le mot de l’expert Introduction

10 14 20
Les méthodes La CTI : une disci- L’avenir de
de détection : pline technique, l’OSINT face au
l’empathie, technologique et cloisonnement de
catalyseur d’une sociale l’information
cyber sécurité
efficace ?

22
Conclusion

La threat intelligence _ 3

EXECUTIVE
SUMMARY
“Connais ton ennemi et connais toi toi-même, même avec cent guerres à
soutenir, cent fois tu seras victorieux”.
Ce dicton bien connu sorti de la
Chine antique (Sun Tzu, L’Art de la
guerre), résume à lui seule la dualité
dans laquelle réside la Cyber Threat
Intelligence. Connaître son ennemi
est essentiel pour prévenir toute
tentative d’attaque. Qu’il s’agisse
de disposition dissuasive et protec-
trice ou d’un mécanisme de réaction,
détenir des informations sur son
adversaire permet de s’en prému-
nir. Pour autant, cela ne peut fonction-
ner que si l’on connaît et maîtrise
son propre système d’information.
En effet, une défense efficace réside en
partie dans la capacité du SI à déter-
miner et isoler ses propres faiblesses.
_ 4 www.devoteam.com
Ce document entend ouvrir une
porte, celle de l’étape néces-
saire à la connaissance de soi et
de son ennemi : le renseignement.
Maîtriser ses données et accéder à
celles de l’attaquant, voilà où se situe
la clé d’une cyberdéfense proactive.
A travers ce manuscrit, nous parcourrons
l’historique de l’OSINT en tant que
source d’informations, de son état de
grâce à son isolement. Quel avenir
pour l’OSINT ? Une analyse situation-
nelle nécessaire pour entrevoir des
pistes de renouveau.
La threat intelligence _ 5
LE MOT DE
L’EXPERT

Paul BARBE
Cybersecurity Expert Director
Devoteam

A la croisée des chemins entre l’éva- De manière concomitante, le déve-

luation des menaces et l’intelligence
économique, l’OSINT et la CTI sont
de nouvelles techniques émergentes
et nécessitent une attention parti-
culière de la part des organisations.
En effet, elles permettent d’ac-
croître leur capacité à anticiper les
cyberattaques.
loppement d’outils techniques, des
processus et des prestations de
services, doivent intégrer ce
rapprochement nécessaire, tout en
s’inspirant des actions mises en
oeuvre par les institutions militaires.”

Dans ce contexte, le monde de la

sûreté et de la cybersécurité tend
à se rejoindre dans une dynamique
qui doit encore gagner en maturité.

_ 6 www.devoteam.com
La threat intelligence _ 7
INTRODUCTION

« Quand c’est urgent, c’est déjà trop tard », exprimait Talleyrand, l’un des pères
de la diplomatie française, au tournant du XVIIIème siècle. Différente époque,
différentes mœurs, mais même l’essor technologique exponentiel amorcé depuis le
XXème siècle ne saurait remettre en cause cet axiome. Alors que les sciences dures
s’appliquent à réduire les incertitudes, une réalité demeure : si l’avenir ne peut
être précisément prévu, il peut toutefois être préparé. Autrement dit, pour pallier
l’urgence, il faut être capable de l’anticiper pour empêcher son apparition ou savoir
y répondre de façon adéquate. Il faut donc à la fois accumuler des informations
et des connaissances concernant les menaces qui pèsent sur le système cible et à
la fois être en capacité de proposer des solutions de remédiation proportionnées.

L’anticipation d’une attaque, qu’elle soit cyber ou non, passe très largement par
le renseignement. Cybersécurité et renseignement sont d’ailleurs intimement liés
: l’augmentation considérable des données et la diversité des canaux de partage
impliquent une étroite collaboration entre ces deux sphères. C’est dans cette
coopération que l’on puise les germes de la Cyber Threat Intelligence (CTI), en ceci
qu’elle représente une continuité des activités de renseignement. Toutefois, c’est
l’étape suivante qui constitue le point clé de ce cycle : l’analyse. Nonobstant le fait
que c’est durant cette phase que se crée le renseignement, cette étape est avant
tout primordiale car elle permet d’entrevoir la stratégie menée par l’attaquant… et
de comprendre ses motivations.

Elle complète ainsi le processus de renseignement en ajoutant à la collecte

d’une masse d’information un véritable profiling des attaquants. Ce processus de
renseignement est matérialisé et caractérisé par l’Open Source Intelligence
(OSINT), soit, pour vulgariser, la capacité à se procurer des informations via des
sources ouvertes et de nature publique. Alors que l’on assimile très souvent le ren-
seignement à de l’espionnage, l’OSINT repose sur un gris juridique lié à la numé-
risation des données : tout ce qui existe, est publié, diffusé ou partagé sur des
sources ouvertes et publiques constituent des mines d’information dans lesquelles
il est légal d’aller piocher pour construire un renseignement. Et cette discipline
souffre toujours d’une dualité, entre les pratiquants fidèles à une morale et une
éthique et ceux qui accumulent de l’information pour la revendre, influencer ou
déstabiliser une entité.

_ 8 www.devoteam.com
Cette seconde communauté est également celle qui apporte le plus de mystère à
la discipline et tend à véhiculer une image négative, bien que légale. C’est d’ailleurs
cette tendance qui amène la crainte de la fuite d’informations, et ce contre quoi
les entreprises se protègent. C’est dans cette logique de protection de l’informa-
tion, observable à travers le grand essor de la cybersécurité, que la pratique de
l’OSINT décroît et fait l’objet d’une chasse aux sorcières, de la part des institutions,
certes, mais également des entreprises.

Ne nous méprenons pas, si l’OSINT inquiète, la suppression de ces outils et moyens

inquiète davantage encore, en ceci que cette tendance favorise le renseignement
plus ‘sombre’. Ainsi, si l’open source ne peut plus être utilisée pour se procurer des
informations, il est certain que d’autres moyens de contournement apparaîtront,
favorisant peut être le développement de l’espionnage. Il serait naïf de croire que
prohiber les outils suffira à stopper l’état d’esprit de l’investigation. Au contraire,
les spécialistes de l’information et de l’intelligence économique le savent bien, il
est important de diffuser des informations régulièrement, pour exister d’une part,
et surtout pour maîtriser les flux et les contenus d’autre part.

A noter que cette dynamique est d’autant plus surprenante que le renseigne-
ment est pratiqué par un grand nombre de directions stratégiques (ou d’intelli-
gence économique) au sein des multinationales. Dès lors, se pose la question, quel
avenir pour l’OSINT ? Il est certain que des modifications dans la pratique, qu’elle
soient majeures ou mineures, vont intervenir. Mais quelles en sont les teneurs ?
Est-ce la démarche, l’état d’esprit, qui doit être réinterprétée ? La méthode doit-
elle varier pour maintenir cette dynamique ? Ou peut-être sont-ce les outils qui
doivent changer… Il est certain d’une chose, la fermeture de FacebookGraph, aussi
anecdotique puisse-t-elle être, est annonciatrice d’une tendance plus large et
d’ampleur plus importante, bouleversant profondément les codes jusqu’ici établis et
poussant la communauté à se réinventer.

La threat intelligence _ 9

LES MÉTHODES DE DÉTECTION :
L’EMPATHIE, CATALYSEUR D’UNE
CYBER SÉCURITÉ EFFICACE ?

En sus de la mise en place d’une veille, il existe plusieurs méthodes de surveillance

et de compréhension des attaquants et de leurs motivations. L’une passe par
l’observation sur le web, l’autre par l’étude sociologique et l’analyse
comportementale.

L’OSINT constitue un concept clé dans l’appréhension de la cybersécurité car elle

possède une double fonction : d’une part elle permet la détection de menaces
pourtant largement dissimulées, à travers l’observation de toutes les sources
ouvertes ; et d’autre part elle permet de comprendre le fonctionnement des
attaquants car la méthode est commune aux deux parties. En d’autres termes,
si un professionnel de la cybersécurité utilise l’OSINT pour détecter les menaces,
il en est de même pour l’attaquant qui pratique l’ingénierie sociale (par exemple).
Il est dès lors plus facile de sensibiliser aux dangers des réseaux (et plus largement
de la présence sur Internet) si l’on en comprend les rouages. Toutefois, l’OSINT ne
se limite pas aux éléments disponibles sur Internet, mais peut prendre diverses
déclinaisons, sur lesquelles nous reviendrons.

Le terme OSINT provient de la communauté du renseignement militaire qui

l’utilisait pour caractériser les flux de données et d’informations en accès libre
et répartis sur différents supports, tels que des forums, des réseaux sociaux, etc.
Cette technique de renseignement public repose largement sur un grand nombre
d’outils disponibles pour leur majorité en ligne et gratuitement. Certains sites, à
l’image du très connu Bellingcat, proposent des listes de ressources et d’outils.

_ 10 www.devoteam.com
D’autres formes d’ « intelligence » viennent s’intégrer ou compléter ce processus
de recherche pour maximiser la collecte de renseignements :

• HUMINT : Human Intelligence, • MASINT : Measurement and

soit le renseignement d’origine
humaine
• IMINT : Imagery Intelligence,
soit la collecte et l’analyse
d’informations visuelles, fon-
dées sur des images collectées
• SOCMINT : Social Media Intel-
ligence, soit les outils de cap-
tation et de surveillance des
réseaux sociaux et des signaux
faibles
• GEOINT : Geospatial Intelligence,
qui englobe notamment l’IMINT,
représente l’agrégation d’in-
formations liées à l’exploita-
tion de données spatiales et
temporelles
Signature Intelligence. Plus com-
pliquée à opérer, la MASINT
représente le renseignement
du « terrain » dans son sens le
plus large. Il s’agit de mesures
techniques permettant d’iden-
tifier des altérations de
l’environnement (temporalité,
angles, longueurs d’ondes, etc.)
• SIGINT : Reliée à la SOCMINT,
l’Intelligence des Signaux se
concentre sur les techniques de
communication et, si possible,
les contenus

•
Il existe de nombreuses autres formes d’intelligence, chacune de ces
•
catégories en concentrant d’autres sous-jacentes. Ces méthodes sont également
enrichies par des techniques plus sectorielles, telles que le renseignement
spécifique à la finance, aux technologies, au cyberespace, etc. Si les
professionnels de la cybersécurité arrivent à récolter des informations à travers ces
méthodes, leur agrégation permettra par la suite de constituer un certain nombre
d’indicateurs comportementaux.

Intervient alors la seconde étape dans la compréhension des attaquants et

de leurs motivations, l’analyse comportementale. Cette méthode consiste
à cibler et observer de potentiels attaquants pour en déduire leurs tactiques et
pourquoi pas leur stratégie globale. L’OSINT (entre autres) est là encore un outil
important pour obtenir des informations, souvent dissimulées sur des forums
ou des réseaux sociaux. Ainsi, l’analyse comportementale puise sa source dans
l’étude de signaux faibles, voire très faibles, qui, mis bout à bout, permettent
de dresser une typologie. Cette méthode d’analyse est non seulement une
composante clé de la détection des menaces, mais également une méthode en plein
développement puisqu’elle entend tirer profit du Machine Learning. Se mettre
à la place de l’attaquant, penser comme l’attaquant et reproduire son schéma
d’attaque, constituent des éléments clés pour anticiper cette menace.

La threat intelligence _ 11

 L’OSINT est donc constituée d’un ensemble
de sous-disciplines ayant chacune leurs
propres outils et méthodes qui produisent
chacune différents types d’informations. La
concentration de ces éléments, qu’il s’agisse
de renseignements purs ou de signaux faibles,
est primordiale pour construire une démarche
de détection des menaces et implémenter
durablement la Cyber Threat Intelligence.

_ 12 www.devoteam.com
La threat intelligence _ 13
LA CTI : UNE DISCIPLINE
TECHNIQUE, TECHNOLOGIQUE
ET SOCIALE

La Cyber Threat Intelligence représente l’ensemble de ce dispositif de renseigne-

ment, à ceci près qu’elle va plus loin. Au-delà d’une étude approfondie de l’état
de l’art de la sécurité et de ses acteurs (principalement les acteurs malveillants),
elle intègre un suivi permanent de ces éléments pour anticiper toute tentative
d’attaque. En cela, la CTI n’est pas de la veille mais un véritable processus avec ses
propres caractéristiques.

La définition du Center for Internet Security1 est, en ce sens, équivoque :

“Cyber threat intelligence is what cyber threat information becomes once it has
been collected, evaluated in the context of its source and reliability, and analyzed
through rigorous and structured tradecraft techniques by those with substantive
expertise and access to all-source information. Like all intelligence, cyber threat
intelligence provides a value-add to cyber threat information, which reduces
uncertainty for the consumer, while aiding the consumer in identifying threats and
opportunities. It requires that analysts identify similarities and differences in vast
quantities of information and detect deceptions to produce accurate, timely, and
relevant intelligence.”

En d’autres termes, la Cyber Threat Intelligence consiste en l’agrégation de tous

les éléments précédemment cités (données, informations, renseignements) et
leurs transformations en une analyse détaillée.

Comme de nombreuses autres disciplines, la CTI se divise en différentes variantes

adaptées aux besoins et au contexte. L’objectif pour les entreprises est donc
d’adapter sa stratégie de CTI à ses besoins et ses urgences pour implémenter
la meilleure solution possible. Issue du monde militaire américain et calquée sur
ses définitions, la CTI peut aujourd’hui se découper en trois dimensions distinctes :

1Center for Internet Security https://www.cisecurity.org/blog/what-is-cyber-threat-intelligence/

_ 14 www.devoteam.com
• Tactique : la CTI tactique réside
dans l’analyse des informations
à l’instant T. Cela se caractérise
par une prise de décision rapide
et réactive pour ajuster sa prise
de décision ‘à chaud’.
• Opérationnelle : La CTI opéra-
tionnelle consiste en l’analyse
d’informations et de rensei-
gnements ayant pour vocation
d’orienter la prise de déci-
sion de façon journalière, sans
pour autant l’inscrire dans une
démarche stratégique globale. Il
s’agit d’un mode opératoire que
l’on peut se risquer à catégori-
ser comme ‘managérial’.
• Stratégique : la CTI stratégique
est plus englobante mais égale-
ment plus complexe. Elle a pour
vocation non seulement d’aider
les entreprises à connaître les
menaces, mais également de
les comprendre, de les anticiper
et d’en étudier les potentiels
impacts. Cela passe notamment
par l’analyse comportementale
et l’appréhension des schémas
de pensée des attaquants.
La threat intelligence _ 15
A la manière de l’intelligence économique, la CTI se caractérise par une haute
valeur ajoutée destinée aux décisionnaires. Il s’agit donc d’agréger l’ensemble
des éléments relatifs à la sécurité des systèmes d’information pour permettre
au décideur de sélectionner la meilleure orientation à prendre pour garantir
l’intégrité de son parc.

Half life
of utility
Type Tagline (for good Focus Built on the Output data
guys and analysis of types
bad guys)

Strategic Who? Long Non- Big cam- Long from writing

Why? (multiyear) technical paigns, groups, about; victimology,
multivictim YoY methodology
intrusions (and mapping intrusions
operational and campaigns to
intel) conflicts, events and
geopolitical pressures

Operiational How? Medium Mixed Whole malware Short from writing,

Where? (one year (both realy) families threat bulleted lists, about:
plus) groups human persistence and
behavior analy- comms
sis (and tactical technique, victims,
intel) group profiles,
family profiles, TTP
descriptions, triggers,
patterns, and metho-
dology rules

Tactical What? Short Technical Security events, Atomic and

(months) individual machine-readable
malware indicators such as
samples, IPs, domains, IOCs,
phishing emails, «signature»
attacker in-
frastructure

2
Cyber Threat Intelligences types and application

1Anomali https://www.anomali.com/blog/what-is-threat-intelligence

_ 16 www.devoteam.com
Pour implémenter une démarche de CTI, il est essentiel d’en comprendre
l’essence et de se poser les bonnes questions :

• Quel est l’objectif final que je cherche à atteindre ?

• A qui mon analyse finale est-elle destinée (niveau) ?

• Quels sont les outils dont j’ai besoin ?

• Quelles sont les sources potentielles pouvant me fournir des données,

informations et renseignements ?

• Quelles sont mes requêtes ?

• Qui sont mes adversaires potentiels ?

Dresser la liste des éléments encadrant la recherche permet d’accompagner la

démarche de renseignement et faciliter l’OSINT.

1. Orientation
et planification
Expression des décideurs,
des opérationnels et des
métiers
2. Collecte
de données
Mise en place de
capteurs internes et
externes
3. Traitements
des données
Structuration, corréla-
tion, enrichissement des
données colléctées en
information
4. Analyse
et production
Contextualisation, in-
terprétation, évaluation
et transformation des
informations en rensei-
gnement.
5. Diffusion
et feedback
Partage du renseigne-
ment généré auprès de
différents acteurs et re-
tours sur la pertinence
du renseignement.

3
Cyber Threat Intelligences types and application

3Produit par Devoteam sur la base de la source suivante :

https://medium.com cyberthreatintel/cycle-du-renseignement-threatintel-7dc26a168c0f

La threat intelligence _ 17

En s’intéressant de près à la criminologie, la Threat Intelligence permet de croiser
un grand nombre de données pour dresser une typologie criminelle, faciliter la
prévention des menaces et à défaut l’appréhension des auteurs. Ces enjeux sont
pris très au sérieux par les institutions administratives, en témoigne un spot de
prévention d’Europol4, visant à sensibiliser à l’IMINT. On y apprend, de façon épu-
rée, à distinguer les éléments permettant d’identifier un lieu, une identité ou un
objet significatif. L’agrégation des différents retours des internautes permettent
ainsi de créer un lien, un fil conducteur, et par voie de fait, une piste fiable.

Il existe plusieurs niveaux de CTI permettant d’ac-

croître son efficacité et la mise en application. Puisque
chaque niveau correspond à une dimension particu-
lière, la CTI n’est pas applicable de façon uniforme
et universelle, mais est adaptable et spécifique au
contexte. L’anticipation et la détection des menaces
réside donc dans une démarche qui se répand sur
plusieurs strates, de l’observation individuelle à au
profiling de groupes organisés, de l’individu à la direc-
tion stratégique.

4Europol : https://www.youtube.com/watch?v=YVIHBDFLPUw

_ 18 www.devoteam.com
La threat intelligence _ 19
L’AVENIR DE L’OSINT FACE
AU CLOISONNEMENT DE
L’INFORMATION

La démarche, ou plutôt l’état d’esprit comme le nomme à juste titre

NicoDutchOSINT5, a amorcé sa transformation depuis 2018 et l’avènement du
RGPD. Avec le règlement européen s’accompagnent des impératifs juridiques qui
limitent fortement la mise en application de de l’OSINT et de la CTI. Si ces deux
disciplines puisent leurs fondements dans la collecte de données en source
ouverte, ce n’est pas pour autant que la manipulation de ces données ne repré-
sente pas une menace pour les droits individuels. En ce sens, la mise en application
du RGPD pose un véritable problème de posture et de mise en conformité pour les
professionnels et les entreprises opérant dans ce milieu. Si la discipline est sédui-
sante, de nombreux pratiquants collectent et stockent des données sans recon-
naître de responsabilité vis-à-vis de ces mêmes données. Pourtant, le propre de
la démarche est justement de l’appliquer en conformité avec la réglementation
en vigueur.

Quelques principes6 du RGPD imposent à la pratique de l’OSINT certaines

restrictions :

• Le premier principe est celui de • S’assurer de la qualité de l’infor-

légalité, justice et transparence : mation avant de la traiter et la
l’information ne doit pas être classifier
obtenue de façon illégale. Afin de
prouver la légalité de sa collecte, • Définir une date de conservation
il est important de la documenter des données en accord avec la
réglementation en vigueur
• Limiter l’usage des données au
but de leurs collectes (in extenso • Garantir l’intégrité et la
ne pas en refaire usage) confidentialité des données
stockées
• Ne collecter que le strict
minimum de données, nécessaire • Garantir et respecter les droits
à l’accomplissement du mandat des cibles de la collecte de
données.

5NicoDutchOSINT : https://medium.com/secjuice/osint-as-a-mindset-7d42ad72113d
6Key Findings : https://keyfindings.blog/2019/06/11/how-gdpr-effects-osint/

_ 20 www.devoteam.com
Si le cadre légal du RGPD constitue un socle, l’encadrement de l’OSINT semble
toujours reposer sur un semi ‘vide juridique’ non fondé sur des interdictions. De
plus, la légitimité et le bien fondé de certaines collectes (dans un cadre policier par
exemple) semblent maintenir la discipline à flot.

Toutefois, son encadrement a pris un nouveau tournant en février 2019, lorsque

des utilisateurs de Twitter révèlent au grand jour des projets militaires de l’Indian
Air Force. Les investigations en open source, couplées à la curiosité de certains
utilisateurs pour l’aéronautique, ont permis de révéler des déplacements tactiques
de l’armée indienne, à travers des outils en libre accès tels que flightradar247. Dès
lors, se pose la question du risque poussé par l’OSINT et des dangers qu’elle sus-
cite par sa capacité à révéler et populariser des enjeux discrets mais néanmoins
hautement stratégiques et sécuritaires.

Une nouvelle étape fut franchie en Juin 2019, alors qu’un grand nombre d’outils
ont été censurés et que de nombreux acteurs du milieu se sont vus bannir de cer-
tains réseaux sociaux. C’est d’abord “Facebook Graph”, le célèbre outil de crawling
sur Facebook, qui en a fait les frais. Cet outil permettait notamment de recueil-
lir de nombreuses informations sur les utilisateurs du réseau social grâce à des
algorithmes très simples, sans que ceux-ci mêmes ne sachent que ces informa-
tions existaient. Stalkscan, le website dédié à l’observation de ce même réseau,
a également restreint ses possibilités d’utilisation. Dans la même veine, Michael
Bazzel, professionnel réputé en matière d’OSINT, a également vu son site et ses
outils retirés, après un mois d’attaques DDOS et sous pression de l’administration
américaine.

A peine une semaine après ces évènements, c’est au tour de la communauté Twit-
ter de l’OSINT d’en faire les frais. Un grand nombre de comptes ont été suspendus,
quand ils n’ont pas été supprimés, sur la base de “potentielle violation de la loi”.
On peut retrouver une liste de ces comptes ici8.

L’OSINT, pratique indispensable à la bonne applica-

tion de la Cyber Threat Intelligence, est extirpée de
force de son âge d’or pour faire désormais l’objet
d’une chasse aux sorcières. Toutefois, cette pratique
comporte une dimension crisogène dans son essence
même : accéder à des informations normalement pri-
vées ou dissimulées (mais légalement) permet certes
d’anticiper, mais pose également un problème de
confidentialité que le RGPD tente d’encadrer.

7FlightRadar24 : https://www.flightradar24.com/51,-2/6
8Alexander Haynes blog : https://www.alexandersmhaynes.com/blog/osint-community-twitter-suspensions-crackdown-on-independent-reporting

La threat intelligence _ 21

CONCLUSION

La pratique de l’OSINT, in extenso l’application de la CTI, fait face à une double

dynamique pour le moins ambivalente. D’une part, la tendance générale est
au cloisonnement de l’information et à la réduction au maximum des outils
permettant l’exploitation de sources ouvertes. Cela se traduit à la fois par la
censure des ces mêmes outils et par celle des professionnels du milieu. La peur
généralisée de la fuite d’information, en particulier lorsqu’elle touche des domaines
hautement stratégiques (les déplacements militaires en sont un exemple), semble
prendre le pas sur l’accès à l’information (qui, pour rappel, est une composante de
la liberté d’expression).

D’autre part, si cette tendance apparaît comme légitime dans le cadre d’une
protection toujours plus accrue des actifs informationnels, elle porte néanmoins
en elle les germes de la disgrâce de l’OSINT et de l’investigation. En effet, ce
mouvement de rétention implique nécessairement une baisse de moyens dans la
recherche d’information, et donc dans la détection des menaces. In fine, c’est la
pratique de la CTI en entière qui est affectée.

Pourtant, ces disciplines restent nécessaires, notamment dans le cadre de

la traque de criminels, cyber ou non. En témoigne la diffusion le 21 juin par la
‘Visual Investigation Team’ d’une vidéo déconstruisant l’assassinat de Jamal
Khashoggi grâce à l’IMINT9, appuyant par la même les origines suspectes de sa
mort.

La fin de cet “âge d’or de l’OSINT” n’est pourtant pas dénué de conséquences
à court terme. Elle marque le renouveau de l’espionnage industriel : le besoin
d’information ne faiblit pas et de nouvelles méthodes, parfois moins élégantes,
risquent de revenir sur le devant de la scène (bien qu’elles n’aient jamais
totalement disparu). Et ce “besoin d’information” est palpable et perceptible à
travers la demande croissante d’informations “instantanées” par le consomma-
teur, faisant les choux gras de certains médias. Cette tendance constitue un
véritable challenge pour l’OSINT et sa communauté, qui doivent faire face à un flux
d’information toujours plus important et aux sources toujours moins fiables.
N’importe qui peut poster n’importe quoi, entraînant et amplifiant la propagation
de rumeurs et autres fakes news. Désormais, sourcer une information et s’assurer
de la crédibilité d’une donnée prennent plus de temps que la phase de collecte.
9 Global Investigative Journalism Network : https://gijn.org/2019/06/21/how-the-new-york-times-tracked-public-data-to-produce-killing-khashoggi/

_ 22 www.devoteam.com
Pour pallier cette évolution à la baisse, la communauté OSINT va devoir s’adap-
ter et transformer ses pratiques, notamment en dérivant plus largement vers des
outils de renseignement s’intéressant à d’autres sources et flux, en particulier la
GEOINT. Si la mise en application de cette discipline sera plus ardue pour les petits
budgets, on peut également compter sur un accroissement de la communautari-
sation de la discipline ainsi que sur une mise en commun des outils et des sources.
Certes l’OSINT perd du terrain, mais plus la communauté est menacée, plus elle
resserre ses liens. En témoigne le lancement du projet

OpenCTI10 en 2018, projet qui vise à “stocker, organiser, visualiser et partager des
connaissances sur les cybermenaces”.

D’autres pistes génériques apparaissent viables au demeurant, mais peuvent sem-

bler fantasques. En premier lieu, cela peut sembler surréaliste, mais l’opérateur
OSINT va devoir se re-focaliser sur l’humain. La fermeture d’un certain nombre
de sources ouvertes force l’homme à se recentrer sur l’autre. En d’autre termes,
l’opérateur doit comprendre son semblable et ses comportements pour pouvoir
s’alimenter en information. Si cela peut sembler évident au premier abord, il est
en réalité plus complexe d’obtenir des renseignements humain (HUMINT) que de
collecter des données, et sous-tend de prendre certaines dispositions morales.
Matthias Wilson attribue cette dynamique à l’avènement des réseaux sociaux, et
théorise une nouvelle forme de renseignement, la virtual HUMINT (VUMINT). La
VUMINT représente une prise d’information de source humaine par l’infiltration de
réseau social.

En sus de l’OSINT, plusieurs pistes opérationnelles permettent de maintenir la

pratique de la CTI à flot. Pour cela, il convient de prendre un peu de hauteur et
d’analyser l’ensemble de l’environnement d’une cible pour évaluer sa visibilité et sa
surface d’attaque. Être en capacité de donner un niveau d’exposition, de référen-
cement et de menace, à travers des outils et supports spécifiques, peut permettre
de combler le déficit d’informations.

10 OpenCTI Platforme : https://www.opencti.io/fr/

La threat intelligence _ 23

Ce renforcement de l’analyse de l’environnement se caractérise par trois phases,
stratégiques, managériales et opérationnelles :

• Un rapprochement inévitable entre • Une stimulation de la créati-

les directions cyber et les directions
sûreté. Approfondir le knowledge
management entre ces deux
métiers est essentiel, car tous deux
approchent la sécurité, chacun avec
ses propres outils et méthodes.
Pourtant, le monde de la sûreté,
traditionnellement proche de celui
de l’intelligence économique, voit
ses codes changer et ses enjeux
se déplacer vers un terrain numé-
rique. L’interpénétration de ces
deux entités et la mise en commun
des savoirs permettra de garantir
cette “prise de hauteur” et combler
le besoin en renseignement.
vité. Comme de nombreuses
disciplines, la pratique de l’OSINT
et de la CTI repose avant tout
sur la créativité et l’imagina-
tion des opérateurs. C’est la
capacité à créer du lien entre dif-
férents renseignements, à valider
des sources fiables et les croiser,
à s’adapter à des environne-
ments complexes et évolutifs, qui
permettront à ces disciplines
de rester incontournables
en matière de détection des
menaces.

• Une évolution des méthodes.

Pour pallier le trop grand flux
d’information et pouvoir
fact-checker efficacement les
renseignements, les opérateurs
vont devoir faire évoluer leurs
méthodes de travail pour per-
mettre d’identifier précisément
les sources fiables. La “Gap
analysis”, soit l’analyse par l’écart,
constitue en ce sens une solution
efficace. Il s’agit d’un outil utilisé
pour évaluer les informations,
identifier les lacunes et définir
des orientations, à travers une
série de questions.

_ 24 www.devoteam.com
La threat intelligence _ 25
A PROPOS DE
DEVOTEAM
Devoteam acteur du conseil en
technologies innovantes et en mana-
gement des entreprises. Nos 7 000+
professionnels sont engagés à faire
gagner la bataille du digital à nos
clients. Présent dans 18 pays d’Europe
et du Moyen-Orient et fort de plus de
20 ans d’expérience, nous mettons la
‘Technologie au service de l’Homme’ afin
de créer de la valeur pour nos clients,
nos partenaires, et nos employés.
Devoteam a réalisé en 2018 un chiffre
d’affaires annuel estimé de 652,4 M€.

Chez Devoteam, nous sommes

“Digital Transformakers”.

Copyright 2019 devoteam

© Devoteam S.A

Société anonyme à directoire et

Conseil de Surveillance au capital de
1 527 761 € RCS
Nanterre sous le numéro :
402 968 655
Siège social/HQ :
73 Rue Anatole France 92300
Levallois-Perret
Email:
communication@devoteam.com
Tel : 01 41 49 48 48
Directeur de la publication :
Nicole Anschutz

_ 26 www.devoteam.com
CONTACTS

Julien Bui
Cybersecurity Consulting Director
Devoteam

Paul Barbe
Cybersecurity Expert Director
Devoteam

Leo Coqueblin
Cybersecurity Strategy Consultant
Devoteam

La threat intelligence _ 27

LIENS

Sources :
https://www.marines.mil/Portals/59/Publications/MCRP%202-10B.5%20(Formerly%20MCWP%202-21).pdf?ver=20 16-06-27-121606-730

http://www.medef92.fr/uploads/media/node/0001/09/b492a1da9451285b4cec792704189a7ba35410a0.pdf

http://lignesdedefense.blogs.ouest-france.fr/files/E%CC%81le%CC%81ments%20publics%20de%20doctrine%20militaire%20de%20lutte%20informatique%20offen-

sive%20%20.pdf

https://tacticaltech.org/media/Personal-Data-Political-Persuasion-How-it-works.pdf

https://www.youtube.com/watch?v=YVIHBDFLPUw

https://www.opencti.io/fr/

Biblio :
https://www.anomali.com/blog/what-is-threat-intelligence

https://securitytrails.com/blog/what-is-osint-how-can-i-make-use-of-it

https://securityintelligence.com/threat-intelligence-in-the-age-of-cyber-warfare/

https://securityintelligence.com/security-intelligence-at-the-strategic-operational-and-tactical-levels/

https://www.openaccessgovernment.org/finding-cybersecurity-threats-with-open-source-intelligence/55608/

https://observatoire-fic.com/cyber-threat-intelligence/

https://osintcurio.us/2019/04/18/basic-opsec-tips-and-tricks-for-osint-researchers/

https://www.secjuice.com/threat-intel-stix-couchbase/

https://www.cisecurity.org/blog/what-is-cyber-threat-intelligence/

https://information.tv5monde.com/info/cyber-defense-la-france-passe-l-offensive-280713

https://www.cairn.info/revue-politique-etrangere-2018-2-page-15.htm

https://keyfindings.blog/2019/06/11/how-gdpr-effects-osint/

https://www.news18.com/news/tech/government-order-or-usage-policy-understanding-twitters-suspension-of-osint-reporters-2194579.htmlhttps://www.

cesar-conference.org/wp-content/uploads/2017/11/CESAR_2017_321_Chanaa_Mouchoux.pdf

https://www.alexandersmhaynes.com/blog/osint-community-twitter-suspensions-crackdown-on-independent-reporting

https://www.openaccessgovernment.org/finding-cybersecurity-threats-with-open-source-intelligence/55608/

https://medium.com/secjuice/osint-as-a-mindset-7d42ad72113d

https://gijn.org/2019/06/21/how-the-new-york-times-tracked-public-data-to-produce-killing-khashoggi/

https://www.linkedin.com/pulse/trouble-brewing-osint-paradise-henri-beek-cpo/

https://booleanstrings.com/2019/06/10/bye-facebook-graph-search/

https://mailchi.mp/8e9d42744b9a/newsletter_eeie_01

https://nixintel.info/osint/using-gap-analysis-to-keep-osint-investigations-on-track/

http://www.circleid.com/posts/20190606_threat_intelligence_understanding_adversaries_and_threats/

https://keyfindings.blog/2019/01/04/the-golden-age-of-osint-is-over/

https://www.flightradar24.com/51,-2/6

_ 28 www.devoteam.com
#TechforPeople

La threat intelligence _ 29