Vous êtes sur la page 1sur 29

LA THREAT

INTELLIGENCE,
À LA CROISÉE DU
RENSEIGNEMENT ET
DE LA CYBERSÉCURITÉ

#TechforPeople Octobre 2019


_ 2 www.devoteam.com
TABLE DES MATIÈRES

04 06 08
Executive summary Le mot de l’expert Introduction

10 14 20
Les méthodes La CTI : une disci- L’avenir de
de détection : pline technique, l’OSINT face au
l’empathie, technologique et cloisonnement de
catalyseur d’une sociale l’information
cyber sécurité
efficace ?

22
Conclusion

La threat intelligence _ 3


EXECUTIVE
SUMMARY
“Connais ton ennemi et connais toi toi-même, même avec cent guerres à
soutenir, cent fois tu seras victorieux”.

Ce dicton bien connu sorti de la Ce document entend ouvrir une


Chine antique (Sun Tzu, L’Art de la porte, celle de l’étape néces-
guerre), résume à lui seule la dualité saire à la connaissance de soi et
dans laquelle réside la Cyber Threat de son ennemi : le renseignement.
Intelligence. Connaître son ennemi Maîtriser ses données et accéder à
est essentiel pour prévenir toute celles de l’attaquant, voilà où se situe
tentative d’attaque. Qu’il s’agisse la clé d’une cyberdéfense proactive.
de disposition dissuasive et protec- A travers ce manuscrit, nous parcourrons
trice ou d’un mécanisme de réaction, l’historique de l’OSINT en tant que
détenir des informations sur son source d’informations, de son état de
adversaire permet de s’en prému- grâce à son isolement. Quel avenir
nir. Pour autant, cela ne peut fonction- pour l’OSINT ? Une analyse situation-
ner que si l’on connaît et maîtrise nelle nécessaire pour entrevoir des
son propre système d’information. pistes de renouveau.
En effet, une défense efficace réside en
partie dans la capacité du SI à déter-
miner et isoler ses propres faiblesses.

_ 4 www.devoteam.com
La threat intelligence _ 5
LE MOT DE
L’EXPERT

Paul BARBE
Cybersecurity Expert Director
Devoteam

A la croisée des chemins entre l’éva- De manière concomitante, le déve-


luation des menaces et l’intelligence loppement d’outils techniques, des
économique, l’OSINT et la CTI sont processus et des prestations de
de nouvelles techniques émergentes services, doivent intégrer ce
et nécessitent une attention parti- rapprochement nécessaire, tout en
culière de la part des organisations. s’inspirant des actions mises en
oeuvre par les institutions militaires.”
En effet, elles permettent d’ac-
croître leur capacité à anticiper les
cyberattaques.

Dans ce contexte, le monde de la


sûreté et de la cybersécurité tend
à se rejoindre dans une dynamique
qui doit encore gagner en maturité.

_ 6 www.devoteam.com
La threat intelligence _ 7
INTRODUCTION

« Quand c’est urgent, c’est déjà trop tard », exprimait Talleyrand, l’un des pères
de la diplomatie française, au tournant du XVIIIème siècle. Différente époque,
différentes mœurs, mais même l’essor technologique exponentiel amorcé depuis le
XXème siècle ne saurait remettre en cause cet axiome. Alors que les sciences dures
s’appliquent à réduire les incertitudes, une réalité demeure : si l’avenir ne peut
être précisément prévu, il peut toutefois être préparé. Autrement dit, pour pallier
l’urgence, il faut être capable de l’anticiper pour empêcher son apparition ou savoir
y répondre de façon adéquate. Il faut donc à la fois accumuler des informations
et des connaissances concernant les menaces qui pèsent sur le système cible et à
la fois être en capacité de proposer des solutions de remédiation proportionnées.

L’anticipation d’une attaque, qu’elle soit cyber ou non, passe très largement par
le renseignement. Cybersécurité et renseignement sont d’ailleurs intimement liés
: l’augmentation considérable des données et la diversité des canaux de partage
impliquent une étroite collaboration entre ces deux sphères. C’est dans cette
coopération que l’on puise les germes de la Cyber Threat Intelligence (CTI), en ceci
qu’elle représente une continuité des activités de renseignement. Toutefois, c’est
l’étape suivante qui constitue le point clé de ce cycle : l’analyse. Nonobstant le fait
que c’est durant cette phase que se crée le renseignement, cette étape est avant
tout primordiale car elle permet d’entrevoir la stratégie menée par l’attaquant… et
de comprendre ses motivations.

Elle complète ainsi le processus de renseignement en ajoutant à la collecte


d’une masse d’information un véritable profiling des attaquants. Ce processus de
renseignement est matérialisé et caractérisé par l’Open Source Intelligence
(OSINT), soit, pour vulgariser, la capacité à se procurer des informations via des
sources ouvertes et de nature publique. Alors que l’on assimile très souvent le ren-
seignement à de l’espionnage, l’OSINT repose sur un gris juridique lié à la numé-
risation des données : tout ce qui existe, est publié, diffusé ou partagé sur des
sources ouvertes et publiques constituent des mines d’information dans lesquelles
il est légal d’aller piocher pour construire un renseignement. Et cette discipline
souffre toujours d’une dualité, entre les pratiquants fidèles à une morale et une
éthique et ceux qui accumulent de l’information pour la revendre, influencer ou
déstabiliser une entité.

_ 8 www.devoteam.com
Cette seconde communauté est également celle qui apporte le plus de mystère à
la discipline et tend à véhiculer une image négative, bien que légale. C’est d’ailleurs
cette tendance qui amène la crainte de la fuite d’informations, et ce contre quoi
les entreprises se protègent. C’est dans cette logique de protection de l’informa-
tion, observable à travers le grand essor de la cybersécurité, que la pratique de
l’OSINT décroît et fait l’objet d’une chasse aux sorcières, de la part des institutions,
certes, mais également des entreprises.

Ne nous méprenons pas, si l’OSINT inquiète, la suppression de ces outils et moyens


inquiète davantage encore, en ceci que cette tendance favorise le renseignement
plus ‘sombre’. Ainsi, si l’open source ne peut plus être utilisée pour se procurer des
informations, il est certain que d’autres moyens de contournement apparaîtront,
favorisant peut être le développement de l’espionnage. Il serait naïf de croire que
prohiber les outils suffira à stopper l’état d’esprit de l’investigation. Au contraire,
les spécialistes de l’information et de l’intelligence économique le savent bien, il
est important de diffuser des informations régulièrement, pour exister d’une part,
et surtout pour maîtriser les flux et les contenus d’autre part.

A noter que cette dynamique est d’autant plus surprenante que le renseigne-
ment est pratiqué par un grand nombre de directions stratégiques (ou d’intelli-
gence économique) au sein des multinationales. Dès lors, se pose la question, quel
avenir pour l’OSINT ? Il est certain que des modifications dans la pratique, qu’elle
soient majeures ou mineures, vont intervenir. Mais quelles en sont les teneurs ?
Est-ce la démarche, l’état d’esprit, qui doit être réinterprétée ? La méthode doit-
elle varier pour maintenir cette dynamique ? Ou peut-être sont-ce les outils qui
doivent changer… Il est certain d’une chose, la fermeture de FacebookGraph, aussi
anecdotique puisse-t-elle être, est annonciatrice d’une tendance plus large et
d’ampleur plus importante, bouleversant profondément les codes jusqu’ici établis et
poussant la communauté à se réinventer.

La threat intelligence _ 9


LES MÉTHODES DE DÉTECTION :
L’EMPATHIE, CATALYSEUR D’UNE
CYBER SÉCURITÉ EFFICACE ?

En sus de la mise en place d’une veille, il existe plusieurs méthodes de surveillance


et de compréhension des attaquants et de leurs motivations. L’une passe par
l’observation sur le web, l’autre par l’étude sociologique et l’analyse
comportementale.

L’OSINT constitue un concept clé dans l’appréhension de la cybersécurité car elle


possède une double fonction : d’une part elle permet la détection de menaces
pourtant largement dissimulées, à travers l’observation de toutes les sources
ouvertes ; et d’autre part elle permet de comprendre le fonctionnement des
attaquants car la méthode est commune aux deux parties. En d’autres termes,
si un professionnel de la cybersécurité utilise l’OSINT pour détecter les menaces,
il en est de même pour l’attaquant qui pratique l’ingénierie sociale (par exemple).
Il est dès lors plus facile de sensibiliser aux dangers des réseaux (et plus largement
de la présence sur Internet) si l’on en comprend les rouages. Toutefois, l’OSINT ne
se limite pas aux éléments disponibles sur Internet, mais peut prendre diverses
déclinaisons, sur lesquelles nous reviendrons.

Le terme OSINT provient de la communauté du renseignement militaire qui


l’utilisait pour caractériser les flux de données et d’informations en accès libre
et répartis sur différents supports, tels que des forums, des réseaux sociaux, etc.
Cette technique de renseignement public repose largement sur un grand nombre
d’outils disponibles pour leur majorité en ligne et gratuitement. Certains sites, à
l’image du très connu Bellingcat, proposent des listes de ressources et d’outils.

_ 10 www.devoteam.com
D’autres formes d’ « intelligence » viennent s’intégrer ou compléter ce processus
de recherche pour maximiser la collecte de renseignements :

• HUMINT : Human Intelligence, • MASINT : Measurement and


soit le renseignement d’origine Signature Intelligence. Plus com-
humaine pliquée à opérer, la MASINT
représente le renseignement
• IMINT : Imagery Intelligence, du « terrain » dans son sens le
soit la collecte et l’analyse plus large. Il s’agit de mesures
d’informations visuelles, fon- techniques permettant d’iden-
dées sur des images collectées tifier des altérations de
l’environnement (temporalité,
• SOCMINT : Social Media Intel- angles, longueurs d’ondes, etc.)
ligence, soit les outils de cap-
tation et de surveillance des • SIGINT : Reliée à la SOCMINT,
réseaux sociaux et des signaux l’Intelligence des Signaux se
faibles concentre sur les techniques de
communication et, si possible,
• GEOINT : Geospatial Intelligence, les contenus
qui englobe notamment l’IMINT,
représente l’agrégation d’in-
formations liées à l’exploita-
tion de données spatiales et
temporelles


Il existe de nombreuses autres formes d’intelligence, chacune de ces

catégories en concentrant d’autres sous-jacentes. Ces méthodes sont également
enrichies par des techniques plus sectorielles, telles que le renseignement
spécifique à la finance, aux technologies, au cyberespace, etc. Si les
professionnels de la cybersécurité arrivent à récolter des informations à travers ces
méthodes, leur agrégation permettra par la suite de constituer un certain nombre
d’indicateurs comportementaux.

Intervient alors la seconde étape dans la compréhension des attaquants et


de leurs motivations, l’analyse comportementale. Cette méthode consiste
à cibler et observer de potentiels attaquants pour en déduire leurs tactiques et
pourquoi pas leur stratégie globale. L’OSINT (entre autres) est là encore un outil
important pour obtenir des informations, souvent dissimulées sur des forums
ou des réseaux sociaux. Ainsi, l’analyse comportementale puise sa source dans
l’étude de signaux faibles, voire très faibles, qui, mis bout à bout, permettent
de dresser une typologie. Cette méthode d’analyse est non seulement une
composante clé de la détection des menaces, mais également une méthode en plein
développement puisqu’elle entend tirer profit du Machine Learning. Se mettre
à la place de l’attaquant, penser comme l’attaquant et reproduire son schéma
d’attaque, constituent des éléments clés pour anticiper cette menace.

La threat intelligence _ 11


L’OSINT est donc constituée d’un ensemble
de sous-disciplines ayant chacune leurs
propres outils et méthodes qui produisent
chacune différents types d’informations. La
concentration de ces éléments, qu’il s’agisse
de renseignements purs ou de signaux faibles,
est primordiale pour construire une démarche
de détection des menaces et implémenter
durablement la Cyber Threat Intelligence.

_ 12 www.devoteam.com
La threat intelligence _ 13
LA CTI : UNE DISCIPLINE
TECHNIQUE, TECHNOLOGIQUE
ET SOCIALE

La Cyber Threat Intelligence représente l’ensemble de ce dispositif de renseigne-


ment, à ceci près qu’elle va plus loin. Au-delà d’une étude approfondie de l’état
de l’art de la sécurité et de ses acteurs (principalement les acteurs malveillants),
elle intègre un suivi permanent de ces éléments pour anticiper toute tentative
d’attaque. En cela, la CTI n’est pas de la veille mais un véritable processus avec ses
propres caractéristiques.

La définition du Center for Internet Security1 est, en ce sens, équivoque :


“Cyber threat intelligence is what cyber threat information becomes once it has
been collected, evaluated in the context of its source and reliability, and analyzed
through rigorous and structured tradecraft techniques by those with substantive
expertise and access to all-source information. Like all intelligence, cyber threat
intelligence provides a value-add to cyber threat information, which reduces
uncertainty for the consumer, while aiding the consumer in identifying threats and
opportunities. It requires that analysts identify similarities and differences in vast
quantities of information and detect deceptions to produce accurate, timely, and
relevant intelligence.”

En d’autres termes, la Cyber Threat Intelligence consiste en l’agrégation de tous


les éléments précédemment cités (données, informations, renseignements) et
leurs transformations en une analyse détaillée.

Comme de nombreuses autres disciplines, la CTI se divise en différentes variantes


adaptées aux besoins et au contexte. L’objectif pour les entreprises est donc
d’adapter sa stratégie de CTI à ses besoins et ses urgences pour implémenter
la meilleure solution possible. Issue du monde militaire américain et calquée sur
ses définitions, la CTI peut aujourd’hui se découper en trois dimensions distinctes :

1Center for Internet Security https://www.cisecurity.org/blog/what-is-cyber-threat-intelligence/

_ 14 www.devoteam.com
• Tactique : la CTI tactique réside • Stratégique : la CTI stratégique
dans l’analyse des informations est plus englobante mais égale-
à l’instant T. Cela se caractérise ment plus complexe. Elle a pour
par une prise de décision rapide vocation non seulement d’aider
et réactive pour ajuster sa prise les entreprises à connaître les
de décision ‘à chaud’. menaces, mais également de
les comprendre, de les anticiper
• Opérationnelle : La CTI opéra- et d’en étudier les potentiels
tionnelle consiste en l’analyse impacts. Cela passe notamment
d’informations et de rensei- par l’analyse comportementale
gnements ayant pour vocation et l’appréhension des schémas
d’orienter la prise de déci- de pensée des attaquants.
sion de façon journalière, sans
pour autant l’inscrire dans une
démarche stratégique globale. Il
s’agit d’un mode opératoire que
l’on peut se risquer à catégori-
ser comme ‘managérial’.

La threat intelligence _ 15


A la manière de l’intelligence économique, la CTI se caractérise par une haute
valeur ajoutée destinée aux décisionnaires. Il s’agit donc d’agréger l’ensemble
des éléments relatifs à la sécurité des systèmes d’information pour permettre
au décideur de sélectionner la meilleure orientation à prendre pour garantir
l’intégrité de son parc.

Half life
of utility
Type Tagline (for good Focus Built on the Output data
guys and analysis of types
bad guys)

Strategic Who? Long Non- Big cam- Long from writing


Why? (multiyear) technical paigns, groups, about; victimology,
multivictim YoY methodology
intrusions (and mapping intrusions
operational and campaigns to
intel) conflicts, events and
geopolitical pressures

Operiational How? Medium Mixed Whole malware Short from writing,


Where? (one year (both realy) families threat bulleted lists, about:
plus) groups human persistence and
behavior analy- comms
sis (and tactical technique, victims,
intel) group profiles,
family profiles, TTP
descriptions, triggers,
patterns, and metho-
dology rules

Tactical What? Short Technical Security events, Atomic and


(months) individual machine-readable
malware indicators such as
samples, IPs, domains, IOCs,
phishing emails, «signature»
attacker in-
frastructure

2
Cyber Threat Intelligences types and application

1Anomali https://www.anomali.com/blog/what-is-threat-intelligence

_ 16 www.devoteam.com
Pour implémenter une démarche de CTI, il est essentiel d’en comprendre
l’essence et de se poser les bonnes questions :

• Quel est l’objectif final que je cherche à atteindre ?

• A qui mon analyse finale est-elle destinée (niveau) ?

• Quels sont les outils dont j’ai besoin ?

• Quelles sont les sources potentielles pouvant me fournir des données,


informations et renseignements ?

• Quelles sont mes requêtes ?

• Qui sont mes adversaires potentiels ?

Dresser la liste des éléments encadrant la recherche permet d’accompagner la


démarche de renseignement et faciliter l’OSINT.

1. Orientation
et planification
Expression des décideurs,
des opérationnels et des
métiers
2. Collecte
de données
Mise en place de
capteurs internes et
externes
3. Traitements
des données
Structuration, corréla-
tion, enrichissement des
données colléctées en
information
4. Analyse
et production
Contextualisation, in-
terprétation, évaluation
et transformation des
informations en rensei-
gnement.
5. Diffusion
et feedback
Partage du renseigne-
ment généré auprès de
différents acteurs et re-
tours sur la pertinence
du renseignement.

3
Cyber Threat Intelligences types and application

3Produit par Devoteam sur la base de la source suivante :

https://medium.com cyberthreatintel/cycle-du-renseignement-threatintel-7dc26a168c0f

La threat intelligence _ 17


En s’intéressant de près à la criminologie, la Threat Intelligence permet de croiser
un grand nombre de données pour dresser une typologie criminelle, faciliter la
prévention des menaces et à défaut l’appréhension des auteurs. Ces enjeux sont
pris très au sérieux par les institutions administratives, en témoigne un spot de
prévention d’Europol4, visant à sensibiliser à l’IMINT. On y apprend, de façon épu-
rée, à distinguer les éléments permettant d’identifier un lieu, une identité ou un
objet significatif. L’agrégation des différents retours des internautes permettent
ainsi de créer un lien, un fil conducteur, et par voie de fait, une piste fiable.

Il existe plusieurs niveaux de CTI permettant d’ac-


croître son efficacité et la mise en application. Puisque
chaque niveau correspond à une dimension particu-
lière, la CTI n’est pas applicable de façon uniforme
et universelle, mais est adaptable et spécifique au
contexte. L’anticipation et la détection des menaces
réside donc dans une démarche qui se répand sur
plusieurs strates, de l’observation individuelle à au
profiling de groupes organisés, de l’individu à la direc-
tion stratégique.

4Europol : https://www.youtube.com/watch?v=YVIHBDFLPUw

_ 18 www.devoteam.com
La threat intelligence _ 19
L’AVENIR DE L’OSINT FACE
AU CLOISONNEMENT DE
L’INFORMATION

La démarche, ou plutôt l’état d’esprit comme le nomme à juste titre


NicoDutchOSINT5, a amorcé sa transformation depuis 2018 et l’avènement du
RGPD. Avec le règlement européen s’accompagnent des impératifs juridiques qui
limitent fortement la mise en application de de l’OSINT et de la CTI. Si ces deux
disciplines puisent leurs fondements dans la collecte de données en source
ouverte, ce n’est pas pour autant que la manipulation de ces données ne repré-
sente pas une menace pour les droits individuels. En ce sens, la mise en application
du RGPD pose un véritable problème de posture et de mise en conformité pour les
professionnels et les entreprises opérant dans ce milieu. Si la discipline est sédui-
sante, de nombreux pratiquants collectent et stockent des données sans recon-
naître de responsabilité vis-à-vis de ces mêmes données. Pourtant, le propre de
la démarche est justement de l’appliquer en conformité avec la réglementation
en vigueur.

Quelques principes6 du RGPD imposent à la pratique de l’OSINT certaines


restrictions :

• Le premier principe est celui de • S’assurer de la qualité de l’infor-


légalité, justice et transparence : mation avant de la traiter et la
l’information ne doit pas être classifier
obtenue de façon illégale. Afin de
prouver la légalité de sa collecte, • Définir une date de conservation
il est important de la documenter des données en accord avec la
réglementation en vigueur
• Limiter l’usage des données au
but de leurs collectes (in extenso • Garantir l’intégrité et la
ne pas en refaire usage) confidentialité des données
stockées
• Ne collecter que le strict
minimum de données, nécessaire • Garantir et respecter les droits
à l’accomplissement du mandat des cibles de la collecte de
données.

5NicoDutchOSINT : https://medium.com/secjuice/osint-as-a-mindset-7d42ad72113d
6Key Findings : https://keyfindings.blog/2019/06/11/how-gdpr-effects-osint/

_ 20 www.devoteam.com
Si le cadre légal du RGPD constitue un socle, l’encadrement de l’OSINT semble
toujours reposer sur un semi ‘vide juridique’ non fondé sur des interdictions. De
plus, la légitimité et le bien fondé de certaines collectes (dans un cadre policier par
exemple) semblent maintenir la discipline à flot.

Toutefois, son encadrement a pris un nouveau tournant en février 2019, lorsque


des utilisateurs de Twitter révèlent au grand jour des projets militaires de l’Indian
Air Force. Les investigations en open source, couplées à la curiosité de certains
utilisateurs pour l’aéronautique, ont permis de révéler des déplacements tactiques
de l’armée indienne, à travers des outils en libre accès tels que flightradar247. Dès
lors, se pose la question du risque poussé par l’OSINT et des dangers qu’elle sus-
cite par sa capacité à révéler et populariser des enjeux discrets mais néanmoins
hautement stratégiques et sécuritaires.

Une nouvelle étape fut franchie en Juin 2019, alors qu’un grand nombre d’outils
ont été censurés et que de nombreux acteurs du milieu se sont vus bannir de cer-
tains réseaux sociaux. C’est d’abord “Facebook Graph”, le célèbre outil de crawling
sur Facebook, qui en a fait les frais. Cet outil permettait notamment de recueil-
lir de nombreuses informations sur les utilisateurs du réseau social grâce à des
algorithmes très simples, sans que ceux-ci mêmes ne sachent que ces informa-
tions existaient. Stalkscan, le website dédié à l’observation de ce même réseau,
a également restreint ses possibilités d’utilisation. Dans la même veine, Michael
Bazzel, professionnel réputé en matière d’OSINT, a également vu son site et ses
outils retirés, après un mois d’attaques DDOS et sous pression de l’administration
américaine.

A peine une semaine après ces évènements, c’est au tour de la communauté Twit-
ter de l’OSINT d’en faire les frais. Un grand nombre de comptes ont été suspendus,
quand ils n’ont pas été supprimés, sur la base de “potentielle violation de la loi”.
On peut retrouver une liste de ces comptes ici8.

L’OSINT, pratique indispensable à la bonne applica-


tion de la Cyber Threat Intelligence, est extirpée de
force de son âge d’or pour faire désormais l’objet
d’une chasse aux sorcières. Toutefois, cette pratique
comporte une dimension crisogène dans son essence
même : accéder à des informations normalement pri-
vées ou dissimulées (mais légalement) permet certes
d’anticiper, mais pose également un problème de
confidentialité que le RGPD tente d’encadrer.

7FlightRadar24 : https://www.flightradar24.com/51,-2/6
8Alexander Haynes blog : https://www.alexandersmhaynes.com/blog/osint-community-twitter-suspensions-crackdown-on-independent-reporting

La threat intelligence _ 21


CONCLUSION

La pratique de l’OSINT, in extenso l’application de la CTI, fait face à une double


dynamique pour le moins ambivalente. D’une part, la tendance générale est
au cloisonnement de l’information et à la réduction au maximum des outils
permettant l’exploitation de sources ouvertes. Cela se traduit à la fois par la
censure des ces mêmes outils et par celle des professionnels du milieu. La peur
généralisée de la fuite d’information, en particulier lorsqu’elle touche des domaines
hautement stratégiques (les déplacements militaires en sont un exemple), semble
prendre le pas sur l’accès à l’information (qui, pour rappel, est une composante de
la liberté d’expression).

D’autre part, si cette tendance apparaît comme légitime dans le cadre d’une
protection toujours plus accrue des actifs informationnels, elle porte néanmoins
en elle les germes de la disgrâce de l’OSINT et de l’investigation. En effet, ce
mouvement de rétention implique nécessairement une baisse de moyens dans la
recherche d’information, et donc dans la détection des menaces. In fine, c’est la
pratique de la CTI en entière qui est affectée.

Pourtant, ces disciplines restent nécessaires, notamment dans le cadre de


la traque de criminels, cyber ou non. En témoigne la diffusion le 21 juin par la
‘Visual Investigation Team’ d’une vidéo déconstruisant l’assassinat de Jamal
Khashoggi grâce à l’IMINT9, appuyant par la même les origines suspectes de sa
mort.

La fin de cet “âge d’or de l’OSINT” n’est pourtant pas dénué de conséquences
à court terme. Elle marque le renouveau de l’espionnage industriel : le besoin
d’information ne faiblit pas et de nouvelles méthodes, parfois moins élégantes,
risquent de revenir sur le devant de la scène (bien qu’elles n’aient jamais
totalement disparu). Et ce “besoin d’information” est palpable et perceptible à
travers la demande croissante d’informations “instantanées” par le consomma-
teur, faisant les choux gras de certains médias. Cette tendance constitue un
véritable challenge pour l’OSINT et sa communauté, qui doivent faire face à un flux
d’information toujours plus important et aux sources toujours moins fiables.
N’importe qui peut poster n’importe quoi, entraînant et amplifiant la propagation
de rumeurs et autres fakes news. Désormais, sourcer une information et s’assurer
de la crédibilité d’une donnée prennent plus de temps que la phase de collecte.
9 Global Investigative Journalism Network : https://gijn.org/2019/06/21/how-the-new-york-times-tracked-public-data-to-produce-killing-khashoggi/

_ 22 www.devoteam.com
Pour pallier cette évolution à la baisse, la communauté OSINT va devoir s’adap-
ter et transformer ses pratiques, notamment en dérivant plus largement vers des
outils de renseignement s’intéressant à d’autres sources et flux, en particulier la
GEOINT. Si la mise en application de cette discipline sera plus ardue pour les petits
budgets, on peut également compter sur un accroissement de la communautari-
sation de la discipline ainsi que sur une mise en commun des outils et des sources.
Certes l’OSINT perd du terrain, mais plus la communauté est menacée, plus elle
resserre ses liens. En témoigne le lancement du projet

OpenCTI10 en 2018, projet qui vise à “stocker, organiser, visualiser et partager des
connaissances sur les cybermenaces”.

D’autres pistes génériques apparaissent viables au demeurant, mais peuvent sem-


bler fantasques. En premier lieu, cela peut sembler surréaliste, mais l’opérateur
OSINT va devoir se re-focaliser sur l’humain. La fermeture d’un certain nombre
de sources ouvertes force l’homme à se recentrer sur l’autre. En d’autre termes,
l’opérateur doit comprendre son semblable et ses comportements pour pouvoir
s’alimenter en information. Si cela peut sembler évident au premier abord, il est
en réalité plus complexe d’obtenir des renseignements humain (HUMINT) que de
collecter des données, et sous-tend de prendre certaines dispositions morales.
Matthias Wilson attribue cette dynamique à l’avènement des réseaux sociaux, et
théorise une nouvelle forme de renseignement, la virtual HUMINT (VUMINT). La
VUMINT représente une prise d’information de source humaine par l’infiltration de
réseau social.

En sus de l’OSINT, plusieurs pistes opérationnelles permettent de maintenir la


pratique de la CTI à flot. Pour cela, il convient de prendre un peu de hauteur et
d’analyser l’ensemble de l’environnement d’une cible pour évaluer sa visibilité et sa
surface d’attaque. Être en capacité de donner un niveau d’exposition, de référen-
cement et de menace, à travers des outils et supports spécifiques, peut permettre
de combler le déficit d’informations.

10 OpenCTI Platforme : https://www.opencti.io/fr/

La threat intelligence _ 23


Ce renforcement de l’analyse de l’environnement se caractérise par trois phases,
stratégiques, managériales et opérationnelles :

• Un rapprochement inévitable entre • Une stimulation de la créati-


les directions cyber et les directions vité. Comme de nombreuses
sûreté. Approfondir le knowledge disciplines, la pratique de l’OSINT
management entre ces deux et de la CTI repose avant tout
métiers est essentiel, car tous deux sur la créativité et l’imagina-
approchent la sécurité, chacun avec tion des opérateurs. C’est la
ses propres outils et méthodes. capacité à créer du lien entre dif-
Pourtant, le monde de la sûreté, férents renseignements, à valider
traditionnellement proche de celui des sources fiables et les croiser,
de l’intelligence économique, voit à s’adapter à des environne-
ses codes changer et ses enjeux ments complexes et évolutifs, qui
se déplacer vers un terrain numé- permettront à ces disciplines
rique. L’interpénétration de ces de rester incontournables
deux entités et la mise en commun en matière de détection des
des savoirs permettra de garantir menaces.
cette “prise de hauteur” et combler
le besoin en renseignement.

• Une évolution des méthodes.


Pour pallier le trop grand flux
d’information et pouvoir
fact-checker efficacement les
renseignements, les opérateurs
vont devoir faire évoluer leurs
méthodes de travail pour per-
mettre d’identifier précisément
les sources fiables. La “Gap
analysis”, soit l’analyse par l’écart,
constitue en ce sens une solution
efficace. Il s’agit d’un outil utilisé
pour évaluer les informations,
identifier les lacunes et définir
des orientations, à travers une
série de questions.

_ 24 www.devoteam.com
La threat intelligence _ 25
A PROPOS DE
DEVOTEAM
Devoteam acteur du conseil en
technologies innovantes et en mana-
gement des entreprises. Nos 7 000+
professionnels sont engagés à faire
gagner la bataille du digital à nos
clients. Présent dans 18 pays d’Europe
et du Moyen-Orient et fort de plus de
20 ans d’expérience, nous mettons la
‘Technologie au service de l’Homme’ afin
de créer de la valeur pour nos clients,
nos partenaires, et nos employés.
Devoteam a réalisé en 2018 un chiffre
d’affaires annuel estimé de 652,4 M€.

Chez Devoteam, nous sommes


“Digital Transformakers”.

Copyright 2019 devoteam


© Devoteam S.A

Société anonyme à directoire et


Conseil de Surveillance au capital de
1 527 761 € RCS
Nanterre sous le numéro :
402 968 655
Siège social/HQ :
73 Rue Anatole France 92300
Levallois-Perret
Email:
communication@devoteam.com
Tel : 01 41 49 48 48
Directeur de la publication :
Nicole Anschutz

_ 26 www.devoteam.com
CONTACTS

Julien Bui
Cybersecurity Consulting Director
Devoteam

Paul Barbe
Cybersecurity Expert Director
Devoteam

Leo Coqueblin
Cybersecurity Strategy Consultant
Devoteam

La threat intelligence _ 27


LIENS

Sources :
https://www.marines.mil/Portals/59/Publications/MCRP%202-10B.5%20(Formerly%20MCWP%202-21).pdf?ver=20 16-06-27-121606-730

http://www.medef92.fr/uploads/media/node/0001/09/b492a1da9451285b4cec792704189a7ba35410a0.pdf

http://lignesdedefense.blogs.ouest-france.fr/files/E%CC%81le%CC%81ments%20publics%20de%20doctrine%20militaire%20de%20lutte%20informatique%20offen-

sive%20%20.pdf

https://tacticaltech.org/media/Personal-Data-Political-Persuasion-How-it-works.pdf

https://www.youtube.com/watch?v=YVIHBDFLPUw

https://www.opencti.io/fr/

Biblio :
https://www.anomali.com/blog/what-is-threat-intelligence

https://securitytrails.com/blog/what-is-osint-how-can-i-make-use-of-it

https://securityintelligence.com/threat-intelligence-in-the-age-of-cyber-warfare/

https://securityintelligence.com/security-intelligence-at-the-strategic-operational-and-tactical-levels/

https://www.openaccessgovernment.org/finding-cybersecurity-threats-with-open-source-intelligence/55608/

https://observatoire-fic.com/cyber-threat-intelligence/

https://osintcurio.us/2019/04/18/basic-opsec-tips-and-tricks-for-osint-researchers/

https://www.secjuice.com/threat-intel-stix-couchbase/

https://www.cisecurity.org/blog/what-is-cyber-threat-intelligence/

https://information.tv5monde.com/info/cyber-defense-la-france-passe-l-offensive-280713

https://www.cairn.info/revue-politique-etrangere-2018-2-page-15.htm

https://keyfindings.blog/2019/06/11/how-gdpr-effects-osint/

https://www.news18.com/news/tech/government-order-or-usage-policy-understanding-twitters-suspension-of-osint-reporters-2194579.htmlhttps://www.

cesar-conference.org/wp-content/uploads/2017/11/CESAR_2017_321_Chanaa_Mouchoux.pdf

https://www.alexandersmhaynes.com/blog/osint-community-twitter-suspensions-crackdown-on-independent-reporting

https://www.openaccessgovernment.org/finding-cybersecurity-threats-with-open-source-intelligence/55608/

https://medium.com/secjuice/osint-as-a-mindset-7d42ad72113d

https://gijn.org/2019/06/21/how-the-new-york-times-tracked-public-data-to-produce-killing-khashoggi/

https://www.linkedin.com/pulse/trouble-brewing-osint-paradise-henri-beek-cpo/

https://booleanstrings.com/2019/06/10/bye-facebook-graph-search/

https://mailchi.mp/8e9d42744b9a/newsletter_eeie_01

https://nixintel.info/osint/using-gap-analysis-to-keep-osint-investigations-on-track/

http://www.circleid.com/posts/20190606_threat_intelligence_understanding_adversaries_and_threats/

https://keyfindings.blog/2019/01/04/the-golden-age-of-osint-is-over/

https://www.flightradar24.com/51,-2/6

_ 28 www.devoteam.com
#TechforPeople

La threat intelligence _ 29

Vous aimerez peut-être aussi