Académique Documents
Professionnel Documents
Culture Documents
Cyber Threat Intelligence
Cyber Threat Intelligence
Plan de Travail :
Le cycle de vie de CTI vise à transformer les données brutes en des informations finales et utilisables
permettant les organisations de prévenir les cybers menaces.
1. Direction :
La direction est la première étape du cycle de vie de Cyber Threat Intelligence , au niveau
de cette phase on définit les but du programme threat intelligence basée sur les besoin de
l’organisation (Quoi protéger, les priorités..)
La collecte est la deuxième étape du cycle de vie de CTI. Cette étape est fondamentale, au
niveau de laquelle la collecte des données s’effectue à partir des sources internes ou externes, soit
en récupérant les métadonnées et journaux (logs) à partir du réseau interne de l’organisation ou
capturer des informations sur des incidents de sécurité pertinents (OSINT).
Le but de cette étape est de mieux comprendre les données collectées et traitées, identifier
les attaques potentielles et évaluer la gravité des menaces. Les principaux aspects de la phase
d’analyse :
5. Diffusion :
Cette étape consiste à partager les renseignements des menaces fournies aux parties
prenantes afin de prendre les mesures appropriées et renforcer la sécurité.
6. Feedback ou Rétroaction :
Cette phase est la dernière étape du cycle de vie de CTI est essentielle pour garantir une
amélioration continue du processus global.
1. Cycle de vie de CTI
2. Etude Comparative :
MISP (Malware Information Sharing Platform) est une plateforme de cyber threat
intelligence open source permet la collecte et le partage des données (IoC) aux
parties prenantes .
Bien que MISP propose une version gratuite, certaines fonctionnalités sont payantes
tel que l’analyse avancée des données.
OpenCTI (Open cyber threat intelligence) est une plateforme de cyber threat
intelligence open source permet la collecte, la normalisation et l’analyse des
données avec une gestion complète des menaces.
VirusTotal est une plateforme de cyber threat intelligence open source permet la
détection des fichiers et url malveillant en se basant sur une grande base d’antivirus.
OpenCTI semble la plateforme la plus adéquate offrant tout les services de collecte ,
normalisation et analyse, gratuite et offre une bonne gestion de menaces et
visualisation graphique des données .
1) installer OpenCTI sur un serveur physique (Suivre les étapes du site officiel et
la documentation de GITHUB)
4) Créer les entités qui représente le système d’information : les entités actives
(les serveurs de l’ONT, les postes de travail), les attaquants, des entités pour
représenter les IoCs, documenter les vulnérabilités.
Durée
Étape estimée Tâches
- Installation d'OpenCTI sur un serveur
Installation et 1à2 - Configuration d’un compte administrateur
configuration semaines - Configuration de la langue et de l'horaire
2à4 - Identification des sources de données internes et externes
Collecte des données semaines - Choix et installation des outils de collecte de logs (ELK Stack)
- Définition des types d'entités (actifs, attaquants, IoCs,
vulnérabilités)
- Création des entités
- Création des relations entre les entités et les techniques
Création des entités et 2à3 d’attaques (associer les menaces ou attaques aux entités
des relations semaines vulnérables)
- Identification des sources d'enrichissement
Enrichissement des 2à3 -ajouter des informations à partir des sources externe (IoC)
données semaines - Validation et correction des données enrichies
- Définition des formats de partage (STIX, TAXII)
- Création de rapports et de tableaux de bord
Partage des résultats 1 semaine - Communication des résultats aux parties prenantes