Prazis - Fotolia
La Cyberdéfense française s'arme d'une nouvelle gestion du renseignement sur les menaces
La plateforme de gestion du renseignement sur les menaces de ThreatQuotient est opérationnelle depuis l’été. La consommation de sa production doit encore s’industrialiser, mais les premiers bénéfices sont déjà observables.
C’est en 2016 que les premiers tests ont eu lieu. A cette période, plusieurs démonstrateurs – y compris à partir de plateformes open source – ont été réalisés, pour remplacer celle déjà déployée qui avait été développée en interne. La Défense française avait alors besoin de faire monter en puissance ses activités de gestion du renseignement sur les menaces informatiques.
Sébastien Bombal, officier Anticipation à l’Etat-major des armées cyberdéfense, explique que ce sont en fait les analystes qui ont décidé du choix de la plateforme de ThreatQuotient, convaincus par les fonctionnalités, les capacités d’importation et d’exportation, de gestion du cycle de vie des données, d’adaptation aux processus en place, et également par l’ergonomie. Car il le souligne : « ce n’est pas un produit technique ; c’est avant tout un produit métier ».
Simplifier le travail des analystes
De fait, le déploiement de ThreatQ n’avait pour finalité de réduire le nombre d’analystes, mais bien de leur permettre d’aller plus loin, plus efficacement. Et cela passe notamment par l’automatisation de certaines tâches, notamment celles liées à la vie des marqueurs et des attributs qui leurs sont associés : « le plus classique, pour nous, c’est la confidentialité. Un marqueur que l’on aurait eu en amont avec un certain niveau de sensibilité, peut être rendu public 3 mois plus tard dans un rapport d’éditeur d’antivirus. Alors tombé dans le domaine public, il n’a plus rien de confidentiel. Et cela nous donne d’autres marges de manœuvre dessus. Les modes opératoires et les méthodes de travail ne sont pas les mêmes selon le niveau de confidentialité ».
Ça, c’est pour la gestion des marqueurs, qui s’intègre au travail des analystes pour les enrichir et essayer « de savoir tout ce qui peut être connu sur les menaces » qui relève du domaine de la cyberdéfense.
Industrialiser la collecte
Mais ce n’est que l’un des trois volets de la gestion du renseignement sur les menaces. Le premier restant est la collecte. Pour cela, des sources ouvertes comme privées sont évidemment utilisées – « il y a beaucoup de choses disponibles dans la communauté, en libre comme en partenariats ». Mais il convient de filtrer pour « ne pas être noyé par des choses qui ne sont pas forcément pertinentes pour nous, comme du maliciel bancaire ».
Et là, la plateforme peut aider, notamment dans le traitement de fichiers non structuré tels que des PDF ou des feuilles de calcul : « l’aide à l’ingestion des rapports est précieuse. On évite d’être dans la copie, de faire des erreurs, ou encore de développer une énième solution maison pour essayer de gagner du temps ».
En entrée, la plateforme est également alimentée par l’infrastructure : « les marqueurs réseau, c’est assez simple. Les marqueurs systèmes, qui sont souvent plus pertinents, c’est parfois plus compliqué en raison des volumes, de l’hétérogénéité », notamment.
Puis l’exploitation
Le troisième volet concerne l’exploitation opérationnelle du renseignement. La plateforme ThreatQ est opérationnelle depuis l’été et les marqueurs ont déjà commencé à être poussés « au plus près de tous les équipements et de toutes les infrastructures susceptibles de les consommer : concrètement, ce peut être des listes noires sur les équipements réseau, les systèmes de protection périmétrique, les systèmes de détection et prévention d’intrusion sur les hôtes (HIDS/HIPS) ».
Pour les équipements exploitant des règles de détection, la situation s’avère toutefois un peu complexe, notamment du fait de l’hétérogénéité : « on peut exporter et pousser une règle, c’est pertinent pour de petites choses, mais ce n’est pas suffisant, surtout lorsque l’on a des marqueurs en grande quantité ». Là, des « efforts d’ingénierie locale » importants sont nécessaires.
Pour autant les bénéfices sont déjà là : « nous avons gagné en exhaustivité de la connaissance » de la menace. Mais cela vaut aussi pour celle de l’infrastructure. De quoi « savoir mieux détecter, disposer de vrais schémas de supervision ». Au final, Sébastien Bombal revendique donc « un effet complémentaire de gain d’efficacité dans toute la chaîne défensive ».
Pour approfondir sur Cyberdéfense
-
Airbus CyberSecurity : « faire de la détection sans renseignement sur les menaces c’est impossible »
-
Unifier l’administration des terminaux est-il encore une option ?
-
Gestion du renseignement sur les menaces : Sogeti mise sur Anomali
-
L’unification s’impose graduellement dans l’administration des terminaux