Cyber

Cyber Threat Intelligence, ou pourquoi faire équipe apporte une meilleure cybersécurité ?

L’Union fait la force, l’entreprise TEHTRIS l’a bien compris en faisant le choix de s’allier à la Cyber Threat Alliance, aux côtés d’autres experts du domaine et d’apporter la puissance de la TEHTRIS XDR Platform, de partager ses marqueurs uniques, à forte valeur ajoutée, afin de contribuer à offrir un monde numérique plus sûr.

Qu’est-ce que la Cyber Threat Intelligence ?

La CTI ou Cyber Threat Intelligence est une activité qui vise à fournir un maximum de renseignements sur la menace cyber, tant d’un point de vue technique que tactique ou opérationnel.

Si nous reprenons la définition de Gartner : « Les capacités de renseignement sur les menaces peuvent rendre votre entreprise numérique plus résiliente. Les responsables de la sécurité et de la gestion des risques devront évaluer les capacités et les caractéristiques des offres de TI et les faire correspondre aux besoins de leurs programmes de sécurité en fonction des cas d’utilisation décrits dans cette recherche »*

Comment fonctionne la Cyber Threat Intelligence
Comment fonctionne la Cyber Threat Intelligence

La Threat intelligence permet :

  • Une meilleure protection des systèmes d’informations et des données sensibles de l’entreprise.
  • Une meilleure compréhension de la menace et une meilleure anticipation des attaques.
  • Une meilleure capacité de réaction et de prise de décision.

Le schéma ci-dessus présente de manière simplifiée ce qu’est la Cyber Threat Intelligence, au travers de ses trois piliers que sont le renseignement tactique, opérationnel et stratégique qui permettent aux décideurs à réagir vite et bien. La partie stratégique offre une vision du risque et appuie la prise de décision pour le mitiguer. Pour chacun, nous faisons le lien avec les données de sortie et l’audience visée.

Comment fonctionne la Threat Intelligence ?

TEHTRIS CTI a un impact transverse grâce à son intégration native à la TEHTRIS XDR Platform. En effet, les différentes briques de la XDR Platform, comme TEHTRIS EDR, MTD, etc. peuvent venir interroger la CTI afin de qualifier un élément potentiellement malveillant, et donc d’y remédier en cas de besoin. Nos différents modules vont permettre d’alimenter notre équipe de renseignement. Cette vision au plus près de la souche, au plus près de l’endpoint et donc de l’utilisateur est notre différenciant. Cela nous permet d’avoir cette capacité d’obtenir des données exclusives, et ainsi d’anticiper de nouvelles signatures. En septembre 2021, TEHTRIS CTI contenait 200 Millions d’entrées qualifiées (chiffre qui n’a cessé d’augmenter depuis sa création en 2013).

TEHTRIS Cyber Threat Intelligence est le résultat d’un traitement unique de millions d’indicateurs collectés au plus proche du terrain et qui sont systématiquement analysés, enrichis et corrélés pour fournir aux clients TEHTRIS et à tous les acteurs du programme de CTA une capacité d’analyse, de hunting et d’investigation sans précédent.

L’intérêt de la Cyber Threat Intelligence

La professionnalisation des groupes opérant les rançongiciels, la maturité des attaquants, et leur nouvelle capacité d’organisation (formation de cartel, RaaS, etc…) justifient l’importance de s’allier, afin de mieux anticiper, prévenir et neutraliser les menaces.

Si l’on devait synthétiser le panorama de la menace la plus redoutée actuellement, il pourrait se présenter ainsi :

  • Les attaques de ransomware
  • Les attaques de la supply chain
  • Les attaques par déni de service

Même si la menace la plus importante en volume aujourd’hui reste encore l’attaque par déni de service, qui est la plus simple à mettre en œuvre pour des attaquants débutants ou par des concurrents sans scrupule, il est évident que les attaques par ransomware sont particulièrement préoccupantes. On estime, par exemple, à 4000, le nombre moyen d’attaques de ransomware par jour aux USA en 2020 ! Le total des attaques en 2020 dépasse les 300 millions…

Cependant, l’une des menaces émergentes de ces 12 derniers mois, est sans conteste celle qui vise les chaines d’approvisionnement logicielles (Software Supply Chain).

Tout le monde a encore en mémoire les attaques contre SolarWinds et Kaseya, qui ont impacté plus de 20 000 grandes entreprises et administrations dans le monde, dont des entités très sensibles comme certains services gouvernementaux critiques.
Les effets secondaires de ces 2 attaques ne cessent encore aujourd’hui de provoquer des dommages collatéraux.

Aujourd’hui, il apparaît évident que ces deux attaques ont été orchestrées et menées par des groupes extrêmement puissants, organisés et riches, et donc sans aucun doute sponsorisés par des états. Et même si les attaques des groupes APT restent parmi les plus compliquées à détecter, certaines traces (comme des TTP ou des malwares utilisés) auraient pu alerter les analystes cyber et les mettre en éveil. L’importance de la CTI n’est donc plus à expliquer. Et l’évidence de la mutualisation n’est plus à démontrer. Si tous les acteurs connaissant les derniers TTP de ces groupes hostiles les avaient partagés, il aurait peut-être été plus simple de réagir à temps.

« Cependant, l’une des menaces émergeantes de ces 12 derniers mois, est sans conteste celle qui vise les chaines d’approvisionnement logicielles (Software Supply Chain). »

Qu’est que la Cyber Threat Alliance ?

La Cyber Threat Alliance se défini comme « une organisation à but non lucratif qui s’efforce d’améliorer la cybersécurité de notre écosystème numérique mondial en permettant le partage d’informations de haute qualité et en temps quasi réel sur les cybermenaces entre les entreprises et les organisations dans le domaine de la cybersécurité. »

Voici le principe de base de la CTA :

En quoi consiste la Cyber Threat Alliance ?
En quoi consiste la Cyber Threat Alliance ?

L’objectif premier de la Cyber Threat Alliance est de donner à chaque membre un accès à du cyber renseignement de qualité via une plateforme mutualisée et maintenue par le consortium.

Cette plateforme automatise la collecte et la contextualisation des informations sur les menaces.

Ainsi du renseignement jusqu’ici abstrait ou inconnu de certains, devient concret, contextualisé et exploitable immédiatement : on parle de cyber renseignement activable, améliorant l’analyse, la détection et le déploiement de stratégie de réponses pour les équipements de protection.

Plus globalement, cette initiative permet d’harmoniser qualitativement le cyber renseignement utilisable, d’en étendre les pratiques d’utilisation au plus grand nombre, et donc de renforcer les capacités de lutte contre la cybercriminalité.

Comme l’indique, J. Michael Daniel-Président & CEO Cyber Threat Alliance :

« Quelle que soit sa taille, quelle que soit sa capacité, aucune organisation n’a une visibilité complète sur Internet ou le cyberespace. Différentes entreprises et organisations ont des perspectives, des sources d’information et des méthodologies de suivi différentes. Pourtant, l’analyse et l’atténuation des menaces bénéficient d’une base d’informations aussi vaste et diversifiée que possible. Par conséquent, le partage de renseignements sur les menaces est un élément essentiel d’une cybersécurité efficace. C’est le seul moyen d’obtenir la visibilité dont vous avez besoin et de fournir des produits et services efficaces aux clients. « 

Les belles réussites du programme Cyber Threat Alliance

ORG Impact Awards

Cette organisation alimente les missions des organisations du monde entier dont le but est d’avoir un impact positif sur les communautés qu’il sert.

La CTA a été nommée finaliste dans la catégorie « Promouvoir un Internet plus sûr ».

Dont le but est « d’améliorer la sûreté et la sécurité de l’écosystème numérique grâce au partage et à la collaboration des renseignements sur les menaces. »

Le cas Kaseya

2 septembre 2021, Kaseya est victime d’une cyberattaque de la chaîne d’approvisionnement. L’attaque de ransomware a été identifiée comme une attaque de ransomware REvil

Les membres du CTA ont pu partager des informations et des analyses sur cet incident via le programme Early Sharing. Ils ont mis en avant l’attaque zero-day contre les MSP utilisant le produit VSA et l’attaque de la chaîne d’approvisionnement de services qui exploite la plate-forme VSA. Le CTA a permis de rassembler des rapports de menace, des articles de blog des conseils sur les protections et proposer des mesures d’atténuation.

Alliance TEHTRIS et CTA

TEHTRIS, qui a compris depuis longtemps l’importance d’intégrer du contexte dans sa détection, a décidé d’en faire bénéficier d’autres spécialistes du domaine afin d’améliorer, encore une fois, les capacités de détection et d’anticipation de chacun.

L’entreprise offre donc à l’alliance une partie de son cyber renseignement collecté par sa technologie unique et innovante qu’est sa solution XDR. Elle apporte une vision extrêmement précise de la menace, car nous sommes au plus près du endpoint et de l’utilisateur, cibles privilégiées des attaquants.

En retour, TEHTRIS CTI peut bénéficier du cyber-renseignement produit par d’autres professionnels d’autres secteurs, et pourra donc en faire profiter l’ensemble de ses clients. C’est une réelle plus-value que la pépite Bordelaise va pouvoir apporter à ses partenaires et à ses clients.

TEHTRIS et la Cyber Threat Alliance
Comment fonctionne l’alliance TEHTRIS et de la CTA

Ce projet est totalement en phase avec les valeurs de partage de l’entreprise, car il permet de :

  1. Améliorer la qualité de notre arsenal cyber défensif, pour un meilleur service et une meilleure protection des utilisateurs finaux (car amélioration des connaissances de TEHTRIS CTI) ; en ayant une meilleure connaissance et compréhension de l’environnement des cyber menaces, en renforçant notre connaissance sur les renseignements exploitables ; mais aussi en poursuivant notre travail d’amélioration de nos outils et service, notamment, l’automatisation et la réduction du temps de détection et de réponse , en assurant la sécurité, la disponibilité, l’intégrité des SI. Ce partage en temps réel d’information entre partenaires du même milieu ou pas, nous permettra encore de fournir une prestation de haute qualité.

    Les dernières attaques montrent la nécessité d’avoir des solutions toujours plus robustes, comme l’est notre XDR. La posture de la société TEHTRIS repose sur cette mise en place de solution résiliente de protection des systèmes.

  2. Participer à une stratégie plus globale pour promouvoir et améliorer la cybersécurité à l’échelle mondiale. Tous les membres sont contributeurs, ce qui est un des principes fondamentaux de l’alliance.
  3. Par sa souveraineté, TEHTRIS sait trouver la ligne de conduite appropriée pour partager du renseignement qui contribue à renforcer la cyberdéfense.

    TEHTRIS développe des synergies entre acteurs de secteurs d’activité différents, de secteurs géographiques différents, et ainsi renforce l’intégration des pays Européens dans le tissu économique mondial, favorise une montée en compétence dans l’écosystème cyber. L’Europe a atteint une maturité en cyber et compte bien faire entendre sa voix, et se démarquer, en prouvant sa capacité à réagir face à une menace, en apportant sa pierre à l’édifice dans le cadre, entre autres, du programme CTA.

Conclusion

Par cette union, nous mettons d’une part mettre au service de la CTA nos compétences, notre expertise, et notre détermination à œuvrer de concert avec les autres partenaires afin de lutter contre la cybercriminalité. D’autre part, nous participons à la mise en avant l’implication de l’Europe dans la construction d’une stratégie en Cyber renseignement. Nous démontrons notre place au rang de puissance numérique ; il faut désormais compter sur cette alliance  comme acteur majeur de la stratégie de lutte contre la cyber-criminalité.

*Market Guide for Security Threat Intelligence Products and Services

Published 20 May 2020
By Craig Lawson, Brad LaPorte, John Collins, Mitchell Schneider, Ruggero Contu