Qu’on se prenne pour James Bond ou pour un shaman, ce que notre industrie appelle la Threat Intelligence fait place à beaucoup de fantasmes que les vendors nourrissent joyeusement à chaque fois qu’un nouveau rapport est publié. Mais, concrètement, à quoi ça sert de « faire de la threat intelligence » ? Quelle est la différence par rapport au renseignement classique ? Quels sont les avantages concrets que le renseignement sur les menaces apporte lors de la gestion d’un incident de sécurité ? C’est ce que cet article cherche à expliquer, du point de vue de deux DFIRers.
1. La Troll Intelligence
Commençons par aborder certaines idées reçues sur la Threat Intelligence qui nuisent à la compréhension de la discipline et qui sont souvent la source de trolls bien velus.
1.1 Feeds. Feeds everywhere.
À écouter les forces de vente de sociétés de sécurité informatique ou en traînant l’oreille dans des conférences cyber « executives », la Threat Intelligence, c’est souscrire à des « Feeds ». Un feed, ou flux dans les allées de l’Académie Française, est une technique de distribution de données succinctes suite à un changement ou l'ajout de nouvelles données. Les flux ne sont pas destinés à être directement interprétables par un humain et nécessitent un agrégateur ou un interpréteur pour leur bonne lecture. Vous avez peut-être l’impression que nous sommes en train de parler de RSS, d'Atom et de syndication de contenus et vous auriez totalement raison !
Les Feeds donc, sont des « flux RSS » de...
