Le Renseignement et l'Analyse de la Menace (RAM, ou, « Threat Intelligence » ou juste « Threat Intel ») consiste à collecter des données relatives à des menaces, les trier, les corréler, les enrichir avant de les analyser dans leur contexte « spatial » - l'entreprise ou l'organisation – et « temporel » - à la date d'un incident par exemple. Mais les données numériques ne sont pas immuables et peuvent changer en l'espace de quelques mois. Comment réaliser une analyse pertinente d'une menace quand on a affaire à des données « mortes » ?
Le renseignement sur les menaces désigne en même temps le traitement précédemment décrit et le produit de ce traitement, produit qui permettra de décider d'agir - ou non - sur cette menace.
Cette activité est en plein essor au sein des équipes dédiées à la cybersécurité et la cyberdéfense. La multiplication des cas d'attaques ciblées n'est pas étrangère à cela et on aurait tort de n'y voir qu'un phénomène de mode. De plus en plus d'entreprises ou d'organisations ressentent le besoin de savoir qui leur en veut ou tout du moins quelles sont les motivations et objectifs poursuivis par leurs cyber-adversaires, ne serait-ce que pour adapter leurs dispositifs de protection en conséquence.
Si le mot « renseignement » fait penser à James Bond, au Bureau des légendes… ou à OSS117, dans les faits cette activité est menée de façon tout à fait légale par de plus en plus de CERT ou de CSIRT.
Telle est, grosso modo, la mission dévolue à la RAM. Nous...
