Quand la Threat Intel rencontre le DFIR – 2ème partie

Spécialité(s)


Résumé

Dans la première partie de cet article (MISC n°85) nous avons présenté la Threat Intelligence, ses concepts, ses outils. Dans cette seconde et dernière partie, nous passons à la pratique. Nous allons voir comment la Threat Intelligence opérationnelle peut aider et comment elle s'insère dans les activités de réponse aux incidents et d'investigation numérique (DFIR).


1. Et le DFIR dans tout ça ?

Les plus intello-sceptiques d’entre vous doivent être en train de se dire : « c’est bien beau, toutes ces notions, mais concrètement, comment je m’en sers pour améliorer ma réponse aux incidents ? ». Ce qui suit est un florilège d’exemples qui répondent très précisément à cette question, en s’aidant assez souvent de quelques modèles : la « Pyramid of Pain », le modèle F3EAD, ou encore la boucle OODA.

1.1 Le process IR classique

Cela ne fait jamais de mal de se rafraîchir les idées. Le processus de réponse aux incidents de sécurité informatique le plus connu est celui de la US Navy (encore ces militaires !), décrit en détail dans leur document « Computer Incident Response Guidebook ». C’est ce même modèle qui sera repris par l’institut SANS ou le NIST quelques années plus tard. Si ces reprises possèdent quelques différences sémantiques avec l’original, l’idée transmise est globalement la...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous