L’After-work ayant été intitulée « celui qui est Aware », Cyrille Badeau a diffusé en préambule la fameuse interview de Jean-Claude Van Damme durant laquelle il explique avec ses mots et son style l’intérêt vital d’être "Aware"…

La présentation débute par un parallèle entre le la sécurité nationale et la sécurité IT mettant en évidence un grand nombre de points communs : Pour les deux, le périmètre à protéger s’inscrit dans un ensemble plus vaste mal maitrisé (des frontières poreuses au sein d’un espace Schengen pour la première et un périmètre étendu vers des partenaires, clients, infrastructures Cloud pour la deuxième). La libre circulation des personnes et des biens dans l’espace Schengen se compare à la mobilité des utilisateurs et la large diffusion des données dans l’IT. Enfin, le risque à considérer a également des points communs : Une attaque terroriste au cœur de Paris réalisée par des ressortissants Européens mais commanditée par un ennemi distant correspond bien à une logique d’attaque type APT réalisée à partir d’identités valides mais usurpées au sein du réseau ou grâce à une complicité interne. L’idée centrale est : « seule l’utilisation d’un service fort de renseignement peut permettre à un pays de maitriser le risque terroriste dans de telles conditions. Il doit en être de même pour la sécurité IT ».

Puis Cyrille Badeau explique ce qu’est la Threat Intelligence. Pour lui c’est la science qui étudie la menace (l’attaque) en s’intéressant à ses phases, ses origines, ses propriétaires, ses victimes et ses évolutions. Il représente les attaques comme des molécules complexes formées de multiples atomes correspondant chacun à une action ou à un élément (IP, Malware, domaine…). Il explique que la molécule correspond au savoir faire de l’attaquant (TTP pour Technique, Tactique et Procédures). La molécule (le TTP) évolue peu alors que les atomes constituants peuvent être inter changés régulièrement. Il insiste en disant que toutes nos défenses actuelles (NGFW, IPS, MailGateway …) ne sont capables de détecter qu’atome par atome ce qui est le talon d’Achille de nos défenses actuelles.

La Threat Intelligence outil d’aide à la décision des SOC

Cette bibliothèque des « molécules » doit être intégrée aux outils et processus du SOC. Dès qu’un évènement est remonté dans le SIEM (un atome a été détecté par l’infrastructure) et qu’un analyste de niveau 1 a une décision à prendre, la consultation de la bibliothèque lui permet de décider s’il/elle doit créer un ticket et amorcer une gestion d’incident. La création de ticket d’incident permet de créer un point d’entrée dans la bibliothèque pour l’analyste de niveau supérieur. Depuis cet accès, il ou elle peut obtenir rapidement la photo de la molécule complète, c’est à dire l’ensemble des indicateurs connexes qui correspondent aux autres phases de la même attaque suspectée. L’exportation de cette photo complète vers le SIEM et vers les outils de détection permet de « Scoper » l’attaque et de prendre la mesure de l’infection dans le réseau.

Cyrille Badeau explique que la bibliothèque peut également permettre d’influencer la priorité des évènements dans le SIEM a priori. Il est possible d’automatiser la distribution d’indicateurs de compromission provenant de sources particulières (comme les bulletins d’alerte du CERT FR par exemple). Ainsi, un évènement remonté au SIEM et lié directement ou indirectement à un bulletin provenant du CERT pourra etre traité par les analystes en priorité.

Il faut comprendre les techniques d’attaques pour mieux anticiper et construire sa défense

Par ailleurs, Cyrille Badeau explique que pour mettre en place une véritable stratégie de défense, il faut repérer et étudier les techniques d’attaques des pirates afin de trouver des politiques de sécurité adaptées. Ceci permet d’investir dans des bonnes solutions de sécurité qui seront fonction des types d’attaques subies (une étude statistique des évènements gérés par le SOC permet de faire ressortir des tendances évidentes sur les adversaires, les campagnes et les techniques qui nous ciblent tout particulièrement).

Cette étape ultime s’appelle le strategic planning, c’est à dire la capacité d’organiser ses défenses en fonction de la réalité des sources d’attaques subies et de la mesure des capacités actuelles à s’en protéger. Mieux comprendre son ennemi et mesurer nos propres capacités de défense pour mieux penser l’évolution de notre sécurité IT.

En conclusion, il a donné un exemple d’une entreprise aux Etats-Unis qui a annoncé le rachat d’une autre entreprise. Durant les délais de trois mois nécessaires à la Due Diligent, l’acquéreur s’est aperçu après coup que deux filiales de l’entreprise acquise avaient subis des attaques par les pirates qui les ciblaient habituellement. De ce fait, l’acquéreur a changé ses process lors d’acquisition en mettant à disposition des entreprises acquises sa propre bibliothèque de Threat Intelligence.