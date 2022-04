Whaller propose à ses partenaires une plateforme d’échange d’IOC (menaces cyber)

avril 2022 par Patrick LEBRETON

Les cyberattaques contre les entités gouvernementales, les entreprises ou encore les particuliers n’ont jamais été aussi nombreuses. La crise sanitaire a été un catalyseur, générateur d’opportunités pour les groupes cybercriminels. Le bilan de l’ANSSI pour l’année 2021[1] confirme ces faits avec une augmentation de 37% des intrusions. A cela s’ajoute le contexte géopolitique pour lequel le CERT-FR dans un rapport publié (Tensions internationales – Menaces Cyber[2], ) et actualisé en mars 2022 met en garde les acteurs européens contre des cyber attaques pouvant être liées au contexte international actuel.

Dans une démarche de « cyber-solidarité » et d’intelligence collective, Whaller, plateforme française sociale et collaborative sécurisée, a décidé de partager à ses partenaires et clients une plateforme d’échange d’IOC dans laquelle ils pourront récupérer des éléments identifiés par Whaller mais également partager s’ils le souhaitent leurs propres IOC.

Le partage d’IOC, en quoi est-ce important ?

L’acronyme IOC nécessite une désignation claire car il existe de nombreux homonymes. Nous ne parlerons pas ici de l’International Olympic Comittee ou encore d’Inversion Of Control mais d’Indicator Of Compromise ; les indices de compromission. A l’instar d’une scène de crime où il est nécessaire de rechercher des indices pour comprendre ce qu’il s’est passé mais aussi retrouver le coupable, les IOC vont être des artefacts techniques associés à une intrusion informatique. Ils peuvent être des adresses IP, des noms de domaines, adresses mails, hash…

A quoi ça sert ?

Comme évoqué supra, les IOC sont des indices associés à une attaque ou à une tentative d’attaque. Par exemple une adresse IP peut avoir été observée dans de multiples attaques à travers le monde. Rechercher sa présence dans les journaux d’activité des serveurs ou des équipements réseaux va permettre d’identifier une potentielle intrusion. Il est également possible de les utiliser pour bloquer les accès aux ressources numériques à partir de pare-feu.

Comment trouver des IOC ?

Lorsqu’un incident de Cybersécurité survient, il est essentiel de collecter des preuves qui seront nécessaires au dépôt de plainte par exemple[3]. Il convient également de capitaliser sur l’incident pour d’une part empêcher que cet incident puisse se reproduire mais aussi améliorer la capacité à le détecter. C’est donc un incident qui sera la première source d’IOC, ce qui est insuffisant puisque cela implique d’une part de subir une attaque et d’autre part de la détecter. Il faut donc trouver d’autres sources de données. Les entités officielles telles le CERT-FR[4] par exemple, publie des indicateurs de compromission associés à des campagnes malveillantes qui peuvent être utilisés.