Focus Metier Threat Intelligence : “On est pas des agents du renseignement”
“Connais ton ennemi” martèlent à l’envi tous les fans de “l’Art de la Guerre” de Sun Tzu. C’est justement le travail des équipes de Threat Intelligence, à l’instar de celle emmenée par Rémi Jimenez chez Capgemini.
“Le travail de notre équipe consiste à appréhender une menace, à la décortiquer et à mettre en place les défenses nécessaires” explique-t-il, avec en ligne de mire la production de notes et de rapports visant à “éclairer sur les choix en matière d’outils ou les stratégies de détection”.
Au sein du CERT commercial de Capgemini, le travail des équipes de threat intelligence est donc de produire des notes de renseignement, en s’adaptant aux besoins du client : “On va par exemple produire des notes de renseignement stratégiques à l’intention des décideurs, plutôt du style “paysage de la menace”, des rapports à destination des opérationnels avec des indicateurs d’attaques ou de compromission, ou plus généralement décrire le mode opératoire des attaquants”.
Pour parvenir à produire ces notes, les analystes de Capgemini peuvent s’appuyer sur différentes sources d’informations. Il y a tout d’abord les données disponibles en sources ouvertes, mais aussi les sources fermées, ou “stream” : des informations payantes produites par d’autres entreprises, sélectionnées par les analystes en fonction des besoins du client ou de la qualité des renseignements fournis.
“Parmi les critères de sélection de ce type de flux, on regarde plusieurs choses : quels sont les biais de l’entreprise, est ce qu’ils sont dédiés à un type d’acteur malveillant plutôt qu’un autre. Puis nous allons faire un équilibre coût/bénéfice, regarder la réputation de l’entreprise, la fiabilité des informations… Et se diriger vers ceux qui ont la plus haute part de confiance de la part des experts du secteur.”
Ces flux de données privés permettent également d’obtenir des renseignements glanés directement sur des forums et groupes fréquentés par les cybercriminels : “Ce n’est pas quelque chose que nous sommes autorisés à faire nous même, la loi française l’interdit”.
N’espérez pas d’un analyste qu’il joue les infiltrés
“De toute façon, nous ne sommes pas des agents du renseignement. Mais nous travaillons avec des entreprises qui ont les accréditations nécessaires pour récolter ce type d’informations”.
N’espérez donc pas d’un analyste qu’il joue les infiltrés, l’essentiel du travail consiste surtout à agréger et “faire parler” les informations venues d’ailleurs.
Outre ces sources, les analystes de Capgemini travaillent également en collaboration avec le SOC de l’entreprise afin d’échanger sur les nouvelles détections, et partagent également des informations avec ses pairs dans le cadre d’organisation comme l’InterCERT : ” C’est nécessaire pour nous de casser la logique de silos et de prendre la température de ce qu’il se passe, afin d’orienter nos efforts et de mieux comprendre ce qu’il se passe.”
Du fait de leur rôle un peu particulier, le profil des analystes de renseignement sur les menaces n’est pas toujours aussi technique qu’on pourrait le croire : “Nous avons besoin de gens ayant des connaissances techniques, mais aussi de profils issus par exemple de domaines comme les relations internationales ou la géopolitique, des disciplines nécessaires pour comprendre les motivations des attaquants. Parler des langues étrangères est par exemple un vrai plus” explique Rémi Jimenez.
Comme le cœur de la production reste les notes, une certaine appétence pour l’écriture est un atout non négligeable : “En l’espace de quelques lignes, on doit convaincre un décideur ou lui apporter des éléments qui vont le faire investir dans une technologies plutôt qu’une autre, ou orienter des efforts de détection. Donc il vaut mieux savoir rédiger.”
L’idéal reste d’avoir des profils issus de formations différentes, capables de travailler ensemble et de compléter les compétences de chacun.
“Les profils techniques peuvent par exemple venir aider [les profils moins experts] à analyser les différentes étapes de la chaîne de compromission d’un attaquant. C’est une hybridité qui n’est pas la plus simple à mettre en œuvre, mais qui peut permettre de produire des choses vraiment intéressantes” résume Rémi Jimenez.
Si les viviers de recrutement sont donc plus larges que les seules formations techniques, le monde threat intelligence reste néanmoins “moins accessible” que le secteur de la cybersécurité dans son ensemble. La faute à une matière qui reste aujourd’hui réservée aux groupes ayant les moyens de se l’offrir.
