Points clés
- L'intelligence opérationnelle de sécurité est l'exploitation des données de supervision pour produire des insights actionables sur la posture de sécurité de l'organisation — un niveau de maturité bien au-delà de la simple collecte de logs.
- La threat intelligence — informations sur les acteurs malveillants, leurs techniques et leurs indicateurs de compromission — transforme la supervision réactive en une capacité de détection proactive des menaces émergentes.
- Les SIEM de nouvelle génération (Google Chronicle, Microsoft Sentinel) intègrent nativement des capacités d'analyse de threat intelligence qui enrichissent automatiquement les logs avec des données de contexte sur les menaces connues.
- Le Cyber Threat Intelligence (CTI) est une discipline en plein essor qui produit une intelligence exploitable pour les équipes SOC, les RSSI et la direction générale à différents niveaux de granularité.
La collecte de logs est le point de départ d'une chaîne de valeur qui peut atteindre un niveau bien plus élevé de sophistication : l'intelligence opérationnelle de sécurité. Cette intelligence est la capacité à extraire des données de supervision une compréhension actionable de l'état des menaces, des comportements à risque, des tendances de l'infrastructure — et à utiliser cette compréhension pour anticiper les incidents plutôt que seulement y réagir.
Cette progression, de la collecte à l'intelligence, nécessite des investissements progressifs en outils, en compétences et en processus. Elle ne se réalise pas en un seul projet — c'est une trajectoire de maturation sur plusieurs années, dont chaque étape produit des bénéfices croissants.
Les niveaux de maturité de la supervision
Le niveau 1 (collecte et archivage) est la collecte brute des logs dans un stockage centralisé, principalement pour des besoins de conformité et de forensique post-incident. La supervision est passive et réactive. C'est le niveau minimal imposé par les référentiels de conformité.
Le niveau 2 (détection et alerting) ajoute des règles de corrélation et des alertes qui permettent une détection en temps quasi-réel des événements de sécurité connus. Le SIEM est actif — il génère des alertes — mais la détection est limitée aux scénarios prédéfinis dans les règles de corrélation. Les incidents inconnus ou qui ne correspondent pas à des règles existantes ne sont pas détectés.
Le niveau 3 (détection comportementale) ajoute des capacités UEBA et de Machine Learning qui identifient les déviances comportementales par rapport aux baselines. La détection s'étend aux scénarios non prédéfinis — les comportements anormaux qui n'ont pas de signature connue. C'est le niveau requis pour détecter les menaces internes et les attaques zero-day.
Le niveau 4 (intelligence opérationnelle) intègre la threat intelligence externe, l'analyse des tendances dans les données de supervision, et produit des insights proactifs sur l'évolution de la posture de sécurité. La supervision devient un outil de pilotage stratégique de la sécurité, pas seulement un outil opérationnel de détection.
L'intégration de la threat intelligence
La Cyber Threat Intelligence (CTI) est l'ensemble des informations sur les acteurs malveillants, leurs techniques, leurs tactiques et leurs procédures (TTPs), et leurs indicateurs de compromission (IoCs) — adresses IP malveillantes connues, domaines de command-and-control, hachages de fichiers malveillants. Intégrée dans le SIEM, la CTI permet de détecter immédiatement lorsque l'infrastructure de l'organisation communique avec des entités identifiées comme malveillantes.
Les sources de CTI comprennent : les feeds commerciaux de threat intelligence (VirusTotal Enterprise, Recorded Future, CrowdStrike Falcon Intelligence), les feeds open source (MISP, AlienVault OTX, Abuse.ch), les ISAC sectoriels (FS-ISAC, H-ISAC, E-ISAC), et les sources gouvernementales (CISA AIS, ENISA CERT feeds). L'intégration de plusieurs sources permet de croiser les informations et de réduire le taux de faux positifs.
La threat intelligence produit également des rapports stratégiques pour la direction générale : tendances des attaques ciblant le secteur, émergence de nouveaux groupes APT, nouvelles techniques utilisées dans les campagnes récentes. Ces rapports permettent à la direction d'anticiper les menaces émergentes et d'ajuster les investissements de sécurité en conséquence.
L'intelligence opérationnelle comme avantage concurrentiel
Les organisations qui ont atteint le niveau 4 d'intelligence opérationnelle disposent d'un avantage significatif dans la gestion des cyberrisques : elles peuvent anticiper les campagnes d'attaque avant qu'elles ne les touchent, adapter leurs défenses en fonction des informations disponibles sur les attaquants potentiels, et présenter à leur direction et à leurs régulateurs une compréhension nuancée de leur exposition aux menaces.
Cette intelligence peut également alimenter des décisions stratégiques : un accroissement de l'activité des groupes APT ciblant le secteur financier peut justifier un accélération du programme de renforcement des accès privilégiés ; une vague d'attaques ransomware ciblant les prestataires IT peut déclencher une revue d'urgence des accès des prestataires aux systèmes de l'organisation.
CrowdStrike est à la fois un fournisseur de solutions de sécurité et l'une des principales sources de threat intelligence mondiale. Le CrowdStrike Adversary Intelligence team produit des rapports détaillés sur les groupes APT actifs, leurs TTPs et leurs cibles probables. Ces rapports sont utilisés par des milliers d'organisations pour anticiper les campagnes d'attaque. En 2021, CrowdStrike a alerté des organisations dans le secteur financier d'une campagne du groupe CARBON SPIDER ciblant les systèmes de paiement — plusieurs semaines avant que les premières attaques ne se matérialisent, permettant aux organisations alertées de renforcer leurs défenses en avance. Cette capacité d'anticipation illustre la valeur de l'intelligence proactive.
L'ENISA publie annuellement son ENISA Threat Landscape, un rapport de threat intelligence sectorielle qui analyse les tendances des cybermenaces en Europe. Ce rapport, largement diffusé aux États membres et aux organisations des secteurs essentiels, permet aux RSSI et aux équipes de sécurité de calibrer leurs programmes de détection sur les menaces réellement actives. L'ENISA a également développé des outils de partage de CTI entre les CERT nationaux européens, facilitant la diffusion rapide des informations sur les campagnes d'attaque en cours. Ce partage entre CERT nationaux a permis à plusieurs pays membres de détecter et de contenir rapidement des campagnes qui avaient démarré dans d'autres États membres.
Les CERT et CSIRT du secteur financier en Asie-Pacifique (FS-ISAC Asia Pacific, APWG) ont développé des mécanismes de partage de CTI sectoriels qui permettent à des centaines d'institutions financières de la région de partager des informations sur les menaces en temps quasi-réel. Ces mécanismes ont permis de détecter et de contenir plusieurs campagnes de phishing et de BEC ciblant simultanément des institutions dans plusieurs pays. Les institutions membres qui ont intégré ce flux de CTI dans leurs SIEM ont présenté des délais de détection significativement inférieurs à la moyenne sectorielle pour les campagnes couvertes par le partage. FS-ISAC estime que le partage de CTI réduit le coût moyen des incidents pour ses membres de 20 à 30 %.