Est-ce que vous pouvez dans un premier temps nous présenter votre entreprise et votre produit ThreatQ ?
Notre entreprise est ThreatQuotient et notre produit ThreatQ.
ThreatQ est une solution logicielle qui a pour but d'opérationnaliser le renseignement dans une chaîne de défense cyber. Le but de cette solution est de capter du renseignement extérieur et intérieur (souvent le plus important) et de prioriser, dans cet ensemble, ce qui doit être diffusé (ou disséminé) à la chaîne de défense pour être consommé, que cette dernière soit représentée par des outils, par des analyses ou par des décideurs. Une plateforme de type ThreatQ c’est exactement l’équivalent d’un service de renseignement pour une défense nationale. La plate-forme joue le même rôle et les mêmes concepts, principes et processus sont appliqués. Ils sont en fait un copier/coller de ce qui se fait dans le monde du renseignement classique.
Qu’est-ce que vous entendez par “La plate-forme joue dans le monde Cyber exactement le même rôle qu’un service de renseignement dans le monde réel” ?
J'entends par là que de la même manière nous collectons des données de multiples sources, de les recouper, de les prioriser pour assurer la dissémination de ce qui doit être consommé et ainsi anticiper les potentielles menaces. Pour ce faire, il est nécessaire de collecter énormément de données brutes. La majorité ne sera pas diffusée à des acteurs de la chaine de défense qui se trouveraient sinon submergés et n’en feraient pas bon usage (voire contre-usage). Le travail du service de renseignement est de présélectionner ce qui est à priori intéressant, de réaliser des regroupements, de s’alimenter de ce que les outils de défense détectent, contrôlent, voient, etc.… pour identifier la toute petite partie qui apparaît comme hautement prioritaire et qui doit être utilisée pour guider et prioriser les actions.
Dans le monde du renseignement classique, la notion de « Fiche pour atteinte à la sûreté de l’Etat » est utilisée pour interagir avec les différents organes. Il s’agit d’une procédure qui vise à collecter des informations (ou de l’enrichissement) sur des individus jugés potentiellement dangereux pour la sécurité nationale (espionnage, déstabilisation, terrorisme…). Un individu ainsi « fiché » n’est pas une personne recherchée qui doit être appréhendée. La notion de « fiche » attachée à l’individu et disséminée dans les outils de la police ou des douanes permet de demander à l’officier qui effectue le contrôle de porter une attention particulière à celui-ci afin de le remonter aux services de renseignement en enrichissant l’information si possible (par exemple en indiquant le lieu et l’heure du contrôle tout en collectant l’immatriculation du véhicule utilisé par l’individu ou l’identité du passager…). Ces informations vont permettre aux services de renseignement de suivre ses déplacements et de réaliser des recoupements qui enrichiront les données collectées sur la personne.
La plateforme ThreatQ utilise également cette notion de « fiche » en présélectionnant des marqueurs d’attaques potentiellement liés à des menaces d’intérêt et en les disséminant auprès du SIEM pour surveillance. A l’instant ou un de ces marqueurs est détecté, il est remonté à la plateforme (ce qui s’appelle du SIGHTING) pour que son niveau de priorité soit modifié. Les données collectées sur des menaces génériques deviennent alors des données contextuelles à notre organisation (car cela a été constaté par la surveillance) - elles sont devenues prioritaires.
Revenons au monde réel ou le suivi d’un individu permet soudain de souhaiter l’appréhender car il est identifié comme menace imminente réelle. Le rôle du renseignement va être alors de disséminer aux bons services et sur des zones géographiques aussi réduites que possible des informations précises et actuelles pour permettre son arrestation. Par exemple, si les recoupements permettent de penser que l’individu va atterrir à Charles De Gaule ce matin, le renseignement tâchera de diffuser les identités connues ainsi que des photos récentes auprès du poste frontière de l’aéroport pour permettre son arrestation rapidement.
ThreatQ permet exactement la même approche. Suite au SIGHTING présenté précédemment et émis par la surveillance, la plate-forme ThreatQ va permettre de disséminer des données pertinentes et actuelles vers les outils de blocage. Par exemple, les IP infrastructure utilisées par les acteurs de cette menace détectée seront déployés en mode blocage sur les FW périmétriques, les noms de domaines le seront sur les Proxy et les SHA/MD5 des souches malwares connues comme utilisées par ce groupe, seront déployés en blocage sur les EDRs. Ce déploiement en mode blocage restera actif tant que l'information en question est jugée actuelle (tous les objets de la plateforme disposent d’une date de pertinence à l’issue de laquelle ils ne sont plus consommés en blocage).
À votre avis, quel est le niveau de maturité de la threat intelligence dans les entreprises françaises ?
Il est en constante évolution. Depuis quelques années, on a énormément progressé sur ce sujet. Ce n’est jamais parfait, mais je dirais que le renseignement a commencé́ à vraiment pousser la porte des entreprises suite à un certain nombre de régulations. Cela a d’abord touché les organismes d'intérêt vitaux car des méthodes de mise en œuvre de la détection et de la réponse leur sont imposées par des processus normés. On parle de certification par l’agence de type PDIS pour la détection et de type PRIS pour la réponse. Ces processus nécessitent de manipuler et de consommer du renseignement. C’est clairement suite à la LPM qu’il y a eu un vrai démarrage sur le sujet en France, quelques mois avant que ThreatQuotient n’arrive en Europe. Le niveau de maturité́ est en constante évolution mais ne propose pas encore une photo parfaitement satisfaisante.
ThreatQ a-t-il ce niveau de maturité ?
Coté plateforme et processus, ThreatQuotient n’est pas limité par la technique mais plutôt par les contraintes organisationnelles de ses clients.
Nous proposons des « workflows » et des connecteurs capables de couvrir tous les cas d’usages vus tout à l’heure (VM, SECOPS, Risque, CSIRT…). Seuls quelques-uns de nos clients ont déployé à ce jour la totalité de ces cas d’usages. Les clients qui ont rendu la practice CTI réellement transverse sont ceux qui disposent d’un outil d’anticipation dédié dont le métier est d’identifier les besoins des différents départements et de les nourrir avec des informations contextuelles adéquates.
Le SOC est en effet une source très pertinente de renseignement interne contextuel. Notre VP Product Management dit souvent : “ Le SOC c’est l’inverse de Las Vegas. Ce qui se passe à Las Vegas doit rester à Las Vegas, c’est bien connu. Mais ce qui se passe au SOC doit absolument être diffusé à tout le reste de la chaîne de défense sinon on risque de rater des éléments importants”. Une plateforme de Threat Intelligence sert justement à cela.
Comment jugeriez-vous le niveau de maturité́ de la France par rapport à celui de l’Europe voire du monde ?
Globalement, nous sommes mieux lotis que la plupart de nos voisins du fait de la LPM. Un certain nombre de règles de conformités nécessitent d’utiliser du renseignement efficacement. Aujourd’hui, ce type de mise en conformité́ touche l’intégralité́ de l’Europe grâce à la directive NIS et la France a démarré́ avec à peu près les mêmes contraintes pour les OIV français quelques années avant les autres grâce à la LPM. Ainsi, les sociétés françaises ont intégré la contrainte de mettre en place des processus sérieux avant que cela soit une obligation européenne. Sur ce point, nous sommes allés un peu plus vite que nos camarades.
Par ailleurs, depuis déjà̀ plusieurs années, le renseignement en Europe est structuré par des échanges communautaires au travers d’une plateforme Open Source qui s’appelle MISP. MISP a structuré et structure encore les échanges inter-CERT. La France et l’Europe, au sens large, sont extrêmement riches en nombre de CERT. La densité de CERT rapportée au nombre d’habitants ou de sociétés est beaucoup plus important en Europe qu’il ne l’est aux États-Unis par exemple.
Ainsi, nous avons développé cette culture du partage qui a démarré́ en Europe plus fortement que dans d’autre zones du monde.
L’utilisation soutenue des TIP ne pourrait-elle pas créer une vulnérabilité dans les entreprises vis-à-vis des attaques qu’elle ne détecterait pas ?
Le but d’une plateforme de renseignement est justement l’inverse.
Nous sommes tous utilisateurs de technologies de sécurité́ (NextGen firewall, proxy dans le cloud ou non...). Tous les éditeurs qui nous proposent un outil nous nourrissent également en Cyber Threat Intelligence que nous consommons aveuglément. Par exemple, vous êtes une banque à Paris et je suis un industriel de la chaussure à Singapour et nous avons acheté le même produit, nous consommons la même Cyber Threat intelligence (liste de réputation de l’outil). Pourtant nous n’avons probablement pas les mêmes adversaires ni le même risque à gérer. C’est un peu dommage. Notre politique de réputation devrait découler de notre stratégie de défense et du retour de notre propre surveillance.
Le but est justement de prioriser et de piloter l’ensemble de la chaine de défense par croisement du renseignement externe avec le renseignement interne pour que notre liste de réputation soit différente de celle de notre voisin et corresponde au risque que nous gérons en propre.
Il y a cependant une limite, c’est la notion de la cellule dormante, isolée et autonome.
Si vous décidez de devenir un groupe d’adversaires et que vous n’avez aucun passif sur ce sujet, que vous ne communiquez absolument pas sur aucun réseau social, aucun forum, que vous vous organisez pour cibler une société en particulier, que vous créez l’intégralité́ de vos outils “de zéro” et que vous n’utilisez aucun outil préexistant, que vous montez votre propre infrastructure et qu’aucune souche de ce que vous utilisez n’a jamais été vue auparavant… Si vous lancez une attaque, le renseignement basé sur des objets bas niveau (IOC) ne connaitra rien de vous et ne pourra pas être efficace sur votre première vague (peut-être sera t-elle unique) ! Par contre, s'il est basé sur la manipulation de TTPs, il pourra identifier les signaux faibles laissés par votre action et potentiellement vous détecter. D’où l’intérêt de l’utilisation de MITRE ATT&CK.
Les Cyber Criminels qui jouent sur le volume réutilisent des outils et des infrastructures par économie de temps, d’argent et par principe car le but est de réussir une partie des attaques lancées uniquement. Les organisations hautement financées et mandatées pour cibler une industrie précise auront tendance à tacher de dérouler le scénario ci-dessus. La manipulation d’objet haut niveau (TTPs) est nécessaire pour gérer un tel risque.
Quels sont les défis du futur à relever dans le domaine de la Threat Intelligence ? Quelles seraient, selon vous, les améliorations nécessaires au TIP de demain ?
Les défis actuels sont principalement organisationnels, les plus gros freins à l'usage efficace du renseignement sont les organisations en silo. Si le sujet est vu comme l’ajout d’un produit à l’arsenal actuel (une plateforme de CTI), il faut alors sélectionner le département dans lequel ce produit va être déployé (et qui en aura la responsabilité). Il faut donc choisir un Silo existant si l’organisation n’évolue pas pour intégrer le renseignement. Cela risque de limiter la valeur apportée par le practice CTI qui restera cantonnée à un SILO (le SOC par exemple).
A contrario, si le sujet est vu comme l’ajout d’une nouvelle practice (nouvelle responsabilité ayant pour but de servir tous les départements de la chaine de défense), et qu’il s’accompagne de la création du pôle anticipation clairement défini dans l’organigramme, la valeur apportée sera maximisée et ressentie sur toute la chaine. Ainsi, un tel projet n’est pas technique mais d’abord organisationnel. C’est un sujet pour le RSSI de l’organisation avant d’être un outil sous la responsabilité d’une équipe.
