Quand les centres voisins se passent le mot

Au centre commercial « Les Arcades », les vigiles ne travaillent pas en vase clos. Le chef de la sécurité reçoit, chaque matin, un message des centres commerciaux voisins. Hier, à la galerie d'à côté, un faux livreur s'est présenté à l'entrée de service avec un gilet siglé d'une enseigne de transport, une fausse fiche de livraison et un camion blanc dont la plaque a été relevée.

Il a été repéré, mais il est reparti avant qu'on l'interpelle. Le centre voisin partage donc un signalement complet : le portrait-robot, la description du gilet, la plaque du véhicule, l'heure de passage. Aux Arcades, les vigiles affichent ces éléments au PC sécurité. Si le même individu se présente, ils le reconnaîtront avant qu'il franchisse la porte.

Détecter coûte moins cher quand on sait déjà à quoi ressemble la menace. Le renseignement transforme une surveillance aveugle en une surveillance ciblée.

Ce mécanisme a trois temps qui structurent ce billet. Le renseignement d'abord (ce que les autres centres savent de la menace), c'est la Cyber Threat Intelligence. Les indices concrets ensuite (la plaque, le portrait-robot), ce sont les indicateurs de compromission, les IOC. Et quand l'incident a malgré tout lieu, le plan de crise qui dit qui fait quoi, dans quel ordre, c'est la réponse à incident. Le premier alimente la détection, le deuxième la rend opérationnelle, le troisième prend le relais quand la prévention a échoué.

Ce sujet prolonge directement le précédent sur le SOC, le SIEM et le SOAR : une fois qu'on sait détecter, il faut savoir de quoi se nourrit la détection, et comment on s'organise pour répondre.


La CTI : transformer des données en décisions

Le signalement du centre voisin n'a de valeur que parce qu'il est exploité. Une plaque relevée et oubliée dans un tiroir ne protège personne. La CTI (Cyber Threat Intelligence, le renseignement sur les menaces) est précisément ce travail : collecter des informations sur les attaquants, les analyser, et les transformer en quelque chose d'actionnable pour le défenseur.

La nuance compte. Une donnée brute (une adresse IP vue dans des logs) n'est pas du renseignement. Le renseignement, c'est cette donnée enrichie de contexte : à qui appartient cette IP, dans quelles campagnes elle a été observée, quel groupe d'attaquants l'utilise, et donc ce qu'elle laisse présager.

La CTI ne répond pas seulement à « que s'est-il passé ? » mais à « qui pourrait me viser, comment, et que dois-je faire en conséquence ? ». C'est du renseignement orienté action.

Trois niveaux, trois publics

Le renseignement ne s'adresse pas qu'aux analystes techniques. On distingue classiquement trois niveaux, du plus abstrait au plus concret.

Le niveau stratégique vise les décideurs. Aux Arcades, c'est l'information « une vague de braquages de bijouteries touche la région ce trimestre ». Pas de détail opérationnel, mais de quoi orienter le budget et les priorités. En cyber, c'est l'analyse des tendances, des motivations des attaquants, des secteurs ciblés, qui aide un RSSI à arbitrer ses investissements.

Le niveau tactique décrit les méthodes des attaquants : leurs TTP (tactiques, techniques et procédures). Aux Arcades, c'est « les faux livreurs opèrent entre 7h et 8h, avant la relève des vigiles, et visent toujours l'entrée de service ». En cyber, c'est la connaissance des techniques employées, exprimée dans un langage commun.

Le niveau opérationnel et technique fournit les indices immédiatement exploitables : la plaque du camion, le portrait-robot. En cyber, ce sont les IOC qu'on injecte dans les outils de détection. C'est le niveau le plus volatil et le plus directement consommable par un SIEM.

MITRE ATT&CK comme langage commun

Pour que le renseignement tactique circule entre équipes et entre organisations, encore faut-il parler la même langue. C'est le rôle de MITRE ATT&CK, déjà rencontré dans le billet sur la Cyber Kill Chain et ATT&CK.

Quand un rapport de CTI indique qu'un groupe utilise la technique T1566 (hameçonnage) pour l'accès initial puis T1078 (comptes valides) pour la persistance, n'importe quel défenseur dans le monde comprend de quoi il s'agit, sans ambiguïté. ATT&CK donne aux signalements un vocabulaire stable, ce qui rend le partage de renseignement réellement utile au-delà de l'organisation qui l'a produit.


IOC contre IOA : la trace et l'intention

Revenons aux indices du faux livreur. Deux types d'informations circulent, et ils ne se valent pas.

D'un côté, la plaque du camion et le portrait-robot : des éléments factuels, précis, mais fragiles. L'attaquant peut changer de camion, se raser, mettre un autre gilet. Ces indices sont les IOC (Indicators of Compromise), des marqueurs concrets d'une compromission déjà observée.

De l'autre, le comportement : « un individu se présente à l'entrée de service, avec une fiche de livraison qui ne correspond à aucune commande, en demandant l'accès au local technique ». Cette description ne dépend pas de l'apparence physique. Elle décrit une intention et un mode opératoire. C'est un IOA (Indicator of Attack), un indicateur d'attaque.

Un IOC dit « cette menace précise est passée par là ». Un IOA dit « quelqu'un est en train d'agir comme un attaquant, quelle que soit son apparence ». Le premier se contourne en changeant de déguisement, le second beaucoup moins.

C'est toute la différence entre reconnaître un visage connu et reconnaître un comportement suspect. Les deux sont utiles. Les IOC sont rapides à déployer et excellents contre les menaces déjà cataloguées. Les IOA résistent mieux aux variations, car un attaquant change facilement d'outil mais difficilement de méthode.

Le tableau ci-dessous détaille les grands types d'IOC, leur usage et leur limite.

Type d'IOC Exemple Limite principale
Hash de fichier Empreinte SHA-256 d'un malware Change au moindre octet modifié ; trivial à contourner
Adresse IP Serveur de commande et contrôle (C2) Volatile, partagée, change vite ou réutilise des services légitimes
Nom de domaine Domaine d'hameçonnage ou de C2 Jetable, généré en masse, remplacé en quelques heures
URL Lien piégé d'une campagne de phishing Très spécifique, donc très éphémère
TTP (technique ATT&CK) T1566 Phishing, T1078 Valid Accounts Coûteuse à changer pour l'attaquant, donc précieuse pour le défenseur

La pyramide de la douleur

Ce tableau suit en réalité une logique connue : la pyramide de la douleur, formalisée par David Bianco. L'idée : plus on bloque un indicateur situé haut dans la pyramide, plus on inflige de « douleur » à l'attaquant, c'est-à-dire d'effort pour s'adapter.

Bloquer un hash ne coûte presque rien à l'attaquant : il recompile, le hash change. Bloquer une IP ou un domaine est un peu plus gênant. Mais détecter et neutraliser ses TTP l'oblige à repenser sa méthode entière, ce qui est autrement plus coûteux. La leçon pratique : viser le comportement, pas seulement la signature.


La réponse à incident : un cycle, pas une panique

Malgré la surveillance et le renseignement, un incident finit par arriver. Aux Arcades, le faux livreur a réussi à entrer. Que se passe-t-il alors ? Tout dépend de ce qui a été préparé avant.

S'il existe une cellule de crise désignée, un plan d'évacuation affiché, des rôles connus de chacun et un point de rassemblement, la réaction est ordonnée. Sinon, c'est la cohue, et la cohue aggrave toujours les dégâts.

La qualité d'une réponse à incident se joue avant l'incident. Improviser sous pression, c'est garantir des erreurs. Le plan existe pour que personne n'ait à réfléchir au pire moment.

La référence sur le sujet est la publication NIST SP 800-61 (Computer Security Incident Handling Guide). Elle décrit un cycle en quatre grandes phases, et le mot cycle est important : ce n'est pas une ligne droite, c'est une boucle qui se rejoue et s'améliore à chaque tour.

flowchart LR P["1 - Préparation"] --> D["2 - Détection et analyse"] D --> C["3 - Confinement, éradication, récupération"] C --> R["4 - Activité post-incident (leçons apprises)"] R -.->|"améliore la"| P D -.->|"alimente la"| C classDef prep fill:#d89253,stroke:#8a4d16,color:#1a1a1a classDef detect fill:#ede9e1,stroke:#b5651d,color:#1a1a1a classDef contain fill:#b5651d,stroke:#8a4d16,color:#f5f2ec classDef post fill:#2c3338,stroke:#1f2428,color:#f5f2ec class P prep class D detect class C contain class R post

1. Préparation. Tout ce qu'on met en place avant. Aux Arcades : la cellule de crise, les rôles, le plan d'évacuation, les exercices d'alarme. En cyber : les procédures écrites, les contacts d'astreinte, les sauvegardes testées, les outils de collecte de preuves, et le renseignement (la CTI) qui aide à savoir quoi guetter. C'est la phase la plus rentable, et la plus négligée.

2. Détection et analyse. Repérer qu'un incident a lieu, en mesurer la portée, le qualifier. Le SIEM lève une alerte, l'analyste la confirme, écarte le faux positif, et détermine l'ampleur : un poste touché ou cent ? C'est ici que les IOC issus de la CTI prouvent leur valeur, en accélérant la reconnaissance de la menace.

3. Confinement, éradication, récupération. Trois temps distincts. Confiner d'abord : isoler la zone touchée pour empêcher la propagation, comme on boucle une galerie sans évacuer tout le centre. Éradiquer ensuite : supprimer la cause, fermer la porte dérobée, révoquer les accès compromis. Récupérer enfin : remettre les systèmes en service proprement et vérifier que l'attaquant n'est plus là. L'ordre compte : récupérer avant d'avoir éradiqué, c'est rouvrir une porte encore piégée.

4. Activité post-incident. Le retour d'expérience. Qu'est-ce qui a permis l'intrusion ? Qu'est-ce qui a bien fonctionné ? Que faut-il corriger ? Cette phase boucle sur la préparation : chaque incident rend le suivant moins probable ou moins grave. Sans elle, on rejoue éternellement les mêmes erreurs.

Ce cycle recoupe largement la logique de résilience et de plan de reprise (DRP) déjà évoquée dans la série : la réponse à incident est ce qui se passe quand la prévention a échoué et qu'il faut limiter la casse puis revenir à la normale.


Scénario réel : SolarWinds et SUNBURST

Le cas SolarWinds, révélé fin 2020, illustre la chaîne complète, du renseignement aux IOC puis à la remédiation, à très grande échelle. Les faits ci-dessous proviennent de la divulgation de FireEye/Mandiant et de l'alerte CISA AA20-352A.

Le point de départ : la chaîne d'approvisionnement. Des attaquants ont compromis le processus de fabrication du logiciel SolarWinds Orion, un outil de supervision réseau très répandu. Ils y ont inséré une porte dérobée, baptisée SUNBURST, distribuée ensuite via une mise à jour signée et légitime du produit. Côté Arcades, c'est l'équivalent d'un prestataire de confiance, récurrent, dont le camion de livraison habituel a été piégé sans que personne ne soupçonne le fournisseur.

La détection par le renseignement. L'entreprise de sécurité FireEye (dont Mandiant est la branche renseignement) a détecté l'intrusion dans ses propres systèmes, puis a remonté le fil jusqu'à la porte dérobée dans Orion. C'est le travail de CTI par excellence : analyser un comportement anormal, l'attribuer, comprendre le mode opératoire.

La publication des IOC. Plutôt que de garder ses conclusions, FireEye/Mandiant a publié des indicateurs de compromission réutilisables : des règles de détection, des signatures, des éléments techniques permettant à d'autres organisations de vérifier si elles étaient touchées. C'est exactement le signalement partagé entre centres voisins, mais à l'échelle d'un secteur entier.

La remédiation coordonnée. La CISA a émis une directive d'urgence et l'alerte AA20-352A, demandant aux organisations concernées de déconnecter ou d'isoler les versions affectées d'Orion. Chaque organisation a alors dû dérouler son propre cycle de réponse : détecter sa propre exposition à l'aide des IOC publiés, confiner, éradiquer la porte dérobée, puis récupérer.

SUNBURST montre la chaîne en entier : un renseignement produit par un acteur (Mandiant) se transforme en IOC partagés, qui déclenchent des réponses à incident coordonnées chez des milliers d'autres. Le renseignement d'un seul a protégé beaucoup d'autres.

La leçon dépasse l'incident lui-même. Une attaque sur la chaîne d'approvisionnement contourne la confiance accordée à un fournisseur légitime, exactement comme le faux livreur exploite l'habitude. Et la seule parade collective efficace a été le partage rapide du renseignement, qui a permis à chacun de chercher les bonnes traces au lieu de découvrir l'intrusion des mois plus tard.


Points clés

  • La CTI transforme des données brutes en renseignement actionnable, à trois niveaux : stratégique (décideurs), tactique (méthodes, TTP) et opérationnel (IOC exploitables par les outils).
  • Un IOC est une trace concrète d'une menace déjà vue ; un IOA décrit un comportement d'attaque. Les IOC sont rapides mais fragiles, les IOA résistent mieux aux variations.
  • La pyramide de la douleur hiérarchise les indicateurs : bloquer un hash ne gêne presque pas l'attaquant, neutraliser ses TTP l'oblige à tout repenser.
  • La réponse à incident suit un cycle (NIST SP 800-61) : préparation, détection et analyse, confinement-éradication-récupération, puis activité post-incident qui réalimente la préparation.
  • Le cas SolarWinds/SUNBURST montre le parcours complet : renseignement produit par Mandiant, IOC publiés et réutilisables, puis réponses à incident coordonnées à grande échelle via la CISA.

Dans la série

Palier 3 : Tenir la galerie. Domaine : Détection & réponse.

Pour aller plus loin