Samuel Hassine, chef du bureau analyse de la menace à l’ANSSI présente le projet OpenCTI
« La genèse d’OpenCTI est relativement simple. Depuis plusieurs années, l’ANSSI a déployé la plateforme MISP (Malware Information Sharing Platform) et des analystes sont chargés de lui fournir des indicateurs de compromission. Cependant, il n’existait pas d’outil comparable pour référencer tous les éléments de la partie pratique opérationnelle comme les tactiques mises en œuvre par les attaquants, les campagnes d’attaques, la victimologie, les grands acteurs et les attributions, jusqu’alors, le référencement de ces différents éléments se faisait à la main par l’analyste dans les pages du wiki, dans des fichiers Excel ou dans des rapports conséquents en PDF.
Il y avait donc besoin de disposer d’un outil pour générer de la donnée structurée pouvant être mise à disposition sur une plateforme consultable par chacun. L’objectif est d’avoir une plateforme accessible à l’ensemble des métiers de la sous-direction des opérations pour la partie réponse à incident et le SOC. C’est un complément à l’infrastructure MISP.
Le produit a été rendu Open Source le 28 juin 2019. Nous travaillons avec le CERT de l’Union Européenne afin de faire évoluer la plateforme également en fonction de leurs besoins. D’autres acteurs, dont des entreprises privées rejoindront peut-être à terme le projet, mais il s’agit d’un produit développé à l’ANSSI pour l’ANSSI qui gardera par conséquent, plus de poids dans les prises de décisions ».
