Le renseignement sur les cyber menaces, ou la threat intelligence, permet ainsi de disséminer des informations à l’ensemble des éléments de la chaîne de défense. Cela permet ainsi la détection et le traitement des menaces anciennes et nouvelles en fonction de leur comportement.
Pour faire prendre conscience du contexte de sécurité dans lequel évolue un équipement de sécurité, on utilise des IOCs (Indicators of Compromise) et des TTPs (Tactics, Techniques and Procedures). L’un permet la détection, les IOCs mettant en exergue des menaces connues ; l’autre permet la caractérisation, les TTPs décrivant la façon dont des acteurs malveillants orchestrent leurs attaques.
Les éléments disséminés peuvent être des informations purement techniques (à destination de proxy, SIEM, ...) mais peuvent être aussi des données plus contextuelles (géopolitique, économique, ...) à destination d’analystes traitant un incident de sécurité. Avec la threat intelligence, il est possible d’apporter une vision de tout ce qui est connu afin de donner une capacité de décision beaucoup plus efficace.
Ainsi, par la création d’éléments de détection et de caractérisation et via leur dissémination aux équipements pouvant les accepter et aux bons acteurs, la threat intelligence devient un domaine inévitable de la lutte défensive et un enjeu majeur dans la sécurisation des systèmes d’informations modernes.
