Les réseaux informatiques évoluent et poussent leurs attaquants à élaborer de nouvelles stratégies. Cet effort se retrouve également du côté des équipes de cyberdéfense qui doivent assurer la prévention, la détection, et la réponse aux menaces.

Si les outils de sécurité pour répondre à ces enjeux existent et sont performants (SIEM, EDR, RASP…), une interrogation demeure prégnante : comment mutualiser les informations et traitements permis par ces différentes solutions pour permettre à l’acteur humain de prendre ses décisions au cours de son processus de traitement des incidents ?

La multiplication des solutions de détection et de réponse aux incidents a amené une complexification des alertes toujours plus nombreuses et difficiles à traiter pour des équipes manquant de capacité. L’automatisation permet d’appuyer ces équipes de cyberdéfense pour des actions qui seraient trop chronophages si effectuées manuellement. Par exemple, la récolte en temps réel de logs provenant de sources variées, la mise à jour régulière des connaissances sur les menaces, ou la détection d’un comportement malveillant. Il est important d’utiliser l’intégralité du potentiel offert par l’éventail d’outils en les faisant communiquer entre eux pour combler les lacunes de chaque système pris individuellement. Différents outils émergent, tel que les SOAR ou les solutions xDR, pour orchestrer et industrialiser les processus d’investigation et de réponse à incidents.

La Cyber Threat Intelligence (CTI) permet notamment de pallier certaines faiblesses des solutions SIEM, très répandues auprès des MSSPs classiques. Cette approche complémentaire permet une meilleure exploitation des données recueillies, en améliorant la quantité et la qualité des alertes reçues, plus particulièrement grâce à la diminution des faux positifs. De plus, ces différents outils peuvent s’alimenter mutuellement et dynamiquement pour s’adapter en temps réel à l’évolution de la menace.

La Threat Intelligence permet d’envisager la cyberdéfense comme une double action humain-automate dont les activités sont distinctes et complémentaires face aux menaces. Cette étude présente comment l’acteur humain, décideur final, peut déléguer les traitements lourds et sujets à erreur à l’automate, en s’appuyant sur la Threat Intelligence comme facilitateur de cette automatisation.