Write a Blog >>
Tue 16 Nov 2021 13:30 - 14:00 at Grand Auditorium - Cyber Threat Intelligence Chair(s): Gurvan LE GUERNIC

Les réseaux informatiques évoluent et poussent leurs attaquants à élaborer de nouvelles stratégies. Cet effort se retrouve également du côté des équipes de cyberdéfense qui doivent assurer la prévention, la détection, et la réponse aux menaces.

Si les outils de sécurité pour répondre à ces enjeux existent et sont performants (SIEM, EDR, RASP…), une interrogation demeure prégnante : comment mutualiser les informations et traitements permis par ces différentes solutions pour permettre à l’acteur humain de prendre ses décisions au cours de son processus de traitement des incidents ?

La multiplication des solutions de détection et de réponse aux incidents a amené une complexification des alertes toujours plus nombreuses et difficiles à traiter pour des équipes manquant de capacité. L’automatisation permet d’appuyer ces équipes de cyberdéfense pour des actions qui seraient trop chronophages si effectuées manuellement. Par exemple, la récolte en temps réel de logs provenant de sources variées, la mise à jour régulière des connaissances sur les menaces, ou la détection d’un comportement malveillant. Il est important d’utiliser l’intégralité du potentiel offert par l’éventail d’outils en les faisant communiquer entre eux pour combler les lacunes de chaque système pris individuellement. Différents outils émergent, tel que les SOAR ou les solutions xDR, pour orchestrer et industrialiser les processus d’investigation et de réponse à incidents.

La Cyber Threat Intelligence (CTI) permet notamment de pallier certaines faiblesses des solutions SIEM, très répandues auprès des MSSPs classiques. Cette approche complémentaire permet une meilleure exploitation des données recueillies, en améliorant la quantité et la qualité des alertes reçues, plus particulièrement grâce à la diminution des faux positifs. De plus, ces différents outils peuvent s’alimenter mutuellement et dynamiquement pour s’adapter en temps réel à l’évolution de la menace.

La Threat Intelligence permet d’envisager la cyberdéfense comme une double action humain-automate dont les activités sont distinctes et complémentaires face aux menaces. Cette étude présente comment l’acteur humain, décideur final, peut déléguer les traitements lourds et sujets à erreur à l’automate, en s’appuyant sur la Threat Intelligence comme facilitateur de cette automatisation.

Postprint (CESAR_2021_paper_3-1_24.pdf)1010KiB

Tue 16 Nov

Displayed time zone: Brussels, Copenhagen, Madrid, Paris change

13:30 - 15:00
Cyber Threat IntelligenceCall for Papers at Grand Auditorium
Chair(s): Gurvan LE GUERNIC DGA MI & Université de Rennes 1
13:30
30m
Talk
La Threat Intelligence comme vecteur d’automatisation de la Cyberdéfense
Call for Papers
Laurent Cordival BEIJAFLORE, Matthieu Riche BEIJAFLORE
Media Attached File Attached
14:00
20m
Talk
Automatisation de l'analyse de binaires : de la collecte source ouverte à la Threat Intel
Call for Papers
Media Attached
14:20
20m
Talk
Automated Risk Analysis of a Vulnerability Disclosure Using Active Learning
Call for Papers
Clément Elbaz Univ Rennes, Inria, CNRS, IRISA, DGA, Louis RILLING DGA-MI, Christine Morin Inria
Media Attached
14:40
20m
Talk
Attack Forecast and Prediction
Call for Papers
Florian Kaiser Karlsruhe Institute of Technology, Tobias Budig Karlsruhe Institute of Technology, Elisabeth Goebel Karlsruhe Institute of Technology, Tessa Fischer Karlsruhe Institute of Technology, Jurek Muff Karlsruhe Institute of Technology, Marcus Wiens Karlsruhe Institute of Technology, Frank Schultmann Karlsruhe Institute of Technology
Media Attached