Skip to the content

Comprendre la Role-Based Intelligence

La Cyber Threat Intelligence ou CTI a pour mission de répondre aux interrogatoires des agents de cybersécurité pour améliorer la prise de décision dans la stratégie de sécurité informatique. Il est alors important de connaitre à quel public s’adressent les informations reçues. Un programme de CTI efficace doit fournir une information exploitable et compréhensible pour son destinataire pour que ce dernier puisse prendre la bonne décision. L’inconvénient est qu’il y a un fossé entre les besoins de publics et la CTI offerte, d’où l’entrée en jeu de la Role-Based Intelligence. Il existe 3 types de CTI : opérationnelle, stratégique et tactique.

Threat Intelligence stratégique : l’analyse des tendances

Elle permet de gérer et d’avoir une vue globale des menaces qui guettent dans l’entreprise surtout dans le domaine informatique. Ce type de CTI opère sur le long terme pour une sécurité informatique au sein d’une société. Elle s’adresse aux dirigeants et managers dans le département informatique pour leur donner conseil et leur donner des réponses au « qui » et « quoi » afin d’analyser les choix à prendre.

Threat Intelligence opérationnelle : fusion des forces internes et externes

Elle se focalise surtout sur les cybermenaces réelles sur une entreprise. Elle s’adresse donc aux équipes de réponse à incident, de trace et de menace et d’analyse forensique. Les missions de la CTI sont d’analyser les modes opératoires des cyberattaquants, l’évolution des tactiques et infrastructures, le comportement d’un cyberattaquant pour le démasquer, etc. En gros, La Threat Intelligence opérationnelle tente à tout prix de répondre aux questions « où » et au « comment » des menaces.

Threat Intelligence tactique : conseils techniques

La threat intelligence tactique gère les IOC ou indicateurs de compromission. Elle vérifie si les IOC proviennent de sources de confiance. Elle aide la prise de décision des responsables de l’entreprise pour se protéger des cyberattaques. La CTI tactique doit pouvoir définir le malware à utiliser ainsi que l'infrastructure de commande et contrôle auquel on doit s'attendre.