CTI01 – Introduction à la Cyber Threat Intelligence

Jour 1 : fondamentaux de la Cyber Threat Intelligence (CTI)

Session du matin : introduction à la CTI et concepts clés

• Accueil et présentations : attentes des étudiants, niveau de connaissance en cybersécurité, objectifs du cours (comprendre le rôle de la CTI dans la SSI).
• Qu’est-ce que la CTI ? Définition (information évaluée et actionnable), les 3 composantes clés (Cyber, Menace, Renseignement), objectifs (anticiper/détecter, analyser/contextualiser, évaluer la criticité).
• Le cycle du renseignement en CTI : présentation des cycles classiques (4 étapes) et étendus (5 étapes : Expression des besoins, Collecte, Traitement, Analyse, Diffusion). Passage de la donnée au renseignement.

Session de l’après-midi : typologies de menaces et modèles d’analyse CTI

• Typologies de menaces : classification selon les acteurs malveillants (APT, cybercriminels, hacktivistes), les objectifs (espionnage, rançonnage, propagande) et les techniques (malwares, ingénierie sociale).
• Modèles d’analyse CTI : Cyber Kill Chain (les 7 étapes d’une intrusion), Diamond Model of Intrusion Analysis, MITRE ATT&CK (cadre des TTPs), Pyramid of Pain (Hiérarchisation des IoCs). Niveaux de CTI : Stratégique, Opérationnel, Tactique et Technique.

Jour 2 : collecte et analyse du renseignement cyber

Session du matin : sources et Techniques de Collecte

• Sources d’information en CTI : OSINT (sources ouvertes) avec démonstration d’outils (WHOIS, DNS, Shodan) et Google Dorking. Sources fermées (ISACS, CERTs, MISP, TLP). Données techniques (Logs, IoCs, signatures YARA, événements SIEM).
• Techniques de collecte : détection basée sur règles et signatures (YARA, Snort/Suricata, Sigma Rules). Pièges et détection proactive (Honeypots et Honeytokens).

Session de l’après-midi : analyse, Biais Cognitifs et Production (TP1)

• Analyse comportementale et heuristique : sandboxing (analyse dynamique de malwares : Cuckoo, Any.Run). Threat Hunting (recherche proactive de menaces). Surveillance des infrastructures (Passive DNS, NetFlow).
• L’analyste et les biais cognitifs : présentation des biais cognitifs courants (Confirmation, Ancrage, Faux Consensus, Dunning-Kruger, etc.). Techniques d’analyse structurée (Analysis of Competing Hypotheses – ACH).
• TP1 : production d’une fiche de renseignement stratégique : mise en situation pour identifier les grandes tendances des cybermenaces impactant un secteur (utilisation de sources ouvertes, application des classifications de menaces, rédaction d’une fiche pour décideurs).
  

Jour 3 : application pratique et diffusion du renseignement

Session du matin : Approche Opérationnelle et Modèles de Réponse (TP2)

• Renseignement opérationnel : approfondissement des TTPs des attaquants, support aux équipes de réponse à incident (CSIRT/CERT), utilisation de la Cyber Kill Chain, Modus Operandi (MO) d’un acteur malveillant.
• Diffusion et exploitation des informations : standards de partage (STIX), protocoles de diffusion (TLP), plateformes de Threat Intelligence (TIP : MISP, OpenCTI).
• TP2 : production d’une fiche de renseignement opérationnel : mise en situation sur des indicateurs de compromission (IoCs) pour identifier l’acteur, son MO et ses TTPs (utilisation du Diamond Model et MITRE ATT&CK, outils comme VirusTotal, Shodan).

Session de l’après-midi : renseignement Tactique, Réponses à Incident et Conclusion (TP3)

• Renseignement tactique : focus sur les IoCs et les signatures, support à la prise de décision rapide en réponse à incident, Course of Action Matrix (CoA Matrix) pour définir les actions permissibles.
• TP3 : production d’une fiche de renseignement tactique : mise en situation sur un IoC spécifique (ex : URL de phishing) pour identifier les techniques précises et proposer des mesures de blocage/détection concrètes (règles YARA/Snort).
• Conclusion et perspectives : synthèse des trois jours, importance de la curiosité et de l’esprit critique, évolution de la CTI, Questions/Réponses.