Le Threat Hunting, un investissement stratégique pour la résilience de votre entreprise
« Celui qui excelle à résoudre les difficultés les résout avant qu’elles ne surgissent. Celui qui
excelle à vaincre ses ennemis triomphe avant que les menaces de ceux-ci ne se concrétisent. » Sun Tzu (Art de la Guerre)
En cybersécurité, l’anticipation vise à limiter les risques. Dans un contexte d’amélioration continue, plusieurs solutions sont mises en place comme la maintenance des systèmes, le durcissement des politiques de sécurité, la mise en place de technologies avancées de détection (EDR/XDR/MDR), la supervision de l’infrastructure (SOC), sans oublier les formations et sensibilisations. Mais si malgré tout cela, la menace était déjà présente, dormant et n’attendant que le moment propice pour s’activer et faire un maximum de dégât ?
Au-delà de l’urgence de réagir à un incident de sécurité, il existe une solution permettant d’anticiper ces menaces invisibles : le Threat Hunting.
Présentation du Threat Hunting
La chasse aux menaces (ou Threat Hunting) consiste en la recherche active de menaces cyber alors qu’aucune alerte n’a été déclenchée. En effet, à l’heure de l’intelligence artificielle rendant les attaques plus sournoises et l’augmentation de capacités de contournement des solutions de sécurité (BYOVD, EDR-FREEZE), les équipes de Threat Hunting s’efforcent de relever des indices qui annoncent la préparation d’une attaque tant interne, qu’externe mais encore invisible, selon un scénario prédéfini.
Parce que toutes les organisations sont différentes et que les scénarios d’attaque à éviter le sont tout autant, c’est en corrélant l’activité de la société, le périmètre géographique, le type de menace redoutée que des hypothèses sont sélectionnées et proposées. Au travers d’une veille des menaces (CTI), des indicateurs de compromission (IOCs), des schémas d’attaque (TTPs) et de son expérience, l’analyste du CERT pourra alors rechercher et évaluer les indices d’une compromission sournoise du système d’information ou au sein de la supply-chain.
Le Threat Hunting n’est pas un audit de sécurité
Il est fréquent d’assimiler le Threat Hunting à un audit de sécurité (pentest), à une réponse à incident ou à une simple levée de doute. Cependant, leurs rôles diffèrent fondamentalement. En effet, alors que l’audit ne présente qu’une image de la sécurité à un instant donné et que la Réponse à Incident ne réagit qu’aux alertes, le Threat Hunting est, quant à lui, dynamique et proactif. Le chasseur de menaces, à la différence de la levée de doute qui réagit à des suspicions légères, démarre son investigation sans élément précis et dispose d’une grande liberté d’analyse. Au lieu de réaliser une cartographie générale du système comme un audit de sécurité, le Threat Hunting se focalise sur un script d’attaque critique pour l’organisation, n’analysant que les éléments utiles à sa mission.
Méthodologie de chasse : un processus agile et ciblé
L’avantage initial du Threat Hunting est qu’il ne nécessite pas de moyens techniques pharamineux pour démarrer. Son efficacité repose avant tout sur la connaissance de l’analyste CERT et les données disponibles.
- La phase de préparation (les prérequis)
La mission débute par une phase de qualification qui est essentielle pour définir le périmètre de l’intervention :
- Définition du scénario : identification de l’hypothèse d’attaque la plus pertinente pour l’entreprise (exfiltration de données internes, attaque ransomware dormante, etc.) ;
- Prise de connaissance du contexte : compréhension de l’environnement technique et organisationnel pour définir la portée et la période d’analyse ;
- Accès aux données : mise à disposition des journaux (logs) et, si nécessaire, des accès privilégiés pour permettre l’investigation.
Une fois ces éléments réunis, l’analyste CERT peut passer à l’investigation active.
- L’investigation : autonomie, agilité et recherche des TTPs
Une fois la phase de préparation et la cible d’attaque définie (hypothèse), la mission d’investigation est lancée. L’analyste CERT est relativement autonome dans son exécution, tirant parti de son expérience et de sa veille technique pour cibler efficacement les éléments à analyser afin d’identifier les menaces potentielles.
Cette phase se caractérise par une grande agilité :
- Flexibilité opérationnelle : identification de l’hypothèse d’attaque la plus pertinente pour l’organisation (exfiltration de données internes, attaque ransomware dormante, etc.) ;
- Entrants techniques : bien que non obligatoire, la présence de solutions de type EDR (Endpoint Detection and Response) ou SIEM (Security Information and Event Management) est fortement recommandée. En effet, ces outils facilitent l’accès aux éléments à analyser et accélèrent les investigations ;
- Pilotage de la mission : des réunions régulières de suivi sont mises en œuvre pour jalonner l’avancement de la mission. Surtout si un élément à risque est identifié alors celui-ci est immédiatement remonté au management pour évaluation et action immédiate.
Dans l’idéal, ce type de mission est à privilégier en amont des périodes critiques pour l’organisation, afin d’anticiper les risques à fort impact.
- Conclusion et valeur ajoutée : le Threat Hunting, une preuve de résilience
La mission se conclut par la remise d’un compte-rendu détaillé. Ce document indique les éléments analysés, les résultats des recherches, et une évaluation précise du risque résiduel.
Il est important de rappeler que même en l’absence de menace identifiée à l’issue de la mission, le Threat Hunting n’est jamais vain. Ce résultat apporte une preuve objective de la résilience actuelle des défenses d’une organisation, renforçant la confiance dans les démarches de sécurités entreprises. Si, à l’inverse, l’intervention permet l’identification d’une menace invisible, le bénéfice est évident tant sur la partie opérationnelle que financière.
Synthèse : pourquoi et pour qui le Threat Hunting est essentiel ?
La discipline du Threat Hunting s’adresse donc à toutes les structures souhaitant renforcer leur résilience en anticipant les menaces latentes au sein de leurs systèmes d’informations
Actuellement, le Threat Hunting est l’une des clés permettant aux organisations soucieuses de transformer leur stratégie de sécurité informatique réactive en une stratégie proactive.
Cert Synetis
