Fondamentaux

La défense est l’une des clés de la cybersécurité. Les intrusions ne sont pas toujours détectées au sein d’un système informatique. Cette discrétion permet aux cybercriminels de s’installer et de déployer leur attaque. Le Threat Hunting (ou la chasse aux cybermenaces) est une démarche proactive de protection. Elle intervient en amont pour identifier les menaces implantées dans un environnement. Découvrez comment fonctionne cette traque aux intrusions, l’une des solutions de sécurité informatique les plus efficaces pour protéger une entreprise.

Qu’est-ce que le Threat Hunting ?

Le Threat Hunting est une solution de cybersécurité servant à la détection des menaces cyber, dites « inconnues ». Cette technique consiste à repérer des intrusions dans un système d’information. En matière de sécurité informatique, les experts estiment que 80 % des attaques sont stoppées et que 20 % d’entre elles passent au travers des outils de détection. Ce sont sur ces dernières que le Threat Hunter travaille.

Le chasseur de cybermenaces recherche la présence d’un hacker dans le système. Une attaque construite et efficace ne se déploie pas dès son intrusion. Le pirate s’installe, scrute l’environnement et affûte sa stratégie offensive. Le rôle du Threat Hunter est d’intervenir avant le déclenchement de l’attaque. Le Threat Hunting assure donc la sécurité des données d’une entreprise. Cette solution est complémentaire aux autres outils de détection de menaces, servant à empêcher toute intrusion.

Pourquoi le Threat Hunting est-il considéré comme une approche proactive en cybersécurité ?

Le Threat Hunting apporte une approche différente en matière de sécurité informatique. Elle ne se contente pas de répondre à une attaque en appliquant une stratégie de défense. Le Threat Hunter opère une véritable traque dans les systèmes afin d’éliminer toutes les menaces.

Les limites des process de défense automatisés dans la sécurité informatique

En matière de cybersécurité, les défenses reposent avant tout sur des processus automatisés. Les acteurs de la sécurité informatique se réfèrent à des systèmes de détection basés sur une recherche mécanique. Il n’y a pas, à proprement parler, de réflexion. Les outils sont paramétrés pour déceler, d’une manière précise, les cyberattaques connues.

Les hackers se montrent plus ingénieux en déjouant la défense automatisée des entreprises. Pour lutter contre les menaces, les experts en sécurité informatique multiplient les mises à jour de leurs dispositifs. Ces outils automatisés restent pertinents dans leur intervention. Cependant, il est nécessaire de s’intéresser aux menaces « inconnues », celles capables de passer les lignes de défense des meilleurs systèmes.

Threat Hunter : de l’analyse et de l’action permanente pour détecter les attaques inconnues

Les hackers ont une démarche proactive : ils renouvellent sans cesse leur mode opératoire pour que leur intrusion gagne en efficacité. La défense doit donc innover. Le chasseur de menace ne se contente pas d’appliquer à la lettre une stratégie de sécurité. Il traque, réfléchit, inspecte, anticipe les prochaines techniques d’attaques.

Sa tactique repose avant tout sur ses compétences humaines et non plus techniques. Le chasseur est dans l’action permanente. Il n’attend pas que les indicateurs d’intrusion se mettent en alerte. Cette approche permet aux systèmes de sécurité en place de s’adapter et d’évoluer. 

Comment fonctionne le Threat Hunting ?

Le Threat Hunting fonctionne au cœur d’un service de sécurité informatique d’une entreprise. Le chasseur a pour mission de détecter les menaces présentes et inconnues dans un environnement. Ce sont, pour rappel, toutes les intrusions qui ont su passer les défenses.

Le mode opératoire des chasseurs dans le Threat Hunting

Le chasseur inspecte toutes les données de sécurité avec rigueur. Lorsqu’il détecte une menace inconnue, il en étudie le fonctionnement. Il passe rapidement à l’action pour l’empêcher de se déployer et de nuire à l’intégrité d’une organisation. Il participe également à l’élaboration des nouveaux correctifs de sécurité pour éviter qu’un même incident se reproduise.

La mise en place du Threat Hunting au sein d’un service de sécurité informatique

Le Threat Hunter se base sur des outils d’analyse. Il doit percevoir ce qui représente une menace connue et une menace inconnue. Dans le premier cas, il peut alors orienter la résolution de la menace vers ses collaborateurs. La menace inconnue lui revient. Le hunter élabore une série d’hypothèses concernant notamment l’objectif de l’intrusion, sa tactique d’évolution et les actes offensifs menés par le pirate informatique.

Le Threat Hunter réalise une veille permanente sur les menaces cyber. Cette source de renseignements lui permet d’élaborer des stratégies. Il les teste ensuite afin de mettre en péril la cyberattaque.

Les outils de cybersécurité utilisée par le Threat Hunting

Parmi les process d’analyse des données, le Threat Hunter repose son activité sur deux instruments clés.

  • L’outil de détection et réponse gérées (MDR) : il sert à chercher les types de menaces et à opérer des actions rapides et proactives pour éliminer les attaques.
  • Le SIEM (gestion des informations et gestion des événements de sécurité) : il s’utilise dans la surveillance et l’inspection des évènements inhabituels survenant sur les systèmes d’information. Il assure également un suivi sur les données de sécurité.

Quelles sont les étapes du Threat Hunting ?

Le Threat Hunting se fait en trois étapes : le déclencheur, l’investigation sur la menace et la résolution de l’incident.

Le déclencheur : l’alerte sur des actions inhabituelles

Un outil de détection alerte les Threat Hunters d’un évènement inhabituel sur une zone d’un système d’information. Le point de départ de la mise en action du hunter peut également provenir d’une simple hypothèse. L’expert, au cours de sa veille, a pris connaissance d’une menace et s’interroge sur son éventuelle présence dans l’environnement dont il s’occupe. 

L’investigation : une enquête structurée sur la menace détectée

Lorsque l’intrusion est avérée, le Threat Hunter passe alors en phase d’investigation. Il rassemble un maximum d’informations et de données pour comprendre le type de compromission. Cette enquête peut aboutir sur deux conclusions. Si l’incident détecté est considéré sans danger pour l’entreprise, le hunter arrête de s’en intéresser. En revanche, si le potentiel malveillant est établi, alors le hunter poursuit ses recherches jusqu’à ce que le profil de l’attaque, voire de l’assaillant, soit complet.

La résolution de l’incident : transférer les données aux équipes de sécurité

Les informations collectées sur l’attaque en cours sont transférées à ses collègues chargées de traiter et de corriger les incidents. Les renseignements rassemblés par le hunter sont essentiels. Ils apportent aux équipes des données optimales pour lancer les correctifs nécessaires. Les processus de sécurité sont alors mis à jour pour plus d’efficacité contre les prochaines intrusions.

Quels sont les différents types de Threat Hunting ?

Il existe différents types de Threat Hunting à mettre en place. La chasse à la menace dépend si le hunter s’intéresse à une hypothèse ou un incident détecté.

La chasse structurée d’une menace

Cette chasse structurée repose sur deux indicateurs : l’indicateur d’attaque (IoA) et les tactiques, techniques et procédures (TTP) du hacker. Cette technique a pour objectif didentifier le cybercriminel et son mode opératoire avant qu’il ne compromette les données d’une organisation.

La chasse non structurée d’un incident malveillant

Ce type de Threat Hunting repose sur des indicateurs de compromission (IoC). Les hunters utilisent alors l’ensemble des renseignements sur la cybermenace collectés. Ils élaborent ensuite des hypothèses, puis un plan d’action pour réaliser une traque active.

La chasse axée sur une entité précise et vitale des systèmes d’information

Dans le cas où les systèmes d’information d’une société sont importants, les hunters doivent cibler leur terrain de chasse. Il est nécessaire de définir les entités considérées « à haut risque », c’est-à-dire vitales pour l’organisation. Les pirates visent les sections d’un réseau les plus intéressantes à leurs yeux. Il peut s’agir par exemple de la partie administration système avec, à la clé, le contrôle sur l’accès aux données. Ce sont donc sur ces zones sensibles que le Threat Hunting se déploie.

Comment devenir Threat Hunter ?

Le métier de Threat Hunter s’apparente à celui d’analyste des menaces cyber. Cet expert participe à la sécurité informatique en étudiant les défis encore inconnus.

Les compétences majeures pour devenir Threat Hunter

Outre la parfaite maîtrise des outils d’analyse et de détection des cybermenaces, le hunter connaît tous les environnements informatiques. Il dispose d’une vraie culture de la cybercriminalité, des menaces passées et celles à venir. Si le bagage technique est important, le hunter doit posséder un niveau d’intelligence propice à la déduction et à l’élaboration d’hypothèse.

Le Threat Hunter ne se repose pas que sur une stratégie de sécurité automatisée. Une grande partie de son travail se base sur des compétences intellectuelles. Il doit également disposer d’aptitudes pour gérer le stress ou les situations de crise. Le sens de la communication est important pour travailler avec les autres métiers de la sécurité informatique.

La formation idéale pour devenir expert dans la traque aux cybermenaces

Pour décrocher un poste de Threat Hunter, vous devez posséder un bac +5. Après le bac, intégrez une école d’ingénieur, spécialisée en cybersécurité. Après vos études, vous devez également envisager des formations pour obtenir des certifications ciblées. Un intérêt majeur pour les cybermenaces et une veille constante vous aident à alimenter la culture essentielle dont vous aurez besoin.

La Cyber Management School propose un cursus de cinq ans après le bac pour devenir un expert de la sécurité informatique. Nous vous apportons les compétences nécessaires pour tendre vers le métier passionnant, mais exigeant de Thread Hunter.