OpenCTI : une nouvelle plateforme ouverte de gestion du renseignement sur les menaces

Le monde des plateformes de gestion du renseignement sur les menaces compte un nouveau venu, OpenCTI, développé par l’Agence nationale de la sécurité des systèmes d’information (Anssi), et le Cert-EU. Dans un communiqué, l’Anssi explique que cet effort répond « à un besoin commun pour une solution adéquate pour structurer, stocker, organiser, visualiser et partager le renseignement sur les menaces à plusieurs niveaux ». L’idée est qu’à long terme, l’adoption large de cette plateforme « aidera et facilitera l’échange d’une connaissance structurée sur les menaces cyber, afin de construire une vision collective et de plus en plus précise de ces menaces ».

C’est dans cette perspective qu’OpenCTI est avant tout construite comme une base de connaissances au schéma de données dédié aux spécificités du domaine. Surtout, la plateforme multiplie les outils de visualisation, notamment pour faciliter l’étude des relations entre entités considérées. Et ces relations ne se limitent naturellement pas à des indicateurs purement techniques : les techniques, tactiques et procédures sont prises en compte, mais la plateforme vise aussi des informations non techniques comme les suggestions d’attribution ou encore la victimologie. Des capacités d’investigation, permettant notamment de pivoter sur les entités, sont à venir ultérieurement.

Pour poursuivre ces objectifs, la plateforme est développée à base de React, GraphQL et Grakn.ai. Son code source est publié sur Github. Et l’ensemble se veut extensible. Des connecteurs peuvent être développés pour l’enrichissement des observables considérés – le premier d’entre eux sera, sans trop de surprise, pour Cortex. Le modèle de données d’OpenCTI est basé sur Stix2. Mais l’une des spécificités de la plateforme qui séduit déjà est l’unicité des observables : tout nouvel événement dans un MISP (Malware Information Sharing Platform), par exemple, génèrera un enrichissement de l’observable existant correspondant.

Accessoirement, l’exportation vers la plateforme MISP est également prévue. L’intégration est également possible avec TheHive, ou encore le framework Att&ck du Mitre. Une instance de démonstration d’OpenCTI est accessible en ligne. Elle est réinitialisée quotidiennement.