OpenCTI : une nouvelle plateforme ouverte de gestion du renseignement sur les menaces

• 
  Valéry Marchive

  Rédacteur en chef adjoint
• Publié le: 28 juin 2019

Le monde des plateformes de gestion du renseignement sur les menaces compte un nouveau venu, OpenCTI, développé par l’Agence nationale de la sécurité des systèmes d’information (Anssi), et le Cert-EU. Dans un communiqué, l’Anssi explique que cet effort répond « à un besoin commun pour une solution adéquate pour structurer, stocker, organiser, visualiser et partager le renseignement sur les menaces à plusieurs niveaux ». L’idée est qu’à long terme, l’adoption large de cette plateforme « aidera et facilitera l’échange d’une connaissance structurée sur les menaces cyber, afin de construire une vision collective et de plus en plus précise de ces menaces ».

Télécharger gratuitement ce guide

Les précieux conseils de Gartner pour sécuriser votre SI

Manque de confiance en votre stratégie de cyberdéfense ? Vous n’êtes pas seul. Une attaque peut frapper n’importe qui à tout moment, et sans avertissement. Heureusement, il existe de nombreux conseils et des moyens de planifier à l'avance votre défense, découvrez ceux de Gartner en exclusivité dans ce guide PDF.

Start Download

• Adresse e-mail professionnelle

  Vous avez oublié d'indiquer une adresse e-mail.

  L'adresse e-mail indiquée semble erronée.

  Cet e-mail est déjà enregistré. Veuillez vous identifier ici.

  Vous avez dépassé le nombre maximum de caractères autorisé.

  Merci d’entrer une adresse e-mail professionnelle.

• • J'accepte les conditions d'utilisation de TechTarget, ainsi que la politique de confidentialité et le transfert de mes informations aux États-Unis pour traitement afin de me fournir les informations pertinentes décrites dans notre Politique de confidentialité.

  Veuillez cocher la case si vous voulez continuer.

• • J'accepte que mes informations soient traitées par TechTarget et ses partenaires afin de communiquer avec moi par le biais du téléphone ou du courrier électronique et ce à propos d’informations pertinentes dans mon contexte professionnel. Je peux me désinscrire à tout moment.

  Veuillez cocher la case si vous voulez continuer.

C’est dans cette perspective qu’OpenCTI est avant tout construite comme une base de connaissances au schéma de données dédié aux spécificités du domaine. Surtout, la plateforme multiplie les outils de visualisation, notamment pour faciliter l’étude des relations entre entités considérées. Et ces relations ne se limitent naturellement pas à des indicateurs purement techniques : les techniques, tactiques et procédures sont prises en compte, mais la plateforme vise aussi des informations non techniques comme les suggestions d’attribution ou encore la victimologie. Des capacités d’investigation, permettant notamment de pivoter sur les entités, sont à venir ultérieurement.

Pour poursuivre ces objectifs, la plateforme est développée à base de React, GraphQL et Grakn.ai. Son code source est publié sur Github. Et l’ensemble se veut extensible. Des connecteurs peuvent être développés pour l’enrichissement des observables considérés – le premier d’entre eux sera, sans trop de surprise, pour Cortex. Le modèle de données d’OpenCTI est basé sur Stix2. Mais l’une des spécificités de la plateforme qui séduit déjà est l’unicité des observables : tout nouvel événement dans un MISP (Malware Information Sharing Platform), par exemple, génèrera un enrichissement de l’observable existant correspondant.

Accessoirement, l’exportation vers la plateforme MISP est également prévue. L’intégration est également possible avec TheHive, ou encore le framework Att&ck du Mitre. Une instance de démonstration d’OpenCTI est accessible en ligne. Elle est réinitialisée quotidiennement.