ImageKing - stock.adobe.com
Évaluer les coûts et les avantages de la surveillance du dark web
La surveillance du dark web peut alerter les organisations lorsqu'elles sont dans le collimateur des pirates. Mais pour beaucoup, les risques et les coûts associés à cette surveillance font que le jeu n'en vaut pas la chandelle.
La surveillance du dark web peut avertir à l'avance les équipes de cybersécurité des entreprises d'attaques potentielles avant qu'elles ne se produisent et les alerter si les données et les identifiants de l'entreprise ont déjà été exposés. En obtenant des informations sur les types d'attaques susceptibles de se produire et sur les systèmes et les utilisateurs qui pourraient être visés, les organisations peuvent mettre en œuvre des mesures de défense proactives, plutôt que d'attendre de réagir aux attaques en cours.
Prenons l'exemple d'une entreprise qui apprend, grâce à la surveillance du dark web, que des pirates ont installé un cleptogiciel (ou infostealer) sur l'ordinateur professionnel d'un utilisateur particulier et capturent des informations sensibles telles que ses identifiants de connexion. L'équipe de sécurité peut alors mettre en place des mesures défensives allant de la création d'un honeypot pour piéger le pirate à la simple réinstallation du système d'exploitation de l'ordinateur et au renforcement des configurations afin d'éviter que cela ne se reproduise, en passant par la réinitialisation de mots de passe.
Si, en revanche, l'entreprise ne se rend compte de rien jusqu'à ce que quelqu'un utilise des identifiants volés pour se connecter à ses systèmes centraux et exfiltrer d'énormes quantités de données, les options sont limitées et le mal est déjà fait.
Cela ne signifie pas pour autant que la surveillance du dark web soit utile pour toutes les entreprises. Les RSSI doivent mettre en balance les avantages, les coûts et les risques, et beaucoup d'entre eux concluront qu'il vaut mieux investir leurs ressources ailleurs. Pour certaines grandes organisations très en vue, cependant, la surveillance du dark web peut apporter une valeur ajoutée considérable, à condition qu'elles sachent quelles informations surveiller et où les trouver.
Limites, coûts et risques liés à la surveillance du dark web
Si les entreprises peuvent recueillir des informations précieuses grâce à la surveillance du dark web, cette pratique présente également des limites importantes.
D'une part, la surveillance du dark web ne permet de découvrir que les informations publiées par les acteurs malveillants. Si un cybercriminel a décidé en privé de pirater les réseaux ou les applications d'une entreprise, il n'a aucun besoin d'annoncer son intention de quelque manière que ce soit, sur quelque forum que ce soit.
L'autre limitation majeure, en particulier pour les organisations qui effectuent elles-mêmes la surveillance du dark web, est la multitude d'endroits à surveiller. De nouveaux sites apparaissent sans cesse, et la plupart ne font pas connaître leur existence. Et c'est sans compter avec les chaînes Telegram...
Surveillance interne du dark web ou surveillance du dark web par un tiers ?
Se lancer dans le bricolage signifie soit consacrer beaucoup de temps précieux (comprendre : coûteux) du personnel à la surveillance du dark web, soit le faire de manière médiocre. Cela nécessite probablement l'achat d'outils spécialisés, et cela nécessite certainement que le personnel développe une expertise dans l'utilisation de ces outils.
La surveillance interne du dark web implique également la programmation de scans et d'alertes automatisés, ainsi que l'intégration de la pile de renseignements sur les menaces à d'autres plateformes de cybersécurité, telles que la gestion des informations et des événements de sécurité (SIEM), l'orchestration, l'automatisation et la réponse en matière de sécurité (SOAR), et la détection et la réponse aux incidents au niveau des terminaux (EDR).
Le recours à un service tiers de renseignements sur les menaces qui offre une surveillance du dark web nécessite moins de temps et d'efforts de la part du personnel interne chargé de la cybersécurité. Cependant, cela entraîne des coûts importants, sans compter les précautions habituelles à prendre pour s'assurer que le fournisseur de services gérés est flexible et réactif aux besoins des clients.
Il est important de noter que le recours à un tiers pour surveiller le dark web réduit les risques liés à la collecte d'informations de première main sur les menaces dans des espaces extralégaux. Si vous choisissez de vous débrouiller seul, votre équipe s'aventurera dans des zones dangereuses. Il y a toujours un risque que les agents de sécurité ramènent quelque chose de malveillant ou que quelque chose les suive jusqu'à leur domicile. Le recours à un tiers protège l'entreprise contre ce type d'exposition.
La surveillance du dark web en vaut-elle la peine ?
Pour la plupart des petites entreprises, la surveillance du dark web n'est pas rentable. Les avantages ne compensent pas les coûts et les risques, que ce soit en faisant appel à un service tiers ou en agissant seul.
Plus une organisation est grande ou plus elle est connue, plus ce type de surveillance sera utile et précieux. Pour la plupart des entreprises, il est plus judicieux de faire appel à un service tiers ; cela permet de gagner du temps au personnel chargé de la cybersécurité et réduit le risque d'attirer une attention indésirable par le simple fait de rechercher cette surveillance.
Les rares organisations qui pourraient envisager de s'attaquer à la surveillance du dark web en interne sont celles qui disposent des éléments suivants :
- Des équipes de cybersécurité nombreuses et bien formées, prêtes à consacrer beaucoup de temps et d'efforts à cette initiative.
- Ils sont déjà tellement connues que le fait de sortir, de retourner les pierres et de rechercher les menaces ne les rendra pas plus vulnérables.
Ce qu'il faut surveiller sur le dark web
Les équipes de sécurité qui jugent utile de surveiller le dark web y trouveront une mine d'informations provenant des pirates informatiques et destinées à ces derniers. La surveillance du dark web, qu'elle soit effectuée en interne ou par un service tiers, doit porter sur les éléments suivants :
- Identifiants compromis. Les identifiants disponibles sur le dark web proviennent de sources très diverses. Ils peuvent avoir été volés à l'aide d'un cleptogiciel, obtenus par une attaque de phishing ou photographiés par un livreur passant devant un Post-It collé sur le coin d'un écran d'ordinateur. Certains font partie de fuites massives de données, tandis que d'autres sont des vols ponctuels.
Notez que certaines informations d'identification disponibles sur le dark web sont spéculatives plutôt que vérifiées. Par exemple, des pirates informatiques malveillants peuvent deviner le nom d'utilisateur professionnel d'un employé en se basant sur la manière dont l'entreprise associe généralement les noms et prénoms aux noms d'utilisateur. Ils peuvent également associer l'adresse e-mail professionnelle d'une personne à un mot de passe volé sur un site moins sécurisé, tel qu'un service de livraison de pizzas, en partant du principe que trop de gens réutilisent encore leurs mots de passe.
Les cybercriminels ont même créé des sites et des newsletters leurres, sachant que certains utilisateurs s'y inscrivent avec leur adresse e-mail professionnelle et réutilisent leur mot de passe d'entreprise. Enfin, les infostealers peuvent récolter des informations d'authentification unique, des cookies de session et des clés API qui, si la sécurité du site n'est pas suffisamment stricte, permettent aux attaquants de contourner les défis de l'authentification à deux facteurs.
- Zéro days. Parfois, des pirates informatiques malveillants proposent à la vente, se vantent de posséder ou publient simplement des vulnérabilités exploitables dans un logiciel donné.
- Vulnérabilités spécifiques à l'entreprise. Un acteur malveillant qui parvient à pénétrer dans une organisation peut collecter de nombreuses informations sur ses défenses et ses faiblesses, puis les vendre à d'autres attaquants qui ont pour objectif de perturber, d'extorquer ou de voler des données.
- Aperçus des informations volées. Les cybercriminels qui infiltrent le réseau d'une entreprise publient souvent des aperçus des informations volées, soit pour les vendre aux enchères, soit pour faire pression sur l'organisation afin qu'elle paie une rançon.
- Menaces internes. Certains sites du dark web se spécialisent dans la mise à disposition de forums destinés aux employés mécontents qui cherchent soit à acheter des services de piratage malveillant, soit à vendre des accès, des informations ou une assistance liés à des menaces internes.
- Kits de phishing. Les acteurs malveillants peuvent facilement acheter des kits d'interface utilisateur prêts à l'emploi pour créer des sites Web frauduleux qui ressemblent à s'y méprendre au portail légitime d'une entreprise ou à celui de son partenaire ou fournisseur.
- Sites de phishing. La surveillance du dark web peut mener les chercheurs en menaces vers des sites Web de phishing frauduleux sur le Web ouvert qui reproduisent les pages d'organisations légitimes, avec des URL presque identiques. Sur ces sites, les utilisateurs peu méfiants sont à deux doigts de partager leurs identifiants avec des acteurs malveillants.
Où chercher sur le dark web
Certains sites du dark web servent de forums consacrés aux techniques et méthodologies, axés sur les outils d'attaque et les vulnérabilités logicielles. D'autres sont des marchés où s'échangent des identifiants et des données volés, des sites d'offres d'emploi pour hackers et des plateformes d'attaques à la demande.
Les sites publics effrontés tels que exploit (dot) in et, jusqu'à récemment, BreachForums, sont relativement faciles à trouver et à surveiller. Ce dernier a été fermé par le FBI en 2025, mais ce type de sites a tendance à réapparaître après avoir disparu pendant un certain temps.
Enfin, les chaînes Telegram remplacent de plus en plus les sites traditionnels du dark web. On estime qu'il existe des milliers de chaînes rien que sur Telegram dédiés à la vente d'identifiants volés et d'autres données.
John Burke est directeur technique et analyste de recherche chez Nemertes Research. Il a rejoint Nemertes en 2005, fort d'une expérience de près de vingt ans dans le domaine technologique. Il a occupé divers postes dans le secteur informatique, notamment en tant que spécialiste du support aux utilisateurs finaux, programmeur, administrateur système, spécialiste des bases de données, administrateur réseau, architecte réseau et architecte système.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
![]()
Qu'est-ce qu'une attaque par force brute ?
Par: Katie Terrell Hanna
-
![]()
Cyberéco 2025 fait le constat de la montée en puissance des menaces hybrides
Par: Alain Clapaud
-
![]()
L’IA générative est entrée au service du ransomware
Par: Valéry Rieß-Marchive
-
![]()
Ransomware : la France miraculée de l’été 2024 ?
Par: Valéry Rieß-Marchive
