Kurhan - stock.adobe.com

Renseignement sur les menaces : l’indispensable pluralité des équipes

Pas question de ne miser que sur des profils techniques, il faut aujourd’hui bien plus pour pouvoir produire du renseignement contextualisé et pertinent. Mais constituer les équipes et les faire travailler ensemble efficacement, peut s’avérer difficile.

Sébastien Larinier, spécialiste du renseignement sur les menaces et co-fondateur de la plateforme Francomisp, aussi connu sous le pseudonyme Sebdraven, posait tout récemment la question sur Twitter : quid de l’intégration de géopoliticiens dans les équipes de renseignement sur les menaces ? Pour y0m, qui répond à la question, cela ne fait pas de doute : la discipline « est par nature pluridisciplinaire » et « il n’est pas choquant d’y voir des historiens, des sociologues, des géopoliticiens ».

Nicolas Caproni, chef d’équipe chez Sekoia, va plus loin : « il faut surtout arrêter d’opposer profils techniques et non techniques. Chacun apporte quelque chose à l’autre ». Accessoirement, selon lui, « les profils géopolitiques (ou autres, comme les juristes), sont généralement plus ‘ouverts’ d’esprit et veulent monter en compétences techniques pour comprendre et discuter avec les profils techniques ».

Sandrine Cullafroz-Jover, directrice de PwC Société d’Avocats, semble bien du même avis : « la complémentarité des profils, c’est essentiel ». Et cela vaut aussi pour Diane Rambaldini, présidente de Crossing Skills, pour qui « la diversité est une force ».

Des disciplines multiples et variées

Nathalie Granier illustre parfaitement cette approche. Cette psychologue de formation – également passée par le domaine des ressources humaines et le conseil - passionnée de psychologie criminelle, est aujourd’hui analyste chez CybSec TIA. Cette jeune agence est née dans l’esprit d’Antonin Hily, aujourd’hui directeur technique cybersécurité chez Sogeti.

Nathalie Granier décrit l’idée maîtresse de CybSec TIA : « produire du renseignement sur les menaces centré sur l’analyse de risque des clients ». Cet élément de contexte s’avère essentiel pour poser des questions pertinentes. Surtout, le rôle de Nathalie Granier se concentre « sur les quatre objets du modèle Stix qui ne sont pas uniquement techniques, à savoir les adversaires, les victimes, les TTP (ou tactiques, techniques et procédures) et les campagnes ».

De quoi aller au-delà des indicateurs de compromission (IoC), ces marqueurs techniques d’attaque, pour développer une cartographie de plus haut niveau et, ensuite, l’observer à travers le prisme de l’analyse de risque du client, afin de produire du renseignement hautement contextualisé. Et pour Nathalie Granier, ce travail nécessite autre chose que des ressources techniques, avec des mises en perspective économiques, géopolitiques, ou encore l’intervention de linguistes. D’où la volonté de CybSec TIA « de constituer une équipe hétéroclite ».

Savoir intégrer ces compétences

Loïs Samain voit également l’intérêt de l’inclusion de la géopolitique « pour certains clients », comme les Etats, ou certaines multinationales. Pour Felix Aimé, analyste chez Kaspersky, ce complément peut être utile « pour enrober les rapports, permettre aux lecteurs de comprendre les enjeux, causes et conséquences de certaines attaques, avec un point de vue prospectif non négligeable, quand c’est bien fait ». Kevin Limonier, professeur à l’institut français de géopolitique et à l’université Paris 8, souligne au passage que le sujet des enjeux géopolitiques liés au cyberespace a fait l’objet d’un numéro de la revue Hérodote.

Pour y0m, « la géopolitique est une discipline utile si le contexte s’y prête ». Par exemple, « l’étude d’un groupe à motivation financière ne demande pas une interprétation géopolitique ». En revanche, « elle peut bénéficier des apports d’experts en blanchiment ».

Se pose toutefois la question de la capacité à faire coopérer des profils aussi divers. Ainsi, pour Sébastien Larinier, certains experts non techniques « sont quand même très élitistes et [ne] se mélangent pas avec le bas peuple qui a les mains dans le cambouilli ».

Mais quelles que soient les difficultés, pour y0m, « le renseignement est un cycle qui va de la collecte de données jusqu’à leur analyse. Ce n’est pas que de la géopolitique et à chaque étape du cycle correspondent des profils différents ». Sébastien Larinier s’inscrit au final sur cette même ligne : pour lui, la question est en définitive de savoir quand faire intervenir les différents profils et dans quelle proportion. Le RSSI Loïs Samain ne semble pas voir les choses autrement.

Le risque du vernis marketing

Mais voilà, mettre en place de telles équipes pluridisciplinaires n’est pas forcément trivial. Loïs Samain estime d’ailleurs que former des personnes avec des compétences non techniques peut aider à palier le manque de compétences techniques.

Reste que, pour Eric Egéa, consultant SSI, « lorsque l’on voit ce panel de profils, on comprend qu’il peut être intéressant d’externaliser le [renseignement sur les menaces] ». Car pour lui, constituer de telles équipes aussi diversifiées, n’est « pas à la portée de tous les budgets ».

Le problème, comme bien souvent et surtout pour « tous les marchés manquant de bande passante », souligne Eric Egéa, avec l’externalisation, le risque n’est pas négligeable de tomber sur des « guignols », relève Sébastien Larinier. C’était d’ailleurs sa crainte initiale : lorsque les compétences non-techniques sont trop mises en avant, « à l’arrivée, j’ai l’impression que l’on [cache] un déficit de compétences techniques ». Loïs Samain n’a pas une expérience bien différente : « les sociétés de renseignement sur les menaces que j’ai vues, faisant de la géopolitique, étaient mauvaises sur le technique ». Alors pour lui, il convient de faire « attention aux priorités ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close