Airbus CyberSecurity : « faire de la détection sans renseignement sur les menaces c’est impossible »

Julien Menissez, chef de produit pour les services de sécurité managés d’Airbus CyberSecurity, se souvient : « nous avons commencé à faire du renseignement sur les menaces dans les années 2010, pour nos prestations de réponse à incident ».

À l’époque, il s’agissait notamment d’aider l’enquête, la compréhension de l’incident et son étendue, en tâchant d’établir une attribution. Avec cela, il s’agissait de répondre aux besoins d’organisations disposant de leur propre centre de sécurité opérationnelle (SOC), mais pas forcément d’une capacité complète de réponse aux incidents de sécurité : « nous faisions essentiellement de la modélisation d’attaquant », explique Julien Menissez.

Mais avec le temps, la maturité a progressé et le regard sur la pratique du renseignement sur les menaces a évolué : « ces SOC ont commencé à trouver un intérêt à accéder aux marqueurs techniques que l’on utilisait pour la réponse à incident ». Les fameux indicateurs de compromission (IOC). Alors, tout naturellement, « nous avons commencé à leur proposer un service de partage de marqueurs techniques, à l’époque appelé MRTI pour Machine Readable Threat Intelligence ».

Munies de ces indicateurs adaptés aux métiers du SOC, les organisations clientes ont pu commencer à « passer d’une posture de réponse à une posture de détection ». Et donc essayer d’anticiper, ou du moins de réduire l’avance des assaillants. Un point clé où le renseignement est essentiel : « faire de la détection sans renseignement sur les menaces, ce n’est pas possible », explique Julien Menissez.

« Avec le temps, la demande a progressé. Et nous sommes arrivés un peu aux limites de notre back-office dans le traitement et la fourniture des paquets de marqueurs envoyés à nos clients ».

Initialement, les équipes d’Airbus CyberSecurity utilisaient là des outils open source : « tout le monde connaît MISP ». Les indicateurs étaient donc échangés soit directement entre instances MISP, soit « par fichiers à plat ». Mais avec le temps, « la demande a progressé. Et nous sommes arrivés un peu aux limites de notre back-office dans le traitement et la fourniture des paquets de marqueurs envoyés à nos clients ». D’où la recherche d’une alternative. Mais celle-ci n’a pas été triviale.

La première rencontre avec les équipes de ThreatQuotient a eu lieu fin 2016. « Mais les capacités de ThreatQ ne répondaient pas pleinement à nos besoins et n’étaient pas parfaitement cohérentes avec notre façon de travailler ». Retour donc à la case développement autour de l’existant, « pour la gestion des indicateurs, ainsi que la modélisation ». Là, « il s’est avéré toujours difficile de maintenir les SLA et nous avions la volonté de monter en qualité sur la contextualisation et la fraîcheur des données fournies aux clients ».

De nouveaux échanges ont donc eu lieu avec les équipes de ThreatQuotient au second semestre 2018 : « là, nous avons eu le sentiment que l’outil avait fortement progressé et se rapprochait bien plus de nos besoins. Nous avons décidé de lancer un pilote avant, finalement, de souscrire à la plateforme ». Aujourd’hui, c’est donc sur celle-ci que travaillent les équipes chargées de l’analyse et de la production du renseignement sur les menaces pour les clients d’Airbus CyberSecurity.

Mais MISP est toujours là, utilisé pour les échanges : « tous les clients connaissent MISP ». Mais pour Julien Menissez, « le modèle de représentation des données de MISP présente quelques limites », et ne répond pas forcément à ses besoins « pour le classement de l’information » : « nous allons plus loin avec ThreatQ ».

Et quid, alors des offres d’ElecticIQ, d’Anomali ? « Nous avions également regardé. Mais l’ADN de ThreatQuotient est plus comparable au nôtre : nous travaillons beaucoup dans le secteur de la Défense, ou avec des opérateurs d’importance vitale ». Et selon Julien Menissez, ThreatQuotient « comprend bien les cas d’usage des entreprises affichant de tels profils. Certains sont déjà modélisés dans leur plateforme. C’est une chose que nous n’avions pas trouvée chez les autres et qui a beaucoup joué ».

Et il ne semble pas être le seul à penser cela. La plateforme de gestion du renseignement sur les menaces a également séduit la Défense française, comme en témoignait début 2018 dans nos colonnes Sébastien Bombal, alors officier Anticipation à l’État-major des armées cyberdéfense.