Teknik - The Overlooked Playground - An Attacker’s Journey Through GCP
13 septembre 2025
Parce que... c'est l'épisode 0x650!
PME - Balayage de vulnérabilités vs test d'intrusion avec des ninjas
17 septembre 2025
Parce que... c'est l'épisode 0x649!
Spécial - Entretiens avec Miguel De Bruycker du Centre pour la Cybersécurité Belgique
14 octobre 2025
Parce que... c'est l'épisode 0x648!
Actu - 19 ocotbre 2025
19 octobre 2025
Parce que... c'est l'épisode 0x647!
Spécial - Structurer l'expatriation
07 juillet 2025
Parce que... c'est l'épisode 0x646!
Teknik - Browser Detection and Response
10 juillet 2025
Parce que... c'est l'épisode 0x645!
PME - Les certifications
17 septembre 2025
Parce que... c'est l'épisode 0x644!
Actu - 12 octobre 2025
12 ocotbre 2025
Parce que... c'est l'épisode 0x643!
Teknik - Tendance pour terminer 2025
01 octobre 2025
Parce que... c'est l'épisode 0x642!
PME - La sécurité, trop cher?
17 septembre 2025
Parce que... c'est l'épisode 0x641!
Teknik - BloodHound et OpenGraph
13 septmbre 2025
Parce que... c'est l'épisode 0x640!
Actu - 5 octobre 2025
05 octobre 2025
Parce que... c'est l'épisode 0x639!
Spécial - Responsabilité IA
22 mai 2025
Parce que... c'est l'épisode 0x638!
PME - Petit quiz PME ou que ce que vous avez toujours voulu savoir
26 juillet 2025
Parce que... c'est l'épisode 0x637!
Le monde selon Cyber Citoyen et Polysécure édition GoSec (collab no8)
11 septembre 2025
Parce que... c'est l'épisode 0x636!
Actu - 28 septembre 2025
28 septembre 2025
Parce que... c'est l'épisode 0x635!
Spécial - Reconversion en cybersécurité
22 juillet 2025
Parce que... c'est l'épisode 0x634!
PME - Protection des renseignements personelles
26 juillet 2025
Parce que... c'est l'épisode 0x633!
Actu - 21 septembre 2025
21 septembre 2025
Parce que... c'est l'épisode 0x632!
Spécial - Les boeufs sont lents mais la terre est patiente (Panel au BSides Montréal 2025)
13 septembre 2025
Parce que... c'est l'épisode 0x631!
Spécial - Hommage à Michel Cusin
13 septembre 2025
Parce que... c'est l'épisode 0x630!
Actu - 14 septembre 2025
14 septembre 2025
Parce que... c'est l'épisode 0x629!
PME - Questions sur l'IA
26 juillet 2025
Parce que... c'est l'épisode 0x628!
Teknik - Sécurité physique
18 juin 2025
Parce que... c'est l'épisode 0x627!
Actu - 7 septembre
07 septembre 2025
Parce que... c'est l'épisode 0x626!
PME - Programme FORCE (cybersécurité) de l'UQTR destiné aux PME
03 septembre 2025
Parce que... c'est l'épisode 0x625!
Teknik - Résilience OT
12 juin 2025
Parce que... c'est l'épisode 0x624!
Actu - 1er septembre 2025
01 septembre 2025
Parce que... c'est l'épisode 0x623!
Teknik - CTI
12 juin 2025
Parce que... c'est l'épisode 0x622!
Parce que… c’est l’épisode 0x622!
Shameless plug
- 10 et 11 septembre 2025 - GoSec 2025
- Code rabais de 15% - GSPOL25
- 13 septembre 2025 - BSides Montreal 2025
- 12 au 17 octobre 2025 - Objective by the sea v8
- 14 et 15 octobre 2025 - Forum inCyber Canada
- Code rabais de 30% - CA25KDUX92
- 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
- 17 au 20 novembre 2025 - European Cyber Week
- 25 et 26 février 2026 - SéQCure 2026
Description
Dans cet épisode du podcast technique, Jordan Theodore aborde les défis contemporains auxquels font face les analystes en Cyber Threat Intelligence (CTI), particulièrement en ce qui concerne la dégradation de la qualité des sources d’information ouvertes et l’impact sur le travail quotidien des professionnels de la cybersécurité.
Définition et rôle de la CTI
Jordan débute en définissant la CTI selon Sergio Caltagirone, expert reconnu ayant travaillé pour le gouvernement américain et Microsoft. La CTI constitue une connaissance exploitable concernant les adversaires et leurs activités malveillantes, incluant le contexte et les TTP (Tactiques, Techniques et Procédures). Ces informations permettent aux organisations et aux équipes de défense (Blue Team) de réduire les risques et d’améliorer leur posture de sécurité.
Le travail de l’analyste CTI s’organise autour de quatre types d’intelligence. L’intelligence stratégique, orientée vers le long terme, s’adresse principalement aux grandes organisations et au secteur public, fournissant des macrotendances et analysant les risques géopolitiques liés aux APT (Advanced Persistent Threats). L’intelligence opérationnelle et technique, plus courante, se concentre sur la connaissance des adversaires, l’analyse des campagnes, les vecteurs d’accès initiaux et la documentation des chaînes d’attaque. Les analystes recherchent également des observables et des artefacts (adresses IP, URLs, domaines) pour créer des playbooks destinés aux équipes SOC et de réponse à incident, ainsi que des règles de détection (Sigma, Yara) pour peupler les équipements de sécurité.
La crise de qualité dans les sources ouvertes
Le cœur de la discussion porte sur une problématique majeure observée en 2025 : la détérioration significative de la qualité des articles et rapports CTI disponibles en sources ouvertes. Jordan illustre ce phénomène avec l’exemple de la campagne Wine Grape Loader d’avril 2025, attribuée à APT29, qui a généré plus de cent articles de qualité variable.
Le problème principal réside dans la multiplication d’articles manquant de substance sur tous les aspects : stratégique, technique et opérationnel. Beaucoup se limitent à un travail journalistique superficiel, souvent constitué de copier-coller d’autres publications. Cette surabondance crée un bruit informationnel considérable qui complique énormément le travail des analystes, particulièrement en situation d’incident où le temps est critique.
Jordan décrit un effet “poupée russe” où les créateurs de contenu copient des articles déjà copiés ailleurs, rendant difficile l’identification de la source originale. Cette dilution progressive de l’information rappelle le principe de l’homéopathie, où le contenu utile devient de plus en plus dilué à chaque itération. Parmi les trente articles analysés pour la campagne Grape Loader, la majorité constituait des copies de deux sources principales : Checkpoint et Google, qui avaient fourni un excellent travail précurseur.
L’absence d’analyse et de valeur ajoutée
Ces articles recyclés présentent des lacunes caractéristiques : absence d’indicateurs techniques, manque de détails opérationnels, et surtout absence de l’expertise propre du fournisseur ou de l’organisation. On n’y retrouve ni analyse approfondie ni perspective unique, seulement des citations sans attribution claire. Ce phénomène touche non seulement des sites web spécialisés en APT et cybercrime, mais également des pages LinkedIn influentes comptant plus de 30 000 abonnés, qui publient des rapports constitués à 90% de contenu copié.
L’évolution vers les feeds payants
Face à cette dégradation, les organisations se tournent de plus en plus vers des feeds CTI payants pour garantir la qualité de leurs sources. En France, par exemple, les investissements se portent sur des services comme Intel 471, Sekoia ou Mandiant (Google) afin de réduire le bruit et accroître la qualité des informations. Cette tendance s’est accentuée au cours des six dernières années, avec des coûts extrêmement élevés justifiés par le gain de temps considérable.
Les grands fournisseurs disposent d’avantages significatifs : accès privilégié au dark web, feeds multiples et informations obtenues avant tout le monde. Jordan estime qu’environ 10% seulement des articles disponibles publiquement présentent une maturité suffisante pour être exploitables, les 90% restants n’ayant pas accès à des sources de qualité.
Le rôle ambivalent de l’intelligence artificielle
L’IA constitue à la fois un problème et une solution potentielle. Du côté négatif, elle facilite la production massive de contenu de faible qualité, permettant de générer rapidement des articles en demandant simplement un condensé d’une source existante. Cependant, utilisée correctement, l’IA pourrait aider les analystes à filtrer le bruit informationnel en utilisant des recherches avancées avec des critères spécifiques (niveau technique, présence d’IOC, impact opérationnel).
Les problèmes de nomenclature et d’attribution
Jordan souligne également les mauvaises pratiques en matière de nomenclature des groupes malveillants. Les éditeurs d’antivirus utilisent leurs propres systèmes de nommage fantaisistes (comme “Midnight Blizzard” pour APT29), créant confusion et biais. Ces appellations marketing induisent des préjugés géographiques qui peuvent nuire à l’analyse objective.
L’attribution rapide et souvent erronée des campagnes à des groupes spécifiques constitue un autre problème majeur. L’exemple du ransomware-as-a-service Lockbit illustre cette difficulté : dès qu’on détecte des traces de Lockbit, l’attribution est faite au groupe principal, alors que l’outil peut avoir été acheté par des acteurs sans lien avec l’organisation d’origine.
L’importance des TTP versus les IOC
Jordan insiste sur la nécessité de se concentrer sur les TTP plutôt que sur les simples indicateurs de compromission (IOC). En référence à la pyramide de la douleur, les TTP représentent ce qu’il y a de plus difficile à changer pour un attaquant. Une adresse IP possède une durée de péremption très courte (un jour à une semaine maximum), tandis qu’une technique comme l’utilisation de fausses invitations à des dégustations de vin pour du phishing constitue un élément plus durable et exploitable pour la défense.
Conclusion
Ce podcast met en lumière une crise de qualité dans l’écosystème CTI qui menace l’efficacité des équipes de cybersécurité. La surabondance d’informations de faible qualité, couplée à la nécessité croissante de recourir à des sources payantes, transforme profondément le métier d’analyste CTI. Cependant, cette situation confirme également que l’expertise humaine reste indispensable pour distinguer le signal du bruit et effectuer des analyses pertinentes que l’IA ne peut pas encore remplacer.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: intelligence, menace, threat
Tweet
