La cybersécurité de défense, c'est la cybersécurité d'entreprise assortie de trois multiplicateurs — adversaires étatiques, topologie réseau en enclaves classifiées et couplage à la technologie opérationnelle. Les plateformes qui fonctionnent dans ce contexte se construisent à partir du modèle de menaces : actifs catalogués par classification et criticité, renseignement sur les menaces circulant à travers des pipelines STIX/TAXII, détection et réponse posées en couches par-dessus. Les plateformes qui échouent ont été bâties en habillant un logiciel de sécurité commercial d'une étiquette défense. Cette série en quatre parties explique comment bien faire. La partie 1 couvre le socle.

Le cadrage architectural se trouve dans Le guide complet de la cybersécurité de défense. La série de construction C2 dans Bâtir un système C2 à partir de zéro est la plateforme que cette pile cyber défend ; la série d'interopérabilité OTAN dans Mise en œuvre de l'interopérabilité OTAN, pas à pas pose le contexte de partage de données en coalition.

Étape 1 : bâtir un modèle de menaces explicite

Une cybersécurité de défense qui ne part pas d'un modèle de menaces explicite est une cybersécurité de défense qui se défend contre une fiction. Le modèle de menaces documente contre qui la plateforme se défend, ce que ces adversaires peuvent faire et ce qu'ils veulent. Chaque décision architecturale ultérieure y fait référence.

Les composants d'un modèle de menaces de niveau défense :

  • Acteurs de menace. Adversaires étatiques (avec attribution nominale par pays là où le contexte opérationnel le justifie), groupes affiliés à un État, acteurs criminels, internes, vecteurs de compromission de la chaîne d'approvisionnement. Chaque acteur a un profil de motivation, de capacité et de patience.
  • Tactiques adverses. La cartographie MITRE ATT&CK est le langage commun ; s'y aligner dès le premier sprint. TTP (tactiques, techniques, procédures) spécifiques que la plateforme anticipe.
  • Objectifs adverses. Reconnaissance, persistance, mouvement latéral, exfiltration de données, perturbation opérationnelle, préparation cinétique. Des objectifs différents exigent des postures défensives différentes.
  • Surface d'attaque. Points d'ingestion réseau, dépendances de chaîne d'approvisionnement, surfaces orientées humain (hameçonnage, ingénierie sociale), interfaces de technologie opérationnelle.
  • Capacités adverses présumées. Exploitation de zero-days, implants sur mesure, capacité d'interception de signaux, tolérance au temps de présence. L'ingénierie défensive de la plateforme est dimensionnée pour ces capacités, pas pour celles du crime commercial.
  • Menaces hors périmètre. Explicitement énumérées : sécurité physique du centre de données, sécurité électromagnétique au-delà des pratiques standard, menaces traitées par d'autres parties de l'architecture de sécurité. Le cadrage prévient la dérive vers une défense infinie.

Le modèle de menaces est un document vivant, versionné dans le dépôt aux côtés du code source, revu par les responsables sécurité et ingénierie. C'est l'artefact de niveau achat que les évaluateurs d'accréditation réclament en premier.

Étape 2 : inventaire d'actifs avec classification et criticité

La pile cyber défend des actifs spécifiques. Les cataloguer est ingrat et décisif — les programmes qui sautent l'inventaire d'actifs se défendent contre le mauvais adversaire et la mauvaise surface d'attaque.

Le catalogue d'actifs capture, pour chaque actif :

  • Identifiant et nom convivial de l'actif. Stable, lisible par l'humain, traçable à travers la chaîne d'outils de sécurité.
  • Type d'actif. Système, base de données, segment réseau, service applicatif, poids de modèle, jeu de données d'entraînement, contrôleur de technologie opérationnelle.
  • Niveau de classification. OTAN RESTRICTED, OTAN SECRET, COSMIC TOP SECRET, équivalents nationaux. Le niveau façonne tout en aval.
  • Compartiments et libérabilité. Selon les conventions STANAG 4774 (voir Partie 3 de la série interopérabilité OTAN).
  • Palier de criticité. Critique pour la mission, essentiel à la mission, en soutien de mission, administratif. Différents paliers justifient différentes postures défensives.
  • Propriété. L'organisation responsable de l'exploitation et de la sécurité de l'actif.
  • Enclave réseau. Quel réseau classifié ou non classifié sur lequel l'actif opère.
  • Dépendances. De quels autres actifs celui-ci dépend ; ce qui dépend de lui.

Le catalogue est automatisé là où c'est possible (intégration CMDB, scan de découverte là où c'est autorisé) et conservé manuellement là où l'automatisation est insuffisante (les actifs de technologie opérationnelle exigent souvent un catalogage manuel). Document vivant, versionné, socle pour tout ce qui suit.

Étape 3 : établir le pipeline CTI

Le Cyber Threat Intelligence est la couche qui rend la détection significative. Indicateurs bruts en entrée, données de menaces contextualisées en transit, renseignement actionnable en sortie vers la chaîne d'outils de détection et de réponse. L'architecture du pipeline compte autant que les entrées.

Les étapes du pipeline :

Ingestion. Plusieurs types de flux : flux STIX/TAXII de fournisseurs commerciaux, bulletins des CSIRT partenaires, avis des CERT nationaux, bases de vulnérabilités (NVD, avis fournisseurs), sources OSINT. Chaque flux a son propre format, son authentification et son modèle de confiance.

Normalisation. Convertir les entrées en une représentation CTI canonique — objets STIX 2.1 (indicateurs, malwares, acteurs de menace, campagnes, motifs d'attaque). La normalisation est unidirectionnelle ; la forme canonique est ce que voient les consommateurs. L'ingénierie détaillée de la plateforme CTI est dans Plateformes CTI pour la défense.

Déduplication et corrélation. Le même indicateur peut apparaître dans cinq flux. Dédupliquer agressivement. Corréler les indicateurs partageant un contexte — même acteur de menace, même campagne, même motif d'attaque — en paquets de renseignement composites.

Enrichissement. Ajouter le contexte qui manque aux flux bruts : score de confiance, cartographie MITRE ATT&CK, scoring de pertinence vis-à-vis de l'inventaire d'actifs, consignes de traitement de classification, étiquettes de libérabilité.

Distribution. Pousser vers le SIEM/SOAR pour les règles de détection, vers l'EDR pour les listes de blocage d'endpoints, vers les outils de sécurité réseau pour le filtrage du trafic, vers les équipes de chasse comme entrées de recherche, vers la pile de fusion opérationnelle où les observables cyber entrent dans l'image multi-INT (voir Pipeline de fusion, Partie 3).

Étape 4 : mise en œuvre STIX/TAXII

STIX (Structured Threat Information Expression) est le modèle de données pour le renseignement cyber. TAXII (Trusted Automated Exchange of Intelligence Information) est le protocole de transport. Ensemble, ils sont la lingua franca des échanges CTI entre organisations de défense et fournisseurs commerciaux de renseignement sur les menaces.

La réalité de la mise en œuvre :

Côté consommateur d'abord. La plupart des programmes de défense consomment STIX/TAXII auprès de fournisseurs commerciaux (Mandiant, Recorded Future, CrowdStrike, MITRE) et de CSIRT partenaires. Le client TAXII 2.x côté consommateur est bien compris et abordable.

Validation de schéma à la frontière. Chaque objet STIX entrant est validé contre le schéma avant tout traitement ultérieur. Les entrées mal formées sont journalisées et rejetées. Les violations de schéma ont été utilisées comme vecteurs d'injection ; la validation stricte est la défense structurelle.

Score de confiance. Les objets STIX comportent des champs de confiance. S'en servir. Un indicateur à haute confiance d'un fournisseur et un indicateur à faible confiance dérivé de l'OSINT subissent un traitement différent dans le pipeline de détection en aval.

Côté fournisseur sélectivement. Les programmes qui partagent du renseignement avec des partenaires — CSIRT de coalition, participation aux ISAC, partage interne-externe pour la réponse à incident — mettent en œuvre des endpoints TAXII fournisseur. L'implémentation est plus lourde que côté consommateur et exige la discipline de traitement de classification de la partie 3 de cette série.

Étape 5 : pipeline OSINT avec diversité des sources

Le renseignement de source ouverte est une entrée CTI de haute valeur. Réseaux sociaux, sites de paste, sites de fuite de ransomwares, forums techniques, avis de sécurité fournisseurs, actualités. La détection OSINT d'une attaque contre des forces ou infrastructures partenaires est du renseignement à valeur opérationnelle sur lequel les flux fournisseurs sont souvent en retard.

Le motif du pipeline OSINT :

Diversité des sources. Aucune source unique ne domine. Plusieurs sources réduisent le biais d'un seul flux et font remonter plus vite les faux positifs.

Confiance par source. Chaque source a un score de confiance calibré sur la précision historique. Un indicateur revendiqué sur un forum anonyme est traité différemment d'un indicateur confirmé dans un avis du CERT national.

Attribution et citation. Chaque indicateur dérivé de l'OSINT porte l'URL source, l'horodatage du snapshot et une note d'analyste. Sans provenance, l'indicateur ne survit pas à la revue et ne peut être propagé aux partenaires de coalition.

Garde-fous juridiques et éthiques. La collecte OSINT sur les réseaux sociaux comporte des contraintes juridiques qui varient selon la juridiction. La politique de collecte OSINT de la plateforme est documentée, revue par le service juridique et appliquée dans le code. Le traitement détaillé est dans Surveillance des menaces OSINT pour la défense.

Idée clé : Le pipeline CTI est la couche qui transforme un logiciel de sécurité générique en défense de niveau défense. Un SIEM sans CTI attrape des menaces de masse. Un SIEM enrichi de CTI pertinent face aux États-nations attrape les menaces contre lesquelles la plateforme se défend réellement. L'investissement dans l'infrastructure CTI est la décision à plus fort effet de levier dans la pile cyber.

Étape 6 : le cyber comme discipline de fusion

La cybersécurité de défense moderne traite les observables cyber comme une autre discipline du renseignement aux côtés du SIGINT, de l'IMINT et de l'ELINT. Les sorties de la pile cyber alimentent le pipeline de fusion opérationnelle ; les sorties du pipeline de fusion opérationnelle enrichissent la décision cyber. L'intégration est bidirectionnelle.

Le motif architectural :

Événements cyber en tant qu'observations. Compromissions confirmées, détections de tentatives d'attaque, campagnes attribuées — chacun devient une observation dans le schéma canonique de pistes, étiqueté avec des métadonnées de discipline cyber. Le motif détaillé est dans Bâtir un pipeline de fusion de défense, Partie 3.

Enrichissement CTI des pistes du domaine physique. Quand un indicateur cyber suggère une activité adverse à un emplacement géographique, l'indicateur enrichit la piste du domaine physique dans l'image opérationnelle. Un point de collecte SIGINT colocalisé avec une compromission cyber confirmée devient une piste de priorité supérieure pour l'opérateur.

Machinerie de classification partagée. Les étiquettes de classification des données cyber circulent à travers le même binding STANAG 4774/4778 que les données du domaine physique. Les compartiments et la libérabilité spécifiques au cyber fonctionnent aux côtés du système de classification plus large.

Étape 7 : structure de dépôt pour le code cyber

Le code de la pile cyber est sensible — des modifications incorrectes peuvent désactiver la détection, manquer des compromissions ou faire fuir du matériel classifié. La discipline de dépôt atténue le risque.

La structure qui fonctionne :

  • cyber/threat-model/ — documents de modèle de menaces versionnés, cartographies MITRE ATT&CK, classifications de paliers d'actifs.
  • cyber/asset-inventory/ — le catalogue de l'étape 2, avec fusion entre automatisation de découverte et conservation manuelle.
  • cyber/cti/feeds/ — configurations de flux, règles de normalisation par source, politiques de déduplication.
  • cyber/cti/enrichment/ — pipelines d'enrichissement, règles de scoring de confiance, scoring de pertinence des actifs.
  • cyber/detection-rules/ — contenu de détection SIEM (règles Sigma, formats spécifiques fournisseur), versionné, testé en CI contre des données d'événements capturées.
  • cyber/playbooks/ — playbooks de réponse SOAR, testés en CI, revus par la direction sécurité avant déploiement.
  • cyber/forensics/ — outillage de collecte et d'analyse, procédures de chaîne de garde.
  • cyber/ADRs/ — Architecture Decision Records pour les choix d'architecture cyber significatifs.

La suite

La partie 1 a bâti le socle. Modèle de menaces explicite, inventaire d'actifs avec classification, pipeline CTI ingérant STIX/TAXII et OSINT, intégration cyber-comme-discipline-de-fusion, discipline de dépôt. La pile cyber dispose désormais d'une vue claire de ce contre quoi elle se défend, de ce qu'elle défend et d'où vient son renseignement.

La partie 2 met en œuvre la couche opérations : SIEM et SOAR conçus pour les enclaves classifiées, intégration inter-CERT, discipline de playbooks automatisés, les réalités pratiques qui distinguent le cyber opérationnel du cyber PowerPoint.