Une plateforme de renseignement sur les cybermenaces (CTI) est l'infrastructure logicielle par laquelle une organisation de sécurité collecte, traite, enrichit, analyse et agit sur le renseignement sur les menaces. Pour les organisations de défense — commandements militaires, ministères de la défense, contractants de défense — le modèle de menace est fondamentalement différent des organisations commerciales. Les adversaires parrainés par des États, les opérations d'accès persistant, les compromissions de la chaîne d'approvisionnement et les opérations d'information ne sont pas des cas limites ; ils constituent l'environnement de menace de base.

Une plateforme CTI de niveau défense doit être conçue pour opérer dans ce contexte : gérer les flux de renseignement classifiés, corréler les indicateurs cyber avec les renseignements électromagnétiques et humains, et s'intégrer à la fois avec l'infrastructure SIEM commerciale et les réseaux opérationnels classifiés.

Architecture de la plateforme : quatre étapes de traitement

Collecte. Une plateforme CTI ingère du renseignement de plusieurs types de sources : flux de menaces commerciaux (partage ISAC, fournisseurs commerciaux), renseignement de sources ouvertes (OSINT — canaux Telegram, forums du dark web, sites de collage, données d'enregistrement de domaines), télémétrie interne (journaux SIEM, alertes de détection des points de terminaison, données de flux réseau), et flux de renseignement nationaux classifiés le cas échéant. La couche de collecte normalise ces entrées vers un format interne commun et attribue des métadonnées de provenance (source, heure de collecte, niveau de confiance, niveau de classification) à chaque enregistrement.

Normalisation et enrichissement. Les données collectées brutes sont très hétérogènes. Une adresse IP signalée comme indicateur de compromission (IoC) par un flux est une chaîne dans un CSV. Dans un autre flux, c'est un Observable STIX structuré. L'étape de normalisation résout ce problème : extraire des indicateurs structurés (IPs, domaines, hachages, URLs, adresses e-mail, CVE) de sources non structurées et convertir tout au schéma interne de la plateforme.

L'enrichissement augmente les indicateurs normalisés avec du contexte supplémentaire : WHOIS et DNS passif pour les indicateurs de domaine/IP ; géolocalisation ; attribution ASN ; observations SIEM historiques ; et relations avec des acteurs de menace ou des campagnes connus depuis la base de connaissances de la plateforme. Une adresse IP brute enrichie avec « hébergée dans l'ASN 12345, historiquement associée à l'infrastructure C2 d'APT28, première observation 2025-03-14 » est un produit de renseignement exploitable. La même IP sans enrichissement est un point de données.

Analyse et corrélation. La couche d'analyse identifie les relations entre les indicateurs et les attribue aux profils d'acteurs de menace. C'est là que le graphe de connaissances de la plateforme est central : une base de données graphe (typiquement Neo4j ou un graphe de menaces dédié) stockant les relations entre acteurs, campagnes, techniques et indicateurs permet des requêtes de traversée de graphe — « montrez-moi toute l'infrastructure connectée au même acteur que cette IP, à deux sauts de distance. »

L'intégration du cadre MITRE ATT&CK est standard dans les plateformes CTI modernes. Chaque technique observée est taguée à l'identifiant de technique ATT&CK correspondant, permettant l'analyse des lacunes de couverture (quelles techniques ATT&CK notre couverture de détection n'adresse-t-elle pas ?) et le profilage des acteurs de menace (cet acteur utilise systématiquement T1566 — phishing — comme accès initial, suivi de T1053 — tâche planifiée persistante).

Distribution. Le renseignement n'a de valeur que lorsqu'il atteint les équipes qui peuvent agir dessus. La couche de distribution publie les produits de renseignement dans des formats appropriés pour chaque consommateur : flux d'IoC structurés (STIX/TAXII pour d'autres plateformes CTI et systèmes SIEM), rapports lisibles par l'homme (formatés pour les analystes), et intégrations SIEM directes (envoi des listes de blocage d'IoC et des règles de détection directement vers les moteurs de règles SIEM).

STIX et TAXII : la couche d'interopérabilité

STIX (Structured Threat Information eXpression) est le modèle de données pour représenter le renseignement sur les cybermenaces — acteurs de menace, campagnes, indicateurs, schémas d'attaque et les relations entre eux. TAXII (Trusted Automated eXchange of Intelligence Information) est le protocole de transport pour échanger des objets STIX entre plateformes. Ensemble, ils permettent le partage de renseignement automatisé, de machine à machine.

Pour les organisations de défense, l'implémentation STIX/TAXII n'est pas optionnelle — c'est le mécanisme par lequel la NCIA NATO, les CERT nationaux et les organisations partenaires de confiance partagent le renseignement sur les menaces classifié et non classifié. Une plateforme CTI qui ne peut pas consommer ou produire des bundles STIX 2.1 est isolée de l'écosystème de partage plus large.

Sources de menaces spécifiques à la défense

Une plateforme CTI commerciale s'appuyant sur des flux de fournisseurs manque le renseignement le plus opérationnellement pertinent pour les organisations de défense. Les sources spécifiques à la défense comprennent :

Surveillance Telegram. Depuis 2022, Telegram est devenu un canal de sécurité opérationnelle primaire pour les acteurs de menace alignés sur des États, les groupes hacktivistes et les acteurs de menace soutenant les opérations cinétiques. Les canaux annoncent les cibles avant les attaques, publient les violations revendiquées et coordonnent la reconnaissance. La surveillance systématique des canaux pertinents — avec extraction d'entités et recoupement avec les profils d'acteurs connus — fournit un renseignement d'alerte indisponible dans les flux commerciaux.

Surveillance des forums du dark web. L'infrastructure criminelle utilisée par les acteurs étatiques (hébergement pare-balles, courtiers d'accès, marchés d'exploits) est commercialisée sur les forums du dark web. Surveiller ces forums pour les mentions d'organisations, systèmes ou identifiants spécifiques fournit une alerte précoce des attaques imminentes.

Renseignement sur les domaines et certificats. Les acteurs parrainés par des États enregistrent des domaines imitant les organisations de défense pour des campagnes de spear-phishing. Les journaux de transparence des certificats, le DNS passif et la surveillance des nouveaux enregistrements de domaines peuvent détecter ces préparatifs avant le lancement de la campagne.

Point clé : L'attribution des menaces — assigner un incident ou une campagne cyber à un acteur étatique spécifique — nécessite une convergence à travers plusieurs types de preuves : TTPs, infrastructure, schémas de ciblage, calendrier, et là où disponibles, renseignements électromagnétiques et humains. Une plateforme CTI construite pour la défense doit être capable d'intégrer tous ces éléments, pas seulement les indicateurs cyber de manière isolée.

Architecture d'intégration SIEM

Les plateformes CTI délivrent de la valeur principalement par l'intégration avec le système SIEM (Security Information and Event Management), qui est là où se produisent la détection et la réponse. L'intégration prend deux formes : la détection basée sur les IoC (la plateforme CTI pousse les IPs, domaines et hachages malveillants connus vers le SIEM sous forme de listes de blocage et de règles de détection) et la détection basée sur les TTP (la plateforme CTI publie la logique de détection alignée MITRE ATT&CK dérivée du profilage des acteurs de menace).

Les architectures modernes implémentent cela via des playbooks SOAR (Security Orchestration, Automation and Response) qui ingèrent automatiquement les sorties CTI, les appliquent à la pile de détection SIEM et déclenchent des flux de réponse pour les alertes à haute confiance. La triade SIEM-SOAR-CTI est l'épine dorsale opérationnelle d'un SOC (Security Operations Center) de défense.