Défense et opérations
Renseignement sur les menaces
Aussi appelé: TI, Threat Intel
Définition
Connaissance fondée sur des preuves concernant les menaces et leurs auteurs — indicateurs, TTP et contexte — utilisée pour orienter les décisions de sécurité et la détection.
Le renseignement sur les menaces (threat intelligence) est la collecte, le traitement, l'analyse et la diffusion structurés d'informations sur les adversaires, leurs motivations, capacités et infrastructures. Il transforme des données brutes (échantillons de malware, IP, domaines, identifiants exposés, chatter du dark web, rapports de vulnérabilités) en renseignement actionnable en ajoutant contexte, confiance et public cible. Les organisations consomment ce renseignement via des flux (STIX/TAXII, MISP), des plateformes (TIP), des rapports d'éditeurs et des partages d'ISAC afin d'enrichir les détections SIEM et EDR, prioriser les correctifs et éclairer les décisions de risque de la direction. Il se classe par public et horizon temporel en niveaux stratégique, opérationnel et tactique.
Exemples
- Un ISAC partage des IoC associés à un nouvel affilié ransomware plusieurs heures avant qu'il ne frappe ses membres.
- Une TIP enrichit les événements SIEM avec attribution d'acteur, techniques MITRE ATT&CK et niveau de confiance.
Termes liés
Renseignement sur les menaces cyber (CTI)
Connaissance contextualisée et fondée sur des preuves concernant les menaces cyber, qui aide les défenseurs à prendre des décisions de sécurité plus rapides et mieux informées.
Tactical Threat Intelligence
Tactical Threat Intelligence — definition coming soon.
Strategic Threat Intelligence
Strategic Threat Intelligence — definition coming soon.
Operational Threat Intelligence
Operational Threat Intelligence — definition coming soon.
Indicator of Compromise (IoC)
Indicator of Compromise (IoC) — definition coming soon.
Tactics, Techniques and Procedures (TTPs)
Tactics, Techniques and Procedures (TTPs) — definition coming soon.