L’Open Source Intelligence : un outil nécessaire de cyberdéfense

Echange avec Andy Thompson, spécialiste de la cybersécurité chez CyberArk qui nous livre son analyse.

Que sont les outils OSINT et quelle est leur place dans les activités de renseignement au sens large ?

L’Open Source Intelligence (OSINT) est une discipline qui remonte à l’aube de l’humanité. Elle consiste, en bref, à collecter des informations accessibles à tous pour les exploiter à des fins de renseignement. Pendant la Seconde Guerre mondiale, par exemple, les services américains étaient parvenus, en se basant sur les variations du prix des oranges, à évaluer l’état des voies ferroviaires après des campagnes de bombardement. Les avancées technologiques récentes, en particulier l’adoption d’outils d’IA générative, ont considérablement accru le potentiel des outils OSINT : les pirates comme les équipes de sécurité peuvent désormais rassembler de vastes quantités de données provenant de sources multiples afin d’en tirer les informations dont ils ont besoin. Ces outils offrent donc un moyen de renforcer la cybersécurité des entreprises, mais ils leur permettent aussi de garder un œil sur la réputation de leur marque, les préférences de leurs clients et leur présence sur les réseaux sociaux.

Comment peut-on mettre ces outils au service de la sécurité des entreprises ?

Le volume des attaques en ligne ne cesse d’augmenter, signe que les outils de sécurité traditionnels ne sont ni assez rapides, ni assez complets pour couvrir toutes les vulnérabilités présentes dans les systèmes de défense. La collecte d’informations de Threat Intelligence à l’aide d’outils OSINT peut et doit faire partie intégrante des tâches quotidiennes des équipes de sécurité, notamment parce que cette approche est déjà mise en œuvre de manière offensive contre les entreprises. Or, certaines informations disponibles dans les plateformes open source, les forums du Dark Web et les réseaux sociaux peuvent donner une longueur d’avance aux équipes de cybersécurité. Si ces équipes avaient su trouver les informations disponibles sur la vulnérabilité Log4j dans le Dark Web, et ce, bien avant qu’elle n’ait fait l’objet d’articles dans la presse grand public, elles auraient pu intervenir à temps pour la neutraliser.

Les outils OSINT peuvent aussi être utilisés pour identifier des menaces internes aux entreprises, par exemple, en permettant une détection accélérée des employés insatisfaits qui critiquent systématiquement leurs responsables sur internet. Il est également possible de s’en servir pour valider les fournisseurs tiers, car ils donnent les moyens d’effectuer une évaluation approfondie des risques et de déterminer si un partenaire potentiel présente des vulnérabilités susceptibles de faciliter, par exemple, une attaque de sa supply chain.

Les entreprises peuvent enfin utiliser ces outils pour bloquer toute usurpation de leur nom de domaine et de leur URL, protégeant ainsi leurs salariés et leurs clients contre les attaques de phishing. Du point de vue de la réponse aux incidents, les pratiques de l’OSINT nous aident à mieux comprendre les outils, les tactiques et les motivations des hackers, ce qui nous permet de nous défendre de manière proactive contre leurs tentatives d’intrusion, mais aussi de reprendre plus rapidement une activité normale en cas d’incident.

Comment les outils OSINT renforcent-ils les pratiques traditionnelles de cybersécurité et pourquoi deviennent-ils actuellement un aspect essentiel des stratégies de cyberdéfense ?

Il reste un long chemin à parcourir avant que les outils OSINT ne soient reconnus comme un aspect essentiel de la cyberdéfense. Ils commencent à être adoptés par les grandes entreprises disposant de solutions de cybersécurité d’une maturité plus élevée, ainsi que d’une plus grande visibilité publique. Mais trop d’entreprises de moindre envergure ont encore une vision très limitée des paramètres à prendre en compte pour assurer leur sécurité. Elles tardent donc à comprendre ou à exploiter pleinement tout ce que l’OSINT peut leur apporter en tant qu’approche et qu’arsenal d’outils.

Quels sont les défis et les problèmes éthiques à résoudre lors de la collecte et de l’utilisation de renseignements OSINT ?

Tout outil utilisé pour collecter et analyser de grandes quantités d’informations implique des précautions éthiques, la plus importante restant probablement celle de la conformité. Avec le RGPD par exemple, les entreprises doivent être très attentives à la manière dont elles traitent et stockent les données qu’elles collectent. D’où viennent-elles ? Leur exploitation est-elle possible ? Qui doit être informé ?

Il est également nécessaire de veiller à l’exactitude et à l’intégrité des données ainsi collectées et traitées, en éliminant toute propagande et rumeurs infondées dans les informations recueillies, afin d’aboutir à des conclusions correctes et objectives. Enfin, il incombe aux entreprises de se doter des systèmes de contrôle nécessaires pour garantir que les données en leur possession ne tombent pas entre de mauvaises mains.