Série : Construire son plan de veille ← Précédent : Ep. 1 — Qualifier les menaces
Votre équipe fait de la veille. Elle surveille des dizaines de sources, reçoit des alertes, produit des rapports. Et pourtant, le jour où la menace s'est concrétisée, personne ne l'avait vue venir.
Ce n'est pas un problème de volume de données. C'est un problème de sources.
Trop d'organisations investissent massivement dans des outils de collecte, puis découvrent, souvent trop tard, qu'elles surveillaient les mauvais endroits. L'enjeu n'est pas de tout voir. C'est de voir ce qui compte.
Cet article traite de deux problèmes distincts, mais indissociables. D'abord, comment identifier concrètement où chercher des sources pertinentes. Ensuite, comment trier et qualifier ce que vous trouvez pour ne retenir que ce qui mérite réellement votre attention et votre budget.
Dans l'épisode précédent, nous avons cartographié les menaces qui pèsent sur l'organisation et entamé leur priorisation. Pour rappel, les étapes de construction de notre plan de veille sont les suivantes :
- Cartographie et qualification des menaces (Terminé)
- Évaluation et priorisation de la veille (En cours)
- Cartographie et qualification des sources d'informations (Cœur de cet article)
- Identification des systèmes de veille sur les sources d'informations
- Mise en place du dispositif de surveillance
- Maintenir et faire évoluer la veille dans le temps
Nous allons finaliser le point 2 et traiter le point 3 dans son intégralité : définir ce que l'on surveille, où on le surveille, et avec quelle intensité.
I. Évaluer et prioriser : l'art de choisir ses combats
Le nerf de la guerre reste l'attribution des moyens. Nous avons tous des ressources limitées (humaines, temporelles, financières) que nous devons répartir entre un nombre fini de tâches. L'objectif est de générer la meilleure rentabilité possible en matière de surveillance.
De même qu'on ne renforce pas un bâtiment pour le faire résister à une chute de météorite, vouloir traquer lesdites météorites et calculer leurs trajectoires est une surveillance superflue. Les investissements sont massifs, les retours particulièrement faibles au regard de la probabilité réelle de la menace.
La méthode du cube : cartographier l'espace des risques
Pour sortir de l'intuition et entrer dans la décision analytique, la méthode la plus rigoureuse consiste à projeter vos menaces dans un espace à trois dimensions :
- L'Impact : si la menace se concrétise, quel est le degré de dommages pour l'organisation ?
- La Vraisemblance : quelle est la probabilité réelle que cet événement survienne ?
- La Capacité à se prémunir : avons-nous les outils, les processus et l'agilité nécessaires pour bloquer ou atténuer l'attaque ?
La position d'une menace dans cet espace dicte mécaniquement sa priorité de traitement. Une menace à fort impact, très probable, et face à laquelle vous pouvez déployer des contre-mesures devient immédiatement votre priorité absolue. En plus de vous aider à prendre vos décisions, cette projection vous permet de défendre vos choix de priorisations et d'investissements avec des rationnels clairs.
Le piège des « fausses » priorités
Dans tous les cas, attribuer à plusieurs menaces un même niveau de priorité est un problème. Donner des priorités claires est un outil de décision puissant, pas une contrainte administrative.
Dans mon passé de consultant, j'ai fréquemment rencontré des directions nous présentant leurs listes de priorités. Parmi elles, plusieurs dizaines étaient en P0, des vingtaines en P1. Quand on leur posait la question de la répartition des investissements, rien n'avait de sens. Certaines P0 étaient purement politiques mais dépourvues de ressources. D'autres étaient des P1 mais critiques pour la réussite d'une P0 dépendante, et recevaient plus de financement que des priorités déclarées plus urgentes.
Le résultat, en cas de crise ? Des analystes qui ne savent pas où regarder. Des décisions prises dans l'urgence, sans grille de lecture. Et des incidents qui auraient pu être contenus qui deviennent des catastrophes opérationnelles. Maintenez une hiérarchie réelle et simple : une unique P0, une P1, une P2, une P3, et ainsi de suite. C'est le seul moyen de garantir que, face à une crise, vous sachiez instantanément où porter le regard et vos investissements.
Exemple de priorisation :
| Niveau | Type de menace | Description |
|---|---|---|
| P0 | Attaques physiques / Groupes d'opposition | Menaces critiques nécessitant une surveillance immédiate et constante |
| P1 | Attaques informatiques (Ransomware, fuites) | Risques majeurs avec vecteurs de compromission identifiés |
| P2 | Attaques réputationnelles (Dénigrement) | Risques à impact modéré ou à cinétique plus lente |
II. Trouver des sources : raisonner par l'acteur, pas par le moteur de recherche
Identifier des sources pertinentes ne se fait pas (que) en tapant des mots-clés dans Google. Cette approche produit du bruit, des doublons, et passe à côté de l'essentiel : les endroits où vos acteurs de menace opèrent réellement.
La bonne méthode part de l'autre bout. Elle démarre à l'aide du persona que nous avons qualifié dans l'épisode 1 de cette série. Chaque acteur a des motivations, des moyens, et surtout des terrains de jeu naturels. C'est en remontant de ce persona vers ses vecteurs de communication que vous identifiez où chercher, et donc quoi surveiller.
Étape 1 : Partir du persona de l'acteur
Reprenez le travail de qualification de l'Ep. 1. Pour chaque acteur prioritaire, posez-vous trois questions :
- Où communique-t-il avec ses pairs ? (forums, messageries chiffrées, réseaux sociaux, dépôts de code)
- Où expose-t-il ses capacités ou ses intentions ? (publications de vulnérabilités, revendications d'attaques, ventes de données)
- Où laisse-t-il des traces involontaires ? (métadonnées, pseudonymes récurrents, empreintes techniques)
- Qui communique sur ce qu'il fait ou planifie ? (entités spécialisées, groupements d'intérêts)
Les réponses varient radicalement selon le profil. Un script kiddie cherche la visibilité, il communique sur des forums publics, des serveurs Discord, des canaux Telegram ouverts. Un groupe APT cherche la discrétion, ses traces se lisent dans les indicateurs de compromission, les rapports de threat intelligence, les dépôts GitHub de malwares analysés. Et dans les deux cas, les rapports sur les CVE vous concernant vous intéressent.
Étape 2 : Déduire les vecteurs d'information par type d'acteur
En croisant le persona et ses comportements naturels, vous obtenez une cartographie de vecteurs d'information directement actionnables :
| Profil d'acteur | Terrains naturels | Sources à surveiller |
|---|---|---|
| Script kiddie | Communautés publiques, tutos, outils clé en main | Forums de Hack, canaux Telegram publics, GitHub (outils offensifs), Reddit |
| Hacker motivé par le gain | Marchés underground, forums spécialisés | XSS.is, Exploit.in, BreachForums, canaux de revente de données |
| Hacktiviste | Réseaux sociaux, messageries décentralisées | Telegram (canaux revendicatifs), X/Twitter, Mastodon |
| Acteur para-étatique | Canaux discrets, publications techniques indirectes | Rapports MITRE ATT&CK, bases CVE/NVD, feeds threat intel (ISAC, MISP) |
| Concurrent / Espion économique | Sources légales + fuites | LinkedIn, brevets, appels d'offres publics, forums métiers, dark web (données volées) |
Étape 3 : Valider par recoupement avant d'intégrer
Une source identifiée n'est pas automatiquement une source à intégrer. Avant de l'ajouter à votre dispositif, appliquez un filtre rapide en trois questions :
- Cette source a-t-elle déjà produit de l'information pertinente sur cet acteur ou ce type de menace ?
- Est-elle citée ou connue par des praticiens reconnus du secteur ?
- Le signal qu'elle produit est-il suffisamment spécifique pour déclencher une alerte, ou génère-t-elle essentiellement du bruit ?
Ce filtre est volontairement minimaliste. Son rôle est d'éviter d'intégrer des sources par réflexe ou par exhaustivité. La qualification approfondie vient ensuite.
En somme, le bon réflexe à avoir n'est pas tant de se demander « Quelles sources existent sur ce sujet ? » plus que « Où ma menace va-t-elle laisser des traces ? ». Ce changement de perspective réduit drastiquement le bruit dans votre dispositif de surveillance.
La clusterisation : optimiser son ROI de surveillance
Une fois vos vecteurs identifiés, l'erreur classique serait de créer un silo de surveillance pour chaque menace. C'est le meilleur moyen de se noyer sous les doublons et de faire exploser votre budget. L'astuce consiste à regrouper (ou clusteriser) vos menaces par vecteurs communs. Si des acteurs différents gravitent autour des mêmes terrains, une seule source peut vous informer contre plusieurs adversaires à la fois.
Reprenons l'exemple précédent. Les script kiddies, les hackers motivés par le gain et les attaques para-gouvernementales ont des motivations qui diffèrent. Mais leurs vecteurs se croisent sur :
- Les publications techniques sur les vulnérabilités informatiques.
- Les sites spécialisés dans les méthodes d'intrusion et de défense.
- Les forums dédiés au hack et les canaux d'échange de données volées.
Les informations tirées de ces vecteurs sont valorisables contre l'ensemble de ces menaces. Leur valeur est d'autant plus haute. Une source qui couvre plusieurs menaces P0 et P1 simultanément est une source prioritaire. C'est là que votre temps de cerveau doit être investi en priorité.
III. Qualifier ses sources : séparer le signal du bruit
Cette phase est d'autant plus essentielle dans le monde d'overdose informationnelle dans lequel nous vivons. Les évolutions constantes des technologies de l'information et des IA nous amènent à faire face à un flux de données massif, constant, dont il faut tirer le signal utile.
On évalue une source selon deux volets indépendants : son champ d'expertise, et sa fiabilité. Les deux se notent séparément et les deux sont nécessaires pour décider quoi faire d'une alerte.
Le champ d'expertise : chaque source a ses limites
Votre voisin est peut-être une source d'information excellente sur les coupures de courant du quartier. Il l'est beaucoup moins sur la géopolitique du Moyen-Orient. Une revue scientifique dédiée à l'histoire publie des avancées en archéologie, pas des menaces sur vos systèmes d'information.
Le principe est identique pour vos sources de veille. Avant d'accorder de la valeur à une source, posez-vous la question : cette source est-elle réellement compétente sur ce sujet précis, ou est-elle généraliste et me donne-t-elle une illusion de couverture ?
Pour évaluer le champ d'expertise d'une source, quelques critères pratiques :
- La spécialisation : la source traite-t-elle ce sujet de manière régulière, approfondie, et avec des détails techniques ou contextuels qui prouvent une réelle maîtrise ?
- La reconnaissance par les pairs : est-elle citée, référencée ou suivie par des praticiens reconnus du secteur ?
- L'activité et la maintenance : est-elle à jour ? Une source inactive depuis 18 mois sur un domaine qui évolue quotidiennement a une valeur proche de zéro.
- L'analyse des incentives : qu'est-ce que la source gagne à publier cette information ? Un éditeur de solutions de sécurité qui publie un rapport de menaces a un intérêt commercial dans vos conclusions. Ce n'est pas rédhibitoire, mais ça se pèse.
La fiabilité : le Code d'Amirauté
Pour évaluer la fiabilité de manière rigoureuse et standardisée, une partie du monde du renseignement s'appuie sur l'Admiralty Code. Il s'agit d'une grille de notation qui permet d'évaluer chaque source indépendamment de l'information qu'elle produit.
L'idée est la suivante : la fiabilité d'une source est une propriété de la source, pas de l'information. Une source habituellement fiable peut produire une information fausse. Une source peu fiable peut, par accident ou par opportunisme, relayer quelque chose de vrai. Les deux dimensions se notent séparément.
Grille de notation de la source (Admiralty Code — axe A à F) :
| Cote | Niveau | Signification |
|---|---|---|
| A | Totalement fiable | Aucun doute sur l'authenticité et la compétence de la source. Historique de fiabilité sans faille. |
| B | Généralement fiable | Fiable dans la majorité des cas, avec quelques exceptions documentées et mineures. |
| C | Assez fiable | Fiable dans environ la moitié des cas passés. Recoupement recommandé. |
| D | Pas toujours fiable | Fiabilité incertaine, antécédents d'erreurs significatives. Recoupement systématique obligatoire. |
| E | Non fiable | A fourni de la désinformation ou des données incorrectes de manière répétée. |
| F | Fiabilité inconnue | Nouvelle source ou source sans historique exploitable. À traiter avec précaution. |
Quelques critères pratiques pour attribuer cette cote rapidement :
- Historique : la source a-t-elle été exacte dans le passé sur ce type de sujet ? C'est le critère le plus discriminant.
- Corroboration : les informations produites par cette source apparaissent-elles régulièrement dans des sources indépendantes, sans lien entre elles ?
- Cohérence interne : la source se contredit-elle d'une information à l'autre ? Adapte-t-elle ses conclusions en fonction de l'audience ?
- Transparence méthodologique : la source explique-t-elle d'où elle tient ses informations ? Une source qui ne cite jamais ses origines est structurellement moins fiable.
Nous traiterons dans un article ultérieur le scoring de l'information elle-même, le second axe du Code d'Amirauté. C'est la combinaison des deux scores (source + information) qui permet de décider si une alerte mérite une action immédiate ou une mise en surveillance passive.
Au regard de l'investissement en moyens, suivre des sources non fiables est une perte sèche, à moins que ces sources ne soient directement issues de votre modèle de menaces, comme dans le cas de la surveillance de la désinformation.
Le matching : faire coïncider sources et priorités
Une fois les sources qualifiées et les menaces priorisées, vous devez les faire coïncider. C'est ce matching qui donne naissance à la priorité opérationnelle de chaque source.
L'équation est simple : la valeur réelle d'une source est indexée sur la priorité de la menace qu'elle couvre. Suivre une source d'une fiabilité absolue sur une menace P2 est un luxe que vous ne pouvez peut-être pas vous offrir.
| Priorité menace | Qualification source | Priorité source | Actions |
|---|---|---|---|
| P0, Critique (Groupe violent) | Fiable & Experte (agent infiltré) | Très Haute | Surveillance humaine, analyse en temps réel |
| P0, Critique (Groupe violent) | Fiabilité incertaine (canal d'échange et de communication du groupe) | Moyenne | Recoupement obligatoire avec d'autres sources |
| P1, Majeure (Phishing) | Fiable & Experte (Rapport d'une autorité nationale sur les fuites d'identifiants) | Haute | Automatisation avec alertes de seuils |
| P2, Mineure (Rupture d'un service non critique) | Fiable & Experte | Basse | Revue hebdomadaire ou archivage simple |
Si vous avez 50 sources fiables mais qu'aucune ne couvre vos menaces P0, votre plan de veille est une coquille vide. À l'inverse, savoir couper une source de qualité parce qu'elle ne sert aucune priorité stratégique est signe de maturité dans la gestion du plan de veille et des ressources qui lui sont attribuées.
Conclusion
La veille n'est pas une activité de recherche documentaire. C'est un outil décisionnel. Elle ne trouve sa raison d'être que lorsqu'elle est capable d'orienter l'action et de protéger l'organisation contre des risques concrets et qualifiés.
En raisonnant par l'acteur et son persona, vous identifiez des sources de valeurs pour votre gestion de risques. En les qualifiant rigoureusement, vous évitez de prendre des décisions sur la base de données dont vous ne maîtrisez ni l'expertise ni la fiabilité. En les corrélant avec vos priorités, vous transformez une liste de sources en un dispositif opérationnel.
Réussir son plan de veille, c'est savoir attribuer les bons moyens aux bonnes sources, alignées sur les bonnes menaces. Tout le reste est du bruit.
Maintenant qu'on a bâti le plan, il s'agit de le tenir dans le temps, l'industrialiser pour qu'il fonctionne même quand votre meilleur analyste est en congé. C'est là que beaucoup d'organisations décrochent. Ce sera l'objet des prochains épisodes.
Dans le prochain article, nous aborderons l'identification des systèmes de veille. Comment mettre la technologie au service de votre stratégie pour que la collecte devienne un système fluide, maîtrisé et surtout, actionnable.