Série : Construire son plan de veille ← Précédent : Les deux visages de l'OSINT | Suivant : Ep. 2 — Identifier les sources →
Dans mon précédent article, j'exposais la différence fondamentale entre l'OSINT d'investigation et l'OSINT de surveillance. Bien qu'elles soient les deux faces d'une même pièce, elles répondent à des objectifs divergents : l'une décortique le passé, l'autre anticipe l'avenir.
L'objectif de cette série d'articles est de passer à la pratique. Nous allons voir comment bâtir un plan de surveillance pertinent, c'est-à-dire un plan qui ne se contente pas de collecter de la donnée, mais qui protège réellement vos actifs.
L'établissement d'un plan de surveillance se décline en 6 étapes :
- Cartographie et qualification des menaces
- Évaluation et priorisation de la veille
- Cartographie et qualification des sources d'informations
- Identification des systèmes de veille sur les sources d'informations
- Mise en place du dispositif de surveillance
- Maintenir et faire évoluer la veille dans le temps
Nous allons volontairement quitter le lexique de l'OSINT pur pour emprunter les cadres méthodologiques de la sécurité. Pourquoi ? Parce que cette approche permet une rigueur indispensable pour identifier, plus tard, les sources d'information qui méritent réellement votre attention et votre budget.
Ce premier article traite de la problématique de cartographie des menaces.
Il est donc important de commencer par la compréhension de ce qu'est une menace. Une menace est définie par le triptyque Acteur - Vecteur - Cible. Nous nous focaliserons ici majoritairement sur l'acteur et le vecteur, la cible étant le prisme par lequel nous observerons ces paramètres.
1. Identifier vos vecteurs d'exposition
Réaliser un plan de veille, c'est avant tout savoir ce que l'on cherche à protéger. Pour bâtir une cartographie utile, il convient d'analyser vos vecteurs d'attaques sous plusieurs prismes :
- Risques informationnels & cyber : exfiltration de données (PI, données clients), déni de service, sabotage de l'intégrité des données, "Shadow IT" (utilisation d'outils non contrôlés par la DSI).
- Risques réputationnels : campagnes de dénigrement (astroturfing), détournement de marque, fuites de documents confidentiels sur des forums, crise médiatique.
- Risques humains et sociaux : ingénierie sociale (phishing ciblé sur VIP), débauchage agressif de talents clés, risques de sécurité physique pour les collaborateurs en déplacement.
- Risques stratégiques et économiques : veille concurrentielle agressive, instabilité géopolitique impactant la chaîne d'approvisionnement, changements réglementaires soudains.
- Risques de conformité : violation du RGPD, non-respect de NIS2, risques juridiques liés à l'utilisation de sources de données tierces.
Chaque menace identifiée doit ensuite être passée au crible de quatre critères de qualification :
- Les acteurs de la menace : Qui a intérêt et capacité à agir contre mon organisation ?
- L'impact de la menace : Si la menace se concrétise, quelle est l'entaille dans ma capacité de survie ou d'opération ?
- La vraisemblance de la menace : Quelle est la probabilité réelle de réalisation ? (Coût pour l'attaquant, répétition historique).
- La capacité de réponse : Avons-nous les moyens de prévenir ou de neutraliser cette action ?
Analysons plus en détails le travail à faire sur chacun de ces critères.
2. Qualifier les acteurs
Une qualification efficace n'est pas qu'une étiquette mais un véritable persona. Pour chaque menace, demandez-vous : d'où vient l'acteur ? Quelles sont ses motivations réelles (argent, idéologie, hégémonie) ? Quels sont ses moyens en technicité, temps et ressources (matérielles, financières, humaines) ? Et surtout, quel est son seuil de renoncement (qu'est-ce qui le fera abandonner l'attaque) ?
Dans le cas de risques informatiques, on pourrait par exemple avoir les acteurs suivants :
| Script Kiddie | Hacker 'professionnel' | Hacktiviste | C.I.A. | |
|---|---|---|---|---|
| Origine | National | International | National | U.S.A / Gouvernemental |
| Motivations & Intérêts | Ego, argent 'facile', efforts limités | Ego, Argent, volonté politique | Volonté politique, engagement fort | Hégémonie, avantage stratégique |
| Moyens | Limités | Modérés | Modérés | Virtuellement illimités |
Catégoriser les acteurs malveillants signifie s'adapter à la typologie de cible évaluée. En effet, les acteurs les plus dangereux pour une organisation ne le sont pas forcément pour une autre. Comparons une cartographie (Motivations / Moyens) de quatre exemples d'acteurs pour trois types de cibles :
- Un agriculteur défendant et utilisant des OGM dans ses plantations ;
- Une société travaillant dans le secteur de la défense ;
- Un influenceur à succès sur les réseaux sociaux.
Notons dans les trois cas que les moyens sont stables. Ce sont les intérêts et la motivation des acteurs qui varient. Il est essentiel de prendre cela en compte lorsqu'on souhaite identifier et prioriser les actions de contre mesure face aux menaces.
Un point de vigilance est à adopter face à ce type de graphes. Des moyens faibles ne signifient pas "dénué de moyens". De même, un faible intérêt ne signifie pas une absence d'opportunisme. Dans une époque où l'IA décuple les capacités de chacun, le Script Kiddie d'hier n'est plus le même type d'acteur.
3. L'impact de la menace
Ici, mon passé de consultant me pousse à une mise en garde : l'objectivité est votre meilleure arme. Trop de plans de veille s'épuisent à surveiller des menaces "émotionnelles" à faible impact, tout en ignorant des menaces critiques mais moins spectaculaires.
Pour chaque scénario, évaluez l'impact sur une échelle de Nul à Critique (ex : Nul – Faible – Modéré – Important – Critique). Une campagne de dénigrement peut être gênante (impact modéré), mais un ransomware qui paralyse votre production est une menace existentielle (impact critique). Cette hiérarchie est la clé de voûte de la rentabilité de votre plan de veille.
| Campagne de dénigrement | Vol de matériel | Manifestation devant les locaux | Ransomware | |
|---|---|---|---|---|
| Impact | Important | Modéré à Important | Faible à modéré | Important à critique |
Comme pour l'identification des acteurs, l'évaluation des impacts variera en fonction de la cible. Un vol de matériel à échelle d'une emprise locale, non essentielle pour l'organisation, a un impact faible à modéré. Un vol de matériel sur de multiples emprises dédiées à de la R&D et contenant des documents confidentiels a un impact important à critique.
4. Vraisemblance de la menace
L'étude des menaces doit également s'appuyer sur l'évaluation de leur vraisemblance. Une météorite peut tout à fait s'écraser demain sur le siège de votre société. L'impact serait catastrophique. Est-il toutefois pertinent d'investir plusieurs centaines de millions pour assurer que le bâtiment puisse résister à un tel évènement et protéger les personnes en son sein ? Nous avons le droit d'en douter fortement.
À contrario, une menace de faible impact, mais avec un haut potentiel de réalisation est une menace qui doit être sous surveillance. On étudiera donc chaque menace sous le volet de la probabilité ("Est-il faisable et raisonnable de penser que l'acteur de la menace utilise tel vecteur contre cette cible ?") et de la fréquence ("Les acteurs de la menace mettent-ils souvent en œuvre ce vecteur contre cette typologie de cible ?").
Pour chacun des critères, on peut une fois de plus utiliser une échelle simple :
Extrêmement faible - Faible - Moyenne - Élevée - Très élevée
| Acteur : Nature Vecteur : Météorite Cible : Siège | Acteur : Hacker Vecteur : Phishing Cible : Employés | Acteur : Hacker Vecteur : Ransomware Cible : Service d'un tiers critique | |
|---|---|---|---|
| Probabilité | Extrêmement faible | Moyenne | Moyenne |
| Fréquence | Extrêmement faible | Élevée | Faible à Moyenne |
Notons que les critères de probabilité et de fréquence s'appliquent au regard du triptyque (Acteur - Vecteur - Cible).
5. Capacité de réponse
A vouloir lutter contre tout, on ne se protège de rien. En croisant le persona de l'acteur, l'impact et la vraisemblance, vous identifiez votre capacité réelle de prévention. Reprenons pour cela le premier tableau d'acteurs et ajoutons-y des risques associés.
| Script Kiddie | Hacker 'professionnel' | Hacktiviste | C.I.A. | |
|---|---|---|---|---|
| Origine | National | International | National | U.S.A / Gouvernemental |
| Motivations & Intérêts | Ego, argent 'facile', efforts limités | Ego, Argent, volonté politique | Volonté politique, engagement fort | Hégémonie, Avantage stratégique |
| Moyens | Limités | Modérés | Modérés | Virtuellement illimités |
| Vraisemblance | Vecteur : Phishing Cible : Division finances Objectif : Détournement de factures | Vecteur : Ransomware Cible : Employés Objectif : Obtention de rançon | Vecteur : Vandalisme Cible : Datacenter Objectif : couper les systèmes, empêcher la redondance | Vecteur : Corruption Cible : Employés R&D Objectif : Vol de l'ensemble de la propriété intellectuelle |
| Probabilité | Élevée | Élevée | Faible | Faible |
| Fréquence | Élevée | Moyenne | Moyenne | Faible |
| Impact | Modéré | Important | Critique | Critique |
| Capacité à s'en prémunir | Très élevée | Élevée | Très élevée | Illusoire (Dissuasion uniquement) |
Qu'en déduire ? Que prioriser ?
En fonction de l'exposition de l'organisation, la première des priorités est de se prémunir soit du script kiddie, soit du hacker « professionnel ». La menace de la CIA est peut-être importante, mais sa probabilité et surtout ses moyens rendent le retour sur investissement d'une surveillance dédiée moins intéressant que sur les autres menaces.
Le tableau ci-dessus est volontairement provocateur. En effet, on peut entendre la nécessité de se prémunir d'actions de services de renseignements étrangers. S'il est vrai que la vigilance est de mise et que les sensibilisations doivent être fortes, il est illusoire de penser pouvoir se défendre sérieusement d'organisations dont la raison même d'exister est la prévalence stratégique.
Si vous faites face à un acteur étatique aux moyens illimités, votre capacité de prévention est quasi nulle : votre enjeu sera alors le ralentissement et la détection. Face à un script kiddie, votre capacité doit être totale.
C'est là toute la beauté de ce type de cartographie. En comprenant précisément ce qui pèse sur l'organisation, vous faites des choix avisés. Dans notre cas, on réalise vite que la majorité des menaces quotidiennes (script kiddies, hackers motivés par le gain) partagent les mêmes terrains de jeu.
En automatisant la surveillance de ces milieux, vous créez une barrière à l'effort qui décourage 90% des attaquants, tout en libérant du temps pour vos experts afin de traiter les 10% restants, les plus complexes. Les méthodes de prévention (au-delà du périmètre de collecte d'informations) ciblant les hackers chevronnés impacteront d'autant plus les script kiddies. Les sensibilisations faites auprès du personnel auront elles aussi des impacts doubles, si ce n'est triple au regard d'actions d'ordre étatique.
Conclusion
En conclusion, la cartographie des menaces n'est pas un exercice de style, c'est le socle de votre résilience. Elle permet de sortir du fantasme de l'invulnérabilité pour entrer dans une réelle efficacité opérationnelle.
On ne protège pas tout, tout le temps, avec la même intensité. Investir dans une cartographie précise, c'est s'autoriser à ignorer le bruit pour se concentrer sur le signal. C'est transformer la sécurité, souvent perçue comme un centre de coût, en un investissement intelligent et mesurable. Pour reprendre la fin de mon premier article, c'est à travers une bonne cartographie qu'on commence à s'affranchir de la dépendance au « script hero », cet analyste solitaire qui porte à bout de bras les scripts de collecte et d'analyses de données de sécurité et sans qui tout s'effondre.
Mais identifier la menace ne suffit pas. Une fois que vous savez qui peut vous nuire, comment décider ce qui mérite une veille 24/7 et ce qui peut attendre ? C'est ce que nous verrons dans le prochain article : l'évaluation et la priorisation de la veille.