Qu’est-ce que le renseignement humain (HUMINT) ?
Le renseignement humain (HUMINT) est une forme de collecte d’informations « sur le terrain » utilisant des sources humaines pour recueillir des informations. Dans le contexte de la cyberveille, il peut s’agir d’infiltrer les cybercriminels et d’entrer en contact avec eux sur des réseaux criminels, des forums et des places de marché, des plateformes de chat et d’autres environnements clandestins, notamment le Dark Web.
L’objectif du HUMINT est de recueillir des informations sur les cyberadversaires et leurs activités afin d’en savoir plus sur les personnes à l’origine des cyberattaques, notamment sur leurs motivations, leurs cibles et leurs techniques. Ces renseignements, surtout lorsqu’ils sont combinés avec les données et les informations provenant d’outils de sécurité et d’autres sources de télémétrie, peuvent servir à aider les entreprises à cerner les risques et à contrecarrer les actions des cybercriminels.
Sachez que le HUMINT est une discipline officielle exigeant une expertise spécialisée en matière d’attaque traditionnelle, non seulement pour collecter des données pertinentes, mais aussi pour appliquer la sécurité opérationnelle (OPSEC). Cette dernière concerne les mesures destinées à préserver l’anonymat de l’enquêteur ou ses liens avec une entreprise, une organisation ou une agence gouvernementale.
Conseil d’expert
Objectifs de l’équipe HUMINT
Le chercheur s’efforce de répondre aux exigences de la collecte de renseignements et de combler les lacunes d’analyse. Par exemple :
- Mentionner les objectifs et/ou la victimisation
- Suivre les modifications apportées aux tactiques, techniques et procédures (TTP)
- Identifier le réseau et les contacts de l’acteur
- Recueillir des données sur le profil du ou des acteurs
- Évaluer et tester la fiabilité des affirmations faites par un acteur
Importance du renseignement humain dans la cybersécurité
Face à l’utilisation par les cybercriminels de méthodes d’attaque de plus en plus élaborées et avancées, comme les attaques sans signature difficiles à repérer uniquement par des moyens technologiques, le renseignement humain (HUMINT) s’impose désormais comme un élément clé de la stratégie de cybersécurité.
Celui-ci offre plusieurs avantages importants aux entreprises et aux agences gouvernementales. Par exemple :
1. Alerte des victimes potentielles d’une attaque imminente. Aller au-delà d’une simple accumulation de données brutes est nécessaire pour anticiper les cyberattaques imminentes en exploitant les informations provenant de ces canaux. Avec l’aide du renseignement humain (HUMINT), des threat hunters peuvent s’infiltrer dans ces milieux pour obtenir des informations plus détaillées sur les cybercriminels et leurs intentions. Ils peuvent ensuite prendre la mesure cruciale d’informer les victimes potentielles d’une attaque imminente ou en cours.
2. Validation des données recueillies à partir de renseignements automatisés. Les cyberadversaires comprennent le rôle que jouent les outils de sécurité dans l’automatisation de la collecte de données dans les environnements cibles. Par conséquent, nombreux sont ceux qui ont commencé à masquer volontairement certains éléments dans des messages en ligne, comme les noms des victimes ou les domaines concernés. Le renseignement humain (HUMINT) est nécessaire pour découvrir de nouvelles tendances et valider la fiabilité et l’exhaustivité des données collectées par ces outils.
3. Vérification des capacités du cyberattaquant. Le renseignement humain (HUMINT) s’avère également d’une grande utilité pour une entreprise compromise, en aidant l’équipe de sécurité à décrypter les intentions d’un acteur malveillant. Par exemple, lors d’une attaque par ransomware, le cybercriminel peut exagérer ses capacités dans l’objectif de provoquer un paiement de rançon conséquent. Dans ce cas, le renseignement humain (HUMINT) peut aider l’équipe de sécurité à valider les affirmations de l’acteur et à réagir en conséquence.
4. Soutien aux forces de l’ordre. Mener des enquêtes sur les crimes numériques et entamer des poursuites judiciaires est notoirement difficile, particulièrement lorsque l’auteur du délit est basé dans un pays différent de celui de la victime. Les renseignements recueillis par un fournisseur de services de cybersécurité sont extrêmement précieux pour les forces de l’ordre, car l’équipe de sécurité peut partager des informations pertinentes et nécessaires sur le profil de l’acteur. Il peut s’agir des noms, du lieu de résidence, de la nationalité et d’autres détails vérifiés et importants, si possible.
4 cas d’usage du renseignement humain dans le domaine de la cybersécurité
Le renseignement humain (HUMINT) a de nombreuses fonctions au sein de l’équipe de sécurité. Les quatre cas d’usage les plus courants en matière de renseignement humain sont les suivants :
1. Service de protection contre les risques numériques (DRPS) : le DRPS est une forme de protection proactive d’une entreprise contre les cyberattaques. Comme nous l’avons vu plus haut, la technologie seule ne permet pas d’identifier et de prévoir efficacement les cyberattaques modernes et sophistiquées. En revanche, surveiller l’intégralité des données clandestines en se reposant uniquement sur le renseignement humain n’est tout simplement pas réaliste. En associant la collecte de données automatisée au renseignement humain, vous pouvez recueillir des informations cruciales sur les principales cybermenaces.
2. Réponse à incident, éradication des cybercriminels et paiement des ransomwares : lorsqu’une attaque se produit, notamment en cas de ransomware, la connaissance de l’acteur et de ses compétences peut guider la réponse de l’entreprise face à l’incident. Par exemple, en cas d’attaque par ransomware, le cybercriminel peut exagérer les propos concernant les données dérobées ou la façon dont elles pourraient être altérées. Le renseignement humain (HUMINT) peut contribuer à vérifier ces déclarations et à évaluer la nécessité de payer une rançon.
3. Découverte de nouvelles cyberattaques : les acteurs changent continuellement de tactiques et de techniques. Ils se servent aussi des réseaux clandestins pour collecter des données utiles à la réussite de leurs cyberattaques, notamment pour le développement d’exploits et de logiciels malveillants. En suivant et en saisissant le genre de soutien que ces acteurs cherchent, il est possible de prévenir ou d’interrompre de nouvelles attaques avant qu’elles ne deviennent une menace pour les entreprises.
4. Évaluation de l’acteur : une fois un acteur identifié, les analystes en renseignement se servent du HUMINT pour saisir l’écosystème, les compétences et les intentions de celui-ci. Ces informations sont précieuses pour suivre leurs actions et pour évaluer une cyberattaque imputable à cet individu ou à ce groupe.
