Dans cet épisode du podcast technique, Jordan Theodore aborde les défis contemporains auxquels font face les analystes en Cyber Threat Intelligence (CTI), particulièrement en ce qui concerne la dégradation de la qualité des sources d’information ouvertes et l’impact sur le travail quotidien des professionnels de la cybersécurité.

Jordan débute en définissant la CTI selon Sergio Caltagirone, expert reconnu ayant travaillé pour le gouvernement américain et Microsoft. La CTI constitue une connaissance exploitable concernant les adversaires et leurs activités malveillantes, incluant le contexte et les TTP (Tactiques, Techniques et Procédures). Ces informations permettent aux organisations et aux équipes de défense (Blue Team) de réduire les risques et d’améliorer leur posture de sécurité.

Le travail de l’analyste CTI s’organise autour de quatre types d’intelligence. L’intelligence stratégique, orientée vers le long terme, s’adresse principalement aux grandes organisations et au secteur public, fournissant des macrotendances et analysant les risques géopolitiques liés aux APT (Advanced Persistent Threats). L’intelligence opérationnelle et technique, plus courante, se concentre sur la connaissance des adversaires, l’analyse des campagnes, les vecteurs d’accès initiaux et la documentation des chaînes d’attaque. Les analystes recherchent également des observables et des artefacts (adresses IP, URLs, domaines) pour créer des playbooks destinés aux équipes SOC et de réponse à incident, ainsi que des règles de détection (Sigma, Yara) pour peupler les équipements de sécurité.

Le cœur de la discussion porte sur une problématique majeure observée en 2025 : la détérioration significative de la qualité des articles et rapports CTI disponibles en sources ouvertes. Jordan illustre ce phénomène avec l’exemple de la campagne Wine Grape Loader d’avril 2025, attribuée à APT29, qui a généré plus de cent articles de qualité variable.

Le problème principal réside dans la multiplication d’articles manquant de substance sur tous les aspects : stratégique, technique et opérationnel. Beaucoup se limitent à un travail journalistique superficiel, souvent constitué de copier-coller d’autres publications. Cette surabondance crée un bruit informationnel considérable qui complique énormément le travail des analystes, particulièrement en situation d’incident où le temps est critique.

Jordan décrit un effet “poupée russe” où les créateurs de contenu copient des articles déjà copiés ailleurs, rendant difficile l’identification de la source originale. Cette dilution progressive de l’information rappelle le principe de l’homéopathie, où le contenu utile devient de plus en plus dilué à chaque itération. Parmi les trente articles analysés pour la campagne Grape Loader, la majorité constituait des copies de deux sources principales : Checkpoint et Google, qui avaient fourni un excellent travail précurseur.

Ces articles recyclés présentent des lacunes caractéristiques : absence d’indicateurs techniques, manque de détails opérationnels, et surtout absence de l’expertise propre du fournisseur ou de l’organisation. On n’y retrouve ni analyse approfondie ni perspective unique, seulement des citations sans attribution claire. Ce phénomène touche non seulement des sites web spécialisés en APT et cybercrime, mais également des pages LinkedIn influentes comptant plus de 30 000 abonnés, qui publient des rapports constitués à 90% de contenu copié.

Face à cette dégradation, les organisations se tournent de plus en plus vers des feeds CTI payants pour garantir la qualité de leurs sources. En France, par exemple, les investissements se portent sur des services comme Intel 471, Sekoia ou Mandiant (Google) afin de réduire le bruit et accroître la qualité des informations. Cette tendance s’est accentuée au cours des six dernières années, avec des coûts extrêmement élevés justifiés par le gain de temps considérable.

Les grands fournisseurs disposent d’avantages significatifs : accès privilégié au dark web, feeds multiples et informations obtenues avant tout le monde. Jordan estime qu’environ 10% seulement des articles disponibles publiquement présentent une maturité suffisante pour être exploitables, les 90% restants n’ayant pas accès à des sources de qualité.

L’IA constitue à la fois un problème et une solution potentielle. Du côté négatif, elle facilite la production massive de contenu de faible qualité, permettant de générer rapidement des articles en demandant simplement un condensé d’une source existante. Cependant, utilisée correctement, l’IA pourrait aider les analystes à filtrer le bruit informationnel en utilisant des recherches avancées avec des critères spécifiques (niveau technique, présence d’IOC, impact opérationnel).

Jordan souligne également les mauvaises pratiques en matière de nomenclature des groupes malveillants. Les éditeurs d’antivirus utilisent leurs propres systèmes de nommage fantaisistes (comme “Midnight Blizzard” pour APT29), créant confusion et biais. Ces appellations marketing induisent des préjugés géographiques qui peuvent nuire à l’analyse objective.

L’attribution rapide et souvent erronée des campagnes à des groupes spécifiques constitue un autre problème majeur. L’exemple du ransomware-as-a-service Lockbit illustre cette difficulté : dès qu’on détecte des traces de Lockbit, l’attribution est faite au groupe principal, alors que l’outil peut avoir été acheté par des acteurs sans lien avec l’organisation d’origine.

Jordan insiste sur la nécessité de se concentrer sur les TTP plutôt que sur les simples indicateurs de compromission (IOC). En référence à la pyramide de la douleur, les TTP représentent ce qu’il y a de plus difficile à changer pour un attaquant. Une adresse IP possède une durée de péremption très courte (un jour à une semaine maximum), tandis qu’une technique comme l’utilisation de fausses invitations à des dégustations de vin pour du phishing constitue un élément plus durable et exploitable pour la défense.

Ce podcast met en lumière une crise de qualité dans l’écosystème CTI qui menace l’efficacité des équipes de cybersécurité. La surabondance d’informations de faible qualité, couplée à la nécessité croissante de recourir à des sources payantes, transforme profondément le métier d’analyste CTI. Cependant, cette situation confirme également que l’expertise humaine reste indispensable pour distinguer le signal du bruit et effectuer des analyses pertinentes que l’IA ne peut pas encore remplacer.