Plus que jamais, les réseaux de cybercrimins fonctionnent désormais comme des entreprises légitimes. En réponse, les organisations doivent adopter une approche de défense axée sur les menaces qui se concentre sur les réponses réactives aux opérations de sécurité proactives et axées sur le renseignement.
Alors que le paysage des menaces continue d’évoluer, les secteurs des infrastructures critiques sont confrontés à une vague croissante de cyber-menaces sophistiquées. Les stratégies de sécurité traditionnelles qui se concentrent uniquement sur les indicateurs de compromis (CIO) s’avèrent insuffisantes contre l’échelle et la vitesse des cyberattaques modernes.
Pour relever les défis d’aujourd’hui, les organisations doivent adopter une approche de défense axée sur les menaces – une approche qui se concentre sur les réponses réactives aux opérations de sécurité proactives et axées sur le renseignement.
La montée de la cybercriminalité en tant que service
Le paysage des macro-menaces d’aujourd’hui est un écosystème florissant de cybercriminalité facilitée par les modèles de criminalité en tant que service (CAA). Les réseaux de cybercrimins fonctionnent désormais comme des entreprises légitimes, avec des unités spécialisées dédiées à des activités telles que le blanchiment d’argent, le développement de logiciels malveillants et le phishing de lance. Cet écosystème réduit la barrière à l’entrée pour la cybercriminalité, permettant aux adversaires peu qualifiés de lancer des attaques hautement ciblées et perturbatrices avec un minimum d’effort.
L’une des tendances les plus préoccupantes est la montée en puissance de la reconnaissance en tant que service, où les acteurs de la menace effectuent une cartographie approfondie du réseau avant une attaque. Cette intelligence est ensuite emballée et vendue au plus offrant, augmentant la probabilité de violations réussies. Et avec l’armement de l’IA maintenant en place, ces efforts de reconnaissance sont devenus plus automatisés et précis, permettant aux cybercriminels de faire évoluer leurs opérations à un rythme sans précédent.
La convergence de celui-ci et des menaces
La cybercriminalité a historiquement ciblé les systèmes informatiques, tandis que les acteurs de l’État-nation se sont concentrés sur la perturbation des environnements de technologie opérationnelle (OT). Cependant, cette division se dissout rapidement, car les attaquants à motivation financière reconnaissent les enjeux élevés impliqués dans les perturbations de l’OT. En raison de l’impact financier et opérationnel potentiel des attaques, la fabrication, l’énergie et les services publics sont désormais devenus des cibles de choix.
Par exemple, les courtiers d’accès initiaux (IAB) infiltrent désormais les réseaux OT et vendent l’accès à des groupes de ransomwares ou à d’autres acteurs malveillants. Selon les données de renseignement des menaces présentées au Summit 2025 de Fortinet, Cyberattaques ciblant la technologie opérationnelle dans le secteur de l’énergie et des services publics a bondi par 300% par rapport à 2024, (i) «avec des milliards de menaces détectées dans les secteurs critiques des infrastructures». Ces attaquants exploitent les contrôles de sécurité faibles dans les systèmes hérités OT, tirant parti des données de reconnaissance pour affiner leurs vecteurs d’attaque.
Cyberattaques axées sur l’AI: une préoccupation croissante
L’armement de l’IA a introduit de nouvelles méthodologies d’attaque. Alors que les premières cyberattaques reposaient sur des algorithmes pré-programmés ou automatisés – tels que la numérisation scénarisée, l’énumération et l’exploitation de base – les adversaires de Today commencent à utiliser des attaques multiples dirigés par AI qui peuvent s’adapter dynamiquement en temps réel. Par exemple, l’IA génératrice aide les attaquants à la reconnaissance et à l’ingénierie sociale. Ce passage de l’automatisation aux vraies chaînes d’attaque dirigés par l’IA signifie que les défenseurs doivent adopter des mécanismes de défense tout aussi sophistiqués.
Une tendance alarmante consiste à utiliser l’IA pour élaborer des campagnes de phishing hautement personnalisées dans les langues locales, augmentant leur efficacité. De plus, les attaquants exploitent désormais l’IA pour les techniques d’évasion avancées, telles que le mélange des activités malveillantes avec des processus système légitimes pour éviter la détection. La prochaine phase des menaces axée sur l’IA impliquera probablement une prise de décision en temps réel lors des attaques, ce qui les rend encore plus difficiles à atténuer.
Opérationnalisation des renseignements sur les menaces pour la défense
Une stratégie de défense axée sur les menaces oblige les organisations à intégrer continuellement les renseignements sur les menaces dans leurs opérations de sécurité – pas simplement pour comprendre le paysage des menaces mais pour traduire cette compréhension en défense active et adaptative. Ce concept, formalisé par Mitre, met l’accent sur l’intégration cyclique de l’intelligence, des tests et de l’évaluation des cybermenaces et des mesures défensives pour créer une posture de sécurité en permanence en continu.
Le modèle de défense de la défense (TID) informés de la menace à mitres illustre comment chaque phase informe la suivante: les tests de renseignement des renseignements, les tests valident les défenses et les résultats de ces défenses affinent l’intelligence future. Cette boucle en cours est au cœur de la renforcement de la résilience contre les menaces avancées et persistantes. À bien des égards, cette approche est parallèle à la transition de l’industrie vers la gestion continue de l’exposition aux menaces (CTEM).
S’appuyant sur ce modèle, quatre composants clés forment l’épine dorsale opérationnelle d’une stratégie de TID efficace:
- Intelligence cyber-menace: Organiser et contextualiser les données de menace pour comprendre les tactiques, les techniques et les procédures adverses (TTPS); tendances de campagne; et les risques potentiels pour votre environnement spécifique.
- Test et évaluation: Grâce à une équipe rouge, à une équipe bleue et à une équipe de violet, simulez et évaluez continuellement les scénarios d’attaque du monde réel pour découvrir les expositions et les mécanismes de détection et de réponse des tests.
- Ingénierie de détection: Adapter les défenses existantes et construire une nouvelle logique de détection lorsque les attaquants développent des techniques nouvelles ou évasives. Cela comprend l’ingénierie pour la visibilité dans les menaces spécifiques à l’OT et les chemins d’attaque transversale.
- Mesures défensives et réponse automatisée: Utilisez l’IA et l’automatisation – des outils VIA comme Soar et EDR – pour réduire les temps de réponse et assurer une défense coordonnée et cohérente dans les environnements informatiques et OT.
Ensemble, ces éléments renforcent la vision de Mitre pour la défense axée sur la menace: un modèle de sécurité vivant et dynamique construit sur des renseignements exploitables, des tests validés et des défenses résilientes qui évoluent avec le paysage des menaces.
Collaboration de l’industrie: un modèle de défense collective
Aucune entité ne peut aborder le paysage cyber-menace seul. La collaboration à l’échelle de l’industrie est essentielle pour améliorer les défenses collectives. Les partenariats public-privé, le partage des renseignements sur les menaces et les initiatives conjointes – telles que la Cyber Threat Alliance et l’atlas de cybercriminalité – aient les organisations en avance sur les adversaires. Travaillant en étroite collaboration avec les organismes d’application de la loi, ces initiatives ont conduit au retrait des opérations majeures de cybercriminalité et à l’arrestation de milliers de cybercriminels.
De plus, des cadres comme Mitre ATT & CK pour ICS fournissent une approche standardisée pour comprendre les comportements adversaires spécifiques à l’OT. Les organisations devraient tirer parti de ces informations pour adapter leurs défenses contre les menaces sectorielles.
Dans l’avant: l’avenir de la sécurité OT
La convergence rapide de l’informatique, de l’OT et des environnements cloud présente à la fois des défis et des opportunités pour les professionnels de la cybersécurité. Alors que les attaquants continuent d’affiner leurs stratégies, les défenseurs doivent adopter une approche proactive et axée sur le renseignement.
Les organisations peuvent passer d’une posture de sécurité réactive à une stratégie de défense résiliente et axée sur les menaces en intégrant l’intelligence des menaces axée sur l’IA, en automatisant la réponse aux incidents et en favorisant la collaboration de l’industrie. Au fur et à mesure que le champ de bataille Cyber évolue, la clé du succès réside dans la compréhension de l’adversaire, l’anticipation de leurs mouvements et la prise de mesures décisives avant qu’une attaque ne se produise.
La valeur d’une défense axée sur la menace
Il est essentiel de se rappeler que la défense axée sur la menace n’est pas seulement un concept intéressant, mais une nécessité cruciale dans le paysage cyber-menace d’aujourd’hui. À mesure que les attaques se développent en sophistication, les organisations doivent passer des modèles de sécurité statiques aux stratégies dynamiques et axées sur le renseignement.
En opérationnalisant les menaces de renseignement, en adoptant l’automatisation et en collaborant avec les pairs de l’industrie, les secteurs des infrastructures critiques peuvent fortifier et maintenir leurs défenses pour rester en avance sur les menaces émergentes.
(i)Fortinet OT Summit 2025, Derek Manky, “Threat-Informed Defense for Operational Technology: Moving from Information to Action to Operationalize Threat Intel,” presented March 2025. FortiGuard Labs threat intelligence data indicated a 300% increase in OT-related cyberattacks in North America's energy and utilities sector between Q1 and Q4 of 2024.
