5 outils pour accélérer sa veille Cyber Threat Intelligence
La veille cybersécurité est un des piliers de la Cyber Threat Intelligence (CTI). S’informer sur les nouvelles vulnérabilités, les techniques émergentes déployées par les attaquants ou leurs malwares est indispensable à tout analyste CTI mais plus globalement à tout professionnel de la cybersécurité. C’est autant utile pour améliorer sa détection que pour sensibiliser, adapter sa politique de sécurité, donner des idées à des Red Teams ou pour simplement mieux connaître l’état de la menace cyber et ainsi mieux faire son travail.
Je vous propose de vous parler de 5 outils que j’utilise quotidiennement pour mettre en place et réaliser ma veille quotidienne. Ils contribuent également à la veille collaborative mise en place dans l’équipe Threat & Detection Research (TDR) de Sekoia.io. Ce n’est pas le premier blog post que j’ai écrit sur ce sujet mais j’utilise désormais de nouveaux outils pour être plus efficace en équipe et automatiser certaines étapes.
Feedly
Je l’utilisais déjà il y a 10 ans mais Feedly est la base pour organiser et collecter des flux RSS de vos sites et blogs préférés. J’étais passé quelques temps à Inoreader qui est aussi très bien.
Feedly va donc vous permettre de centraliser les remontées de nouveaux rapports et blog posts de tous les éditeurs et médias qui publient en cybersécurité.
Mais au-delà de Feedly, le plus important est votre base de sources d’informations. Au fil des années nous avons pu avec mon équipe lister des centaines de sources pertinentes pour ne rien rater en termes de rapports CTI.
N’hésitez pas à me contacter pour que je vous partage notre fichier OPML qui regroupe plus de 300 sources / flux RSS.
Mise à jour : comme vous avez été nombreux à le demander, le voici ! N’hésitez pas à me dire si vous voyez d’autres sources à ajouter !
X (ex Twitter)
Twitter — X désormais — c’est toujours pour moi la source n°1 pour collecter des informations techniques et non techniques en Cyber Threat Intelligence. Au-delà des éditeurs et de leurs rapports, on y retrouve les analystes et chercheurs qui partagent leurs découvertes (IOCs mais aussi TTPs, méthodologies et analyses).
Twitter proposait gratuitement Tweetdeck pour organiser sa veille Twitter avec des colonnes et ainsi suivre par liste, mot clés / hashtag ou compte d’utilisateur. X à transformé Tweetdeck en X Pro qui est devenu payant.
Sur X, on peut rapidement être noyé dans le flux des informations partagées par des millions d’utilisateurs et de bots… C’est pour cela que l’utilisation de listes est très pratique pour se créer des flux personnalisés avec le moins de bruit possible pour se concentrer sur sa veille « métier ».
Voici la liste publique que j’ai créé et partagée et qui regroupe des centaines d’éditeurs et d’analystes / chercheurs en CTI : https://twitter.com/i/lists/1006172021166891008
Raindrop
C’est un outil que j’utilise depuis quelques années seulement et qui est devenu indispensable pour capitaliser les rapports et blog posts les plus pertinents dénichés dans une veille individuelle ou réalisée en équipe.
De façon concrète, Raindrop va permettre de sauvegarder et archiver toute sorte de contenu (rapport PDF, tweets ou blog post) pour les lire “plus tard” mais aussi les classer dans des dossiers et les “tagger” pour donner du contexte. Pour cela, une extension Chrome / Firefox (ou sur votre smartphone) vous aidera en un clic à sauvegarder les contenus qui vous intéressent.
Raindrop va également permettre de partager sous forme de page web privée ou publique voire même de générer un flux RSS. La fonction d’archivage est très intéressante car elle réalise une copie du contenu sur les serveurs de l’application. C’est très utile car parfois il arrive que des blog posts soient supprimés par leur auteur.
Start.me
C’est le dernier outil que nous avons découvert (merci Amaury). Il peut remplacer Feedly en ajoutant une dimension “dashboard” à une fonction classique de lecteur RSS. Je ne l’ai jamais testé personnellement mais Rahmat Nurfauzi propose publique un dashboard Cyber Threat Intelligence avec les principales sources de rapports sur les menaces cyber et quelques statistiques sur les ransomware. Un dashboard de veille clé en main et gratuit, un grand merci à lui !
IFTTT
IFTTT c’est la pierre angulaire pour automatiser notre gestion et partage de toute la veille collectée. C’est un outil simple (pas besoin d’être développeur) pour interconnecter vos différentes applications (par exemple : toutes celles citées dans ce blog post) et automatiser des actions.
Quelques exemples de cas d’usages (utilisés quotidiennement de notre côté) :
- Ajouter automatiquement dans un dossier particulier de Raindrop tous les liens remontés par certains flux RSS classés dans Feedly
- Envoyer des notifications par e-mail ou dans Mattermost / Slack dès qu’un nouveau rapport est ajouté dans Raindrop
- Ajouter dans Raindrop un tweet mis en favori
- Créer et ajouter des lignes dans un fichier Google Sheet pour lister les liens pertinents issus de la veille
IFTTT offre de nombreuses autres possibilités, au vue de leur catalogue d’intégrations et d’actions possibles.
J’espère que ce petit retour d’expérience vous sera utile. N’hésitez pas à commenter si voulez recevoir le fichier OPML avec toutes les sources de veille.
Et vous quels outils utilisez-vous pour votre veille cyber ?
