CTI & OSINT

Threat Hunting ou la détection Proactive en Cybersécurité

by  • 

J’ai rédigé cet article dans le cadre de mes échanges avec mes pairs, afin de positionner le Threat Hunting au sein des pratiques des équipes de réponses à incident aussi bien les CERT/CSIRT ou SOC.

J’espère qu’il vous apportera un éclairage utile sur ce sujet aussi passionnant que stratégique.

1. Du réactif au proactif

Les menaces informatiques modernes ont atteint un niveau de sophistication tel que les systèmes d’alerte traditionnels ne suffisent plus à détecter certaines attaques.

L’adversaire exploite le délai de détection pour pénétrer silencieusement les réseaux d’entreprise, exfiltrer des données ou installer des implants durables. Dans ce contexte, le threat hunting (chasse aux menaces) apparaît comme une discipline essentielle pour les équipes CERT (Computer Emergency Response Team).

Elle vise à identifier proactivement les activités malveillantes passées inaperçues, en s’appuyant sur des hypothèses, des comportements suspects ou des indicateurs émergeants.

Le CERT, en tant que centre opérationnel avancé de détection et réponse, a tout intérêt à intégrer le threat hunting comme une compétence clé. Non seulement pour anticiper les attaques, mais aussi pour enrichir ses règles de détection, améliorer la réaction en cas d’incident, et contribuer à la connaissance tactique et opérationnelle de l’adversaire.

2. Fondements théoriques du Threat Hunting

Le threat hunting repose sur un paradigme d’investigation proactive. Il suppose que les contrôles de sécurité peuvent être contournés et que des adversaires sont potentiellement déjà implantés. Trois approches coexistent :

  • Hunting basé sur des hypothèses : partant de TTPs observés dans la threat intel, l’analyste explore la télémétrie à la recherche de comportements associés.
  • Hunting par IoC : recherche dans les journaux d’activités malveillantes précédemment identifiées (hash, IP, URL, User-Agent).
  • Hunting comportemental : détection d’anomalies statistiques ou déviations d’usage.

Ces approches ne sont pas exclusives. Les CERT les croisent selon le contexte, les priorités et les ressources.

3. Cadres et modèles de référence

Les activités de threat hunting s’appuient sur plusieurs modèles de structuration :

  • MITRE ATT&CK : matrice de TTPs qui permet de formuler des hypothèses et de détecter des comportements adverses.
  • Cyber Kill Chain (Lockheed Martin) : segmentation de l’attaque en étapes successives (reconnaissance, livraison, installation, etc.).
  • Diamond Model : analyse d’une attaque selon adversaire / capacité / infrastructure / victime.
  • Hunting Maturity Model : évaluation de la maturité d’une organisation dans la mise en œuvre de campagnes de chasse.

Ces modèles favorisent une approche systémique, répétable et mesurable des opérations de hunting.

4. Le cycle de vie d’une campagne de Threat Hunting

Une campagne de threat hunting suit un cycle structurant en quatre étapes :

  1. Hypothèse ou déclencheur : élément initial (intel, comportement suspect).
  2. Collecte des données : extraction des journaux pertinents, filtrage.
  3. Analyse : corrélation, croisements, visualisation.
  4. Réponse : si compromission confirmée, traitement par les équipes CERT / SOC.

La boucle se referme avec l’amélioration continue : enrichissement du SIEM, des règles EDR, et de la base de connaissance.

5. Architecture technique : outils et plateformes

Les outils de chasse doivent permettre de manipuler de grands volumes de données, d’investiguer sur les endpoints et de contextualiser les observations :

  • SIEM : Splunk, Elastic, QRadar.
  • EDR/XDR : Defender for Endpoint, CrowdStrike, SentinelOne.
  • NDR : Zeek, Vectra, Corelight.
  • SOAR : automatisation des playbooks (TheHive, Cortex, XSOAR).
  • TIP : MISP, ThreatQ, RecordedFuture.
  • Outils forensiques : Volatility, KAPE, Velociraptor.

Un CERT mature déploie une chaîne cohérente de collecte, analyse et remédiation.

6. Trois cas d’usage illustratifs

Cas 1 : Powershell obfusqué L’analyse de logs Sysmon met en évidence des appels à powershell.exe avec des chaînes encodées. L’analyse révèle un script malveillant injectant un payload à partir de pastebin. Une règle YARA est dérivée.

Cas 2 : Exfiltration par DNS Une courbe anormale de requêtes DNS vers un domaine inconnu montre un tunnel DNS actif. L’analyse réseau confirme un flux chiffré sortant encapsulé en DNS. Blocage du domaine, investigation mémoire, identifiants compromis changés.

Cas 3 : Mouvement latéral par SMB et RDP Des connexions RDP inter-serveurs en heures creuses sont identifiées. L’analyse des tickets Kerberos montre un abus de DCSync. Containment et déploiement de règles Sigma pour prévenir les comportements similaires.

7. Enjeux et difficultés pour les CERT/CSIRT, SOC…

  • Ressources humaines : pénurie d’analystes qualifiés.
  • Bruit dans les données : trop de faux positifs si mal calibré.
  • Fragmentation des outils : silos techniques, manque d’intégration.
  • Communication : difficile de prouver le ROI d’une activité sans compromission trouvée.

Une équipe DFIR (Digital Forensics Incident Response) doit travailler à l’amélioration continue, en gardant l’agilité dans les priorités.

8. Bonnes pratiques de mise en œuvre

  • Définir une stratégie et un plan annuel de chasse.
  • Intégrer le hunting dans les processus ITSM (CMDB, vulnérabilités).
  • Capitaliser les sessions précédentes (base de connaissances).
  • Promouvoir le purple teaming et les exercices d’intrusion internes.
  • Former en continu sur les TTPs et nouveaux outils.

9. Intégration à la stratégie de cyberdéfense

Le threat hunting ne remplace pas les mécanismes déjà en place (SOC, EDR, CTI), mais les augmente. Il sert aussi bien à valider l’efficacité des systèmes de détection qu’à enrichir les processus de réponse.

Il constitue un pilier de la démarche ZTA (Zero Trust Architecture) où chaque comportement est suspect jusqu’à preuve du contraire.

Ma conclusion

La chasse aux menaces est un levier de cyberdéfense offensif, adapté au réalisme des attaques modernes. Pour les équipes CERT/CSIRT ou SOC, elle permet de passer d’une posture passive à une surveillance active, de transformer le renseignement en actions et de réduire le temps de détection.

Le déploiement réussi du threat hunting repose sur des compétences humaines, des données pertinentes, des outils coordonnés, une gouvernance claire et une stratégie itérative.

Enjoy !

Bibliographie technique

  1. Fortinet – Glossaire cybersécurité : https://www.fortinet.com/fr/resources/cyberglossary/threat-hunting
  2. MITRE ATT&CK Framework : https://attack.mitre.org
  3. CrowdStrike – Threat Hunting : https://www.crowdstrike.com/fr-fr/cybersecurity-101/threat-intelligence/threat-hunting/
  4. SANS Institute – Scientific Method & Threat Hunting : https://www.sans.org/white-papers/39650
  5. David Bianco – Hunting Maturity Model : https://detect-respond.blogspot.com/2015/10/the-hunting-maturity-model.html
  6. Red Canary – Purple Teaming Guide : https://redcanary.com/blog/purple-teaming-guide/
  7. Zeek Network Monitor : https://zeek.org
  8. Volatility Framework : https://www.volatilityfoundation.org
  9. Microsoft Defender for Endpoint : https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/
  10. MISP Project : https://www.misp-project.org