Secu
Cybermenaces : comprendre les « Threat Actors » et les « Intrusion Sets » pour mieux se protéger
Par La rédaction, publié le 25 février 2025
Les cyberattaques ne sont pas le fruit du hasard : elles obéissent à des logiques précises. Identifier les « Threat Actors » pour comprendre qui attaque et analyser les « Intrusion Sets » pour décoder comment ils opèrent est essentiel pour se protéger. Une distinction qui change tout dans la cybersécurité.
De Einat Argon, Senior Customer Success Manager
et Lucas Guiglionia, Customer Success Management Manager de Filigran
La cybersécurité repose sur une analyse approfondie des menaces pour anticiper, identifier et neutraliser les cyberattaques. Dans ce domaine, deux concepts fondamentaux émergent : les « Threat Actors » et les « Intrusion Sets ». Ces notions différentes, bien que complémentaires, permettent de mieux cerner la nature des cybermenaces. Pourtant, leur compréhension reste parfois floue, entravant la capacité des organisations à réagir efficacement. Comprendre ces distinctions est aujourd’hui indispensable pour construire des stratégies de défense robustes.
Une classification essentielle à l’analyse des cybermenaces
Les groupes malveillants utilisent des technologies avancées et des techniques d’ingénierie sociale sophistiquées pour contourner les défenses. Dans ce contexte, distinguer « Threat Actors » et « Intrusion Sets » permet de mieux comprendre et anticiper les comportements des attaquants.
1. Les « Threat Actors » : identifier les motivations et les stratégies
Les « Threat Actors » permettent de comprendre, deviner voire d’anticiper l’intention et la stratégie derrière une attaque. Qu’il s’agisse d’un État cherchant à déstabiliser une nation rivale, d’un groupe criminel visant à obtenir des rançons ou d’un concurrent utilisant des cyberattaques pour obtenir un avantage économique, ces acteurs incarnent le « visage » des cybermenaces.
Cette catégorisation permet aux analystes de mieux comprendre les motivations qui sous-tendent une attaque. Par exemple, les campagnes menées par des États visent souvent des objectifs géopolitiques, tandis que les groupes criminels cherchent principalement à maximiser leurs gains financiers.
2. Les « Intrusion Sets » : analyser les techniques et les outils
Les « Intrusion Sets » sont l’expression technique des actions malveillantes. Elles regroupent des modèles d’attaques caractérisés par des outils spécifiques (Ransomware, kit de phishing, spyware) et des méthodes (exploitation de vulnérabilités, mouvements latéraux au sein des réseaux).
Cette analyse permet aux équipes de Threat Intelligence d’identifier des tendances, de prioriser les menaces et de concevoir des contre-mesures adaptées.
Des zones grises : l’exemple des groupes utilisant des ransomware
Certaines entités, telles que les opérateurs de ransomware, se situent entre deux classifications distinctes. Bien qu’elles revendiquent souvent leurs actions et qu’elles puissent théoriquement être classées comme des “Threat actors”, leur structure interne complexe et leurs ramifications techniques les amènent en pratique à être catégorisées comme des “Intrusion sets”.
Ce consensus permet de simplifier l’analyse et le suivi de ces groupes. Cependant, la distinction n’est pas toujours évidente et nécessite de maintenir une cohérence dans la manière dont les analystes choisissent de les classifier, selon les données disponibles.
Distinction et consensus dans la classification des menaces
Dans le domaine de la Threat Intelligence, distinguer un « Threat Actor » et un « Intrusion Set » repose souvent sur le degré de consensus au sein de la communauté et la clarté des frontières entre les entités.
Un « Threat Actor » est généralement reconnu lorsque la communauté s’accorde sur ses caractéristiques clés : attribution claire des attaques, limites bien définies, et reconnaissance globale par les experts en renseignement. Ce consensus reflète une compréhension approfondie de l’entité et de ses activités, permettant une catégorisation précise et stable.
À l’inverse, lorsque les limites d’une entité restent floues, avec des interprétations variées selon les analystes, il est plus approprié de la considérer comme un « Intrusion Set ». Ce cadre plus flexible tient compte des zones d’incertitude : les contours sont moins rigides, et les affiliations ou attributions peuvent diverger.
Ce processus de classification reste toutefois sujet à débat, illustrant la complexité inhérente à l’analyse des menaces.
À LIRE AUSSI :
À LIRE AUSSI :
