6 Phases of the Threat Intelligence Lifecycle

11 janvier

Building an effective threat intelligence program that disseminates actionable data that results in real-world risk reduction has never been more critical. Threats to enterprise organizations ranging from geopolitical risk to sophisticated Rançongiciels groups continue to proliferate while many security teams struggle to integrate dozens of tools together and stay on top of emerging threats. This article covers each stage of the Cyber Threat Intelligence Lifecycle and provides actionable recommendations for équipes de sécurité.

Qu'est-ce que le cycle de vie des renseignements sur les menaces ?

Le renseignements sur les menaces Le cycle de vie est le cadre de renseignement sur les menaces que les équipes CTI utiliseront lorsqu'elles seront invitées à mener une enquête spécifique ou à préparer des rapports sur certaines menaces. Les types de menaces qui préoccupent les organisations varient considérablement. Une grande institution financière peut demander à une équipe de renseignement sur les menaces de préparer des rapports sur les menaces avancées et persistantes d’un État-nation qui ciblent les institutions financières. À l’inverse, une équipe de renseignement sur les menaces dans le secteur des soins de santé de taille moyenne peut être invitée à analyser groupe de rançongiciels tactiques, techniques et procédures ciblage organismes de soins de santé.

Travailler à chaque étape du cycle de vie des informations sur les menaces fournit aux organisations une structure cohérente qui peut aider à garantir que les résultats des informations sur les menaces sont exploitables, conformes aux objectifs de gestion des risques et diffusés aux parties prenantes appropriées de l'organisation. 

Résumé:

  • The Threat Intelligence Lifecycle consists of six phases: requirements identification, collection, processing, analysis, dissemination, and feedback 
  • Les équipes CTI peuvent appliquer le cycle de vie des renseignements sur les menaces pour analyser une gamme de menaces, notamment les risques géopolitiques, les vulnérabilités, les groupes de cybercriminalité, les menaces persistantes avancées et les menaces de fraude, entre autres.
  • Le cycle de vie des informations sur les menaces permet de garantir que les résultats et les analyses de l'équipe CTI sont correctement alignés sur la gestion des risques et les objectifs commerciaux.
  • S'assurer que les données sur les menaces sont efficacement diffusées est essentiel pour apporter de la valeur aux équipes de gestion des risques et aux dirigeants

Comprendre le cycle de vie des renseignements sur les menaces

Threat intelligence doesn’t operate in a vacuum, CTI teams are typically assigned to specific tasks and investigations based on business requirements. Threat intelligence teams then progress through a lifecycle of activities that enables them to clarify requirements, collect and process data, analyze structured information, and disseminate intelligence exploitable to relevant business units.

Le cycle de vie Threat Intelligence est représenté dans un cercle avec les six phases étiquetées dans le sens des aiguilles d'une montre à partir du haut. L'arrière-plan est bleu marine et il y a des icônes bleues à côté de chacune des six phases : Phase 1 Détermination des exigences en matière de renseignements sur les menaces, Phase 2 Collecte de renseignements sur les menaces, Phase 3 Traitement des renseignements sur les menaces, Phase 4 Analyse des renseignements sur les menaces, Phase 5 Diffusion des renseignements sur les menaces et Phase 6 Rétroaction.
Le cycle de vie des renseignements sur les menaces comprend six phases : Phase 1) Définition des exigences en matière de renseignements sur les menaces, Phase 2) Collecte de renseignements sur les menaces, Phase 3) Traitement des renseignements sur les menaces, Phase 4) Analyse des renseignements sur les menaces, Phase 5) Diffusion des renseignements sur les menaces et Phase 6) Rétroaction.

Phase 1 du cycle de vie CTI : définition des exigences en matière de renseignements sur les menaces 

Outre le travail quotidien de renseignement sur les menaces, comme la surveillance des marchés du dark web et des forums pour les mentions d'entreprises, la plupart des projets de renseignement sur les menaces commencent par l'identification des exigences. Au cours de cette phase, l'équipe CTI ou les responsables de la collecte de renseignements s'interfaceront directement avec d'autres unités commerciales ou cadres pour déterminer quel type de renseignements doit être recueilli et quel est l'objectif du projet. L'identification des exigences est essentielle pour s'assurer que les processus CTI s'alignent correctement sur les objectifs commerciaux et de gestion des risques, et fournissent des informations pouvant être actionnées par les parties prenantes concernées. 

For the purpose of this example of a threat intelligence lifecycle, we are going to assume that the CTI team has been tasked with collecting information about courtiers en accès initial on dark web markets. Specifically we will assume that the CTI team has been asked to:

  • Identifier les courtiers d'accès initiaux (cybercriminels qui piratent les environnements informatiques d'entreprise, puis vendent leur accès à d'autres criminels sur des forums spécialisés sur le dark web) ciblant les entreprises de santé
  • Créez une liste de personnes que les courtiers d'accès initiaux utilisent, ainsi que des données pertinentes sur la taille des organisations qu'ils attaquent
  • Gather relevant information around any identifiable tactics, techniques, and procedures (TTPs) that the threat actors use to gain access or escalate privileges 
  • Fournir des recommandations à l'organisation sur la manière dont elle peut réduire le risque associé à la compromission par un courtier d'accès initial

Phase 2 du cycle de vie CTI : Collecte de renseignements sur les menaces

Au cours de cette phase, les sources de renseignements sur les menaces sont identifiées et la collecte de données brutes commence. Si l'organisation utilise une plate-forme dédiée aux renseignements sur les menaces, les données peuvent être collectées directement à partir de la plate-forme, sinon les données peuvent être collectées à partir de sources pertinentes. 

Dans ce cas, l'équipe examinerait probablement des forums Web sombres spécialisés qui sont utilisés par les courtiers d'accès initiaux pour vendre aux enchères l'accès aux environnements informatiques d'entreprise. S'ils utilisaient une plate-forme de renseignement sur les menaces, ces données pourraient se présenter sous un format structuré, sinon il est probable qu'ils extrairaient manuellement les données de pages Web spécifiques sur TOR.

Phase 3 du cycle de vie CTI : traitement des renseignements sur les menaces

Une fois que les données pertinentes ont été collectées au cours de la phase de collecte de renseignements sur les menaces, l'équipe se met à les traiter. Cela implique de filtrer les données non pertinentes qui ont été collectées de manière fortuite, de structurer les données pour faciliter la phase d'analyse et de regrouper les données similaires pouvant être utilisées lors de la phase d'analyse. Cette étape pourrait impliquer :

  • Créer des feuilles de calcul et relier des éléments de données disparates pour créer un contexte pour les événements et les actifs
  • Téléchargement des IOC fournis par le fournisseur vers un outil SIEM ou SOAR pour les comparer au trafic réel 
  • Dans notre exemple, l'équipe CTI créerait probablement une matrice pour montrer les relations entre les courtiers d'accès initiaux, les données TTP identifiables découvertes lors de la collecte, ainsi que les forums et marchés spécifiques sur lesquels ils opèrent.

Phase 4 du cycle de vie CTI : Analyse des renseignements sur les menaces

La phase d'analyse est essentielle pour fournir à l'entreprise des données exploitables et pertinentes qui peuvent être utilisées pour réduire les risques ou éclairer les décisions de sécurité des informations de l'entreprise. Au cours de la phase d'analyse, les analystes des renseignements sur les menaces travailleront pour créer un contexte significatif et des renseignements exploitables à partir des données qui ont été formatées et structurées au cours de la phase de traitement. Les équipes d'analystes CTI doivent s'assurer que :

  • L'analyse communique efficacement et clairement au bon public. L'analyse axée sur les vulnérabilités couramment exploitées et destinée à l'équipe de gestion des vulnérabilités peut être très technique, mais les rapports destinés au conseil d'administration et aux autres cadres doivent être axés sur des recommandations et des risques exploitables.
  • L'analyse doit être aussi détaillée que nécessaire pour expliquer clairement les résultats et fournir des recommandations
  • Dans notre exemple, l'équipe CTI fournirait probablement un contexte autour des IAB découverts sur le dark web, identifierait ceux qui représentent la plus grande menace pour l'organisation et fournirait des informations supplémentaires sur les TTP identifiables et les contre-mesures.

Phase 5 du cycle de vie CTI : Dissémination des renseignements sur les menaces

Lors de la diffusion, les informations pertinentes sur les menaces sont envoyées aux différentes unités commerciales qui pourraient en tirer de la valeur et qui ont été identifiées lors de la phase « Identifier les besoins ». Bien qu'il s'agisse apparemment de l'une des phases les plus simples, de nombreuses organisations ne parviennent pas à garantir efficacement que les données exploitables sur les menaces parviennent aux bonnes parties prenantes d'une organisation. Voici quelques bonnes pratiques que vous pouvez utiliser pour améliorer la diffusion des renseignements sur les menaces :

  • Envisagez de créer différentes versions de renseignements sur les menaces « terminés » à différents niveaux de technicité pour apporter de la valeur aux parties prenantes des équipes techniques, des équipes de gestion des risques et au niveau de la direction.
  • Au fur et à mesure que votre équipe progresse dans le cycle de vie des renseignements sur les menaces, prenez le temps d'identifier d'autres unités commerciales susceptibles de bénéficier des renseignements finis

Phase 6 du cycle de vie CTI : commentaires

Une fois que les renseignements ont été envoyés aux unités commerciales et aux personnes concernées, il est temps de recueillir les commentaires de l'organisation pour déterminer si l'analyse des renseignements a été opportune, pertinente et exploitable. Vous trouverez ci-dessous quelques bonnes questions directrices que vous pouvez poser pour recevoir des commentaires qui peuvent être utilisés pour améliorer la collecte et l'analyse futures de renseignements.

  • Le produit de renseignement fini a-t-il entraîné des actions qui ont réduit les risques pour une ou plusieurs unités commerciales ?
  • L'intelligence finie était-elle au bon niveau de détail technique pour que les différentes équipes puissent facilement la comprendre et l'exploiter ?
  • Y avait-il des unités d'affaires qui auraient pu bénéficier du travail qui ne l'ont pas reçu ?

Accélérez le cycle de vie des renseignements sur les menaces avec Flare

La fusée Gestion de l'exposition aux menaces (TEM) solution empowers organizations to proactively detect, prioritize, and mitigate the types of exposures commonly exploited by threat actors. Our platform automatically scans the clear & dark web and prominent threat actor communities 24/7 to discover unknown events, prioritize risks, and deliver actionable intelligence you can use instantly to improve security.

Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.

Partager l'article

Publications connexes

Tout voir
05.02.2026

Threat Alert: TeamPCP, An Emerging Force in the Cloud Native and Ransomware Landscape

En savoir plus
29.01.2026

Protecting One Billion People’s Information Through Flare

En savoir plus
28.01.2026

RAMP Seizure: FBI Takes Down Major Ransomware Forum

En savoir plus