Threat hunting : détecter les APT avant qu'elles s'activent
Les attaquants APT (Advanced Persistent Threats) passent en moyenne 207 jours dans un réseau avant d'être détectés. Le threat hunting proactif renverse ce rapport de force : au lieu d'attendre les alertes, des analystes humains partent à la recherche active de signes d'intrusion. Voici comment cette approche fonctionne et comment l'adapter aux PME et ETI.
Threat hunting vs monitoring réactif
Le monitoring traditionnel est réactif : un outil génère une alerte, l'équipe l'analyse et répond. Le threat hunting est proactif : l'analyste formule une hypothèse ("et si un attaquant avait compromis un compte administrateur il y a 3 mois ?") et part chercher des preuves de cette compromission dans les logs.
Pourquoi le monitoring seul est insuffisant
- Living off the land : les attaquants modernes utilisent des outils légitimes (PowerShell, WMI, PsExec) qui ne déclenchent pas d'alertes antivirales classiques
- Évasion des SIEM : les règles de détection SIEM couvrent les TTPs connus, pas les variantes inédites des APT
- Fatigue des alertes : un SOC moyen reçoit 10 000 alertes/jour ; les vrais incidents se noient dans le bruit
- Dwell time : 207 jours de présence moyenne avant détection signifie que des mois de logs doivent être analysés rétrospectivement
Méthodologie du threat hunting
Étape 1 : formuler une hypothèse
Toute session de threat hunting commence par une hypothèse concrète, basée sur la threat intelligence ou les TTPs (Tactics, Techniques, Procedures) connus des groupes APT ciblant votre secteur. Exemples d'hypothèses :
- Hypothèse 1 : "Un attaquant a compromis un compte de service non surveillé et effectue du credential dumping via mimikatz"
- Hypothèse 2 : "Un C2 (Command & Control) est actif sur notre réseau via des connexions DNS périodiques vers un domaine généré algorithmiquement (DGA)"
- Hypothèse 3 : "Une persistence via clés de registre Run a été établie sur un poste de travail"
Étape 2 : collecter et analyser les données
- Logs Windows : Security Event Log (4624, 4625, 4688, 4698, 4720), Sysmon (processus, connexions réseau, clés de registre)
- Logs réseau : NetFlow, DNS logs, proxy logs, firewall logs
- Artefacts endpoints : prefetch files, shimcache, AmCache, BITS jobs, scheduled tasks
- Memory dumps : analyse de la RAM pour détecter les processus injectés ou les shellcodes
Étape 3 : valider ou infirmer l'hypothèse
L'analyste cherche des indicateurs confirmant ou infirmant son hypothèse. Si confirmée, il escalade vers la réponse à incident. Si infirmée, les résultats alimentent de nouvelles hypothèses ou améliorent les règles de détection du SIEM.
MITRE ATT&CK : le framework de référence
MITRE ATT&CK est la base de connaissances des TTPs utilisés par les attaquants réels, organisée en 14 tactiques (Reconnaissance, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, C2, Exfiltration, Impact) et des centaines de techniques.
- ATT&CK Navigator : outil de visualisation pour mapper les TTPs observés et identifier les gaps de détection
- Threat groups : ATT&CK référence des groupes APT spécifiques (APT28, Lazarus, FIN7) avec leurs TTPs caractéristiques
- Atomic Red Team : tests unitaires basés sur ATT&CK pour valider la détection de chaque technique
- SIGMA rules : règles de détection open source alignées sur ATT&CK, importables dans les SIEM
Outils pour le threat hunting
- SIEM (Splunk, Microsoft Sentinel, Elastic SIEM) : agrégation des logs, requêtes SPL/KQL, corrélation temporelle
- EDR (CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint) : visibilité temps réel des processus, connexions, et capacité de hunting intégrée
- Velociraptor : outil open source de DFIR et threat hunting, capable de collecter des artefacts forensiques sur des milliers de machines simultanément
- Zeek / Suricata : analyse du trafic réseau pour détecter les C2, exfiltrations et communications anormales
- OSINT / Threat Intel : VirusTotal, MISP, OpenCTI pour corréler les IOC avec la threat intelligence externe
Threat hunting adapté aux PME
Le threat hunting à grande échelle nécessite des ressources importantes. Pour les PME, des approches pragmatiques permettent de bénéficier de la démarche sans un SOC full-time :
- Hunting ciblé : se concentrer sur 3 à 5 hypothèses prioritaires basées sur les menaces connues du secteur, plutôt que sur une analyse exhaustive
- EDR avec hunting intégré : des solutions comme Microsoft Defender for Endpoint proposent des capacités de hunting via KQL (Advanced Hunting) accessibles sans SOC dédié
- MSSP avec hunting : faire appel à un MSSP proposant des sessions de threat hunting périodiques (trimestrielles ou semestrielles)
- Exercices Atomic Red Team : simuler des TTPs communs et vérifier que le SIEM/EDR les détecte — c'est du "reverse hunting"
Indicateurs IOC vs TTP : quelle différence ?
La pyramide de la douleur (Pyramid of Pain) classe les indicateurs selon leur valeur :
- Hash de fichiers : facile à changer pour l'attaquant, faible valeur détective
- Adresses IP : peuvent être changées en minutes via un nouveau serveur
- Domaines : coûtent quelques dollars à remplacer, mais la rotation prend du temps
- Artifacts réseau / TTPs : très difficiles à modifier car liés au modus operandi de l'attaquant — c'est là que le hunting est le plus efficace
Le threat hunting se concentre sur les TTPs (techniques comportementales) plutôt que sur les IOC (indicateurs ponctuels), ce qui lui permet de détecter des attaquants même quand ils changent leurs outils et infrastructures.
Besoin d'un audit de sécurité ou d'une session de threat hunting ?
Nos experts certifiés réalisent des sessions de threat hunting ciblées et des audits de maturité détection pour PME et ETI.
Demander un devis gratuit