< Back
Threat Hunting at Thales

Tags:

TCS BELUX Detect and respond
15 janvier 2026

Threat Hunting chez Thales

Qu'est-ce que le Threat Hunting?

Le Threat Hunting est une pratique proactive de cybersécurité dans laquelle des analystes qualifiés recherchent activement des signes d’activités malveillantes au sein du réseau d’une organisation. Contrairement aux mesures traditionnelles de cybersécurité qui reposent sur des systèmes automatisés et des règles prédéfinies pour détecter les menaces, le Threat Hunting adopte une approche plus pratique et investigatrice. Comme l’explique Frédéric HOARAU, Cybersecurity Subject Matter Expert chez Thales, cette pratique permet aux organisations de découvrir des menaces cachées avant qu’elles ne s’aggravent, renforçant ainsi la résilience globale face aux cyberattaques sophistiquées.

Différentes approches du Threat Hunting

📌 Threat Hunting basé sur une hypothèse : Cette approche commence par une hypothèse fondée sur des renseignements sur les menaces ou des schémas d’attaque connus. Les analystes recherchent ensuite des preuves pour confirmer ou infirmer cette hypothèse.

📌 Threat Hunting basé sur des indicateurs de compromission (IOC) : Cette méthode consiste à rechercher des indicateurs spécifiques suggérant qu’un système a été compromis, tels qu’un trafic réseau inhabituel ou des modifications de fichiers.

📌 Threat Hunting comportemental : Les analystes recherchent des comportements anormaux au sein du réseau qui s’écartent de la norme, ce qui pourrait indiquer une activité malveillante.

Pourquoi le Threat Hunting est-il nécessaire ?

Les méthodes traditionnelles de cybersécurité, telles que les pare-feu, les logiciels antivirus et les systèmes de détection d’intrusion, sont essentielles mais souvent réactives. Elles reposent sur des signatures de menaces connues et des règles prédéfinies pour identifier les menaces. Cependant, des attaquants sophistiqués peuvent contourner ces défenses en utilisant des techniques avancées que les méthodes traditionnelles pourraient ne pas détecter.

Le Threat Hunting comble ces lacunes en :

▪️ Identifiant proactivement les menaces : Au lieu d’attendre des alertes, les threat hunters recherchent activement des menaces potentielles, découvrant souvent des menaces cachées ou émergentes que les systèmes automatisés pourraient ignorer.

▪️ Renforçant les capacités de détection : En corrélant des données provenant de diverses sources et en comprenant les spécificités du réseau, les threat hunters peuvent identifier des signes subtils de compromission.

▪️ Réduisant le dwell time : Le temps pendant lequel une menace reste non détectée dans un réseau est critique. Le threat hunting aide à réduire ce dwell time, minimisant ainsi les dommages potentiels.

▪️ Couvrant les angles morts : L’hypothèse qu’un incident s’est produit, basée sur les renseignements sur les menaces, permet aux threat hunters de vérifier si cette menace ou ce type de menace aurait été détecté dans l’organisation si elle s’était réellement produite, et ainsi de détecter les angles morts potentiels.

▪️ Analyse forensique : En enquêtant sur les menaces manquées, par exemple après un test d’intrusion, on comprend où l’infrastructure de cybersécurité n’a pas détecté l’attaque et comment elle pourrait être détectée à l’avenir.

En résumé, le threat hunting est un élément crucial d’une stratégie de cybersécurité robuste. Il complète les méthodes traditionnelles en ajoutant une couche proactive de défense, garantissant que les organisations gardent une longueur d’avance sur les cybermenaces sophistiquées.

Que nécessite le Threat Hunting ?

Pour commencer à mettre en œuvre le Threat Hunting au sein d’une organisation, plusieurs éléments clés sont essentiels.

Avant tout, il faut disposer de personnel hautement qualifié, notamment des analystes en cybersécurité ayant une solide expérience et une compréhension approfondie des environnements de menaces. Ces professionnels doivent posséder un large éventail de compétences, allant de la sécurité réseau et la réponse aux incidents à l’analyse de malwares, l’ingénierie de surveillance et l’investigation forensique.

Le renseignement sur les menaces (Threat Intelligence) est un autre élément critique, fournissant le contexte et les informations nécessaires pour identifier les menaces potentielles. L’organisation doit également avoir une posture de cybersécurité mature, avec des politiques, des procédures et des technologies bien établies.

Des sources de données de qualité sont indispensables, car les threat hunters s’appuient sur des données précises et complètes pour détecter les anomalies et les indicateurs de compromission.

De plus, le Threat Hunting est un processus chronophage, nécessitant du temps et des ressources dédiées pour mener des investigations et des analyses approfondies.

Une connaissance approfondie de plusieurs frameworks tels que MITRE, HMM, PEAK, Cyber Kill Chain, etc., est obligatoire pour structurer la méthodologie de threat hunting.

Une parfaite connaissance de l’infrastructure, des politiques et des opérations de l’organisation permet d’identifier les scénarios, les détections, les angles morts et les mesures correctives.

En combinant ces éléments, une organisation peut s’engager efficacement dans une démarche proactive de threat hunting, renforçant ainsi sa sécurité globale et sa résilience face aux cybermenaces.

Threat Hunting chez Thales : Une solution cybersécurité inter-services

Pour répondre aux besoins des clients, Thales a mis en place une capacité de threat hunting transversale en réunissant les forces de quatre équipes expertes : CSIRT, NetSec, Cloud Security, et SOC Engineering & Monitoring.

📌 CSIRT apporte une expertise approfondie en réponse aux incidents et en renseignement sur les menaces, soutenue par nos CERT dédiés tels que TCS-CERT, CSIRT SOC et CSIRT France, garantissant une protection complète dans tous les domaines.

📌 NetSec contribue par ses connaissances techniques et opérationnelles de l’infrastructure client et de la sécurité réseau.

📌 Cloud Security assure la couverture des menaces dans les environnements cloud et atténue les risques propres au cloud.

📌 SOC Engineering and Monitoring gère l’ingénierie de détection, la gestion des journaux et les systèmes d’alerte.

Cette synergie nous permet de proposer de nouvelles capacités unifiées de détection et de réponse aux menaces, adaptées aux paysages d’attaques modernes.

Chaque équipe s’implique activement, favorisant une collaboration orientée vers la performance, à la fois agile et efficace. Ensemble, nous ne nous contentons pas de répondre aux menaces : nous les traquons de manière proactive, renforçant la posture de sécurité de nos clients et apportant une réelle valeur opérationnelle. En tirant parti des forces de chaque équipe, nous créons un cadre de sécurité complet qui s’adapte à l’évolution constante du paysage des menaces.

Notre approche collaborative nous permet de garder une longueur d’avance sur les risques potentiels, en identifiant les vulnérabilités avant qu’elles ne puissent être exploitées. Des sessions de formation régulières et des initiatives de partage de connaissances maintiennent nos équipes informées des dernières tendances en cybersécurité, garantissant que nous disposons toujours des informations et des outils les plus récents.

En combinant leurs efforts, ces équipes développent et déploient de nouvelles compétences qui renforcent considérablement la posture de cybersécurité de nos clients. Cette approche unifiée nous assure de rester en avance sur les menaces émergentes et de continuer à offrir une sécurité de premier ordre.

Chaque équipe et chaque acteur participent à cette coopération forte et à cette cohésion orientée vers la performance. Ensemble, nous ne faisons pas que réagir aux menaces : nous les recherchons activement pour créer un environnement plus sûr pour nos clients.

Acronymes

CSIRT: Computer Security Incident Response Team.

Équipe spécialisée chargée de gérer et de répondre aux incidents de cybersécurité au sein d’une organisation.

TCS-CERT: Thales Cyber Solutions – Computer Emergency Response Team (Belgique et Luxembourg)

Équipe CERT régionale dédiée à la gestion et à l’atténuation des incidents de sécurité dans la région BELUX.

CSIRT SOC: Security Operations Centre for CSIRT (Espagne et Portugal)

Unité qui surveille, détecte et répond aux menaces de sécurité pour le CSIRT dans ces pays.

CSIRT France: Computer Security Incident Response Team France

Branche française du CSIRT, spécialisée dans la réponse aux incidents et les opérations de cybersécurité.

NetSec: Network Security

Désigne les mesures et pratiques utilisées pour protéger l’intégrité, la confidentialité et la disponibilité des réseaux informatiques.

SOC: Security Operations Centre

Centre opérationnel centralisé où des professionnels de la sécurité surveillent, analysent et répondent en temps réel aux menaces de cybersécurité.

Contact us

En savoir plus sur ce sujet

cards image

Beyond the SOC as a detection center: holistic cybersecurity operations in the coming age
cards image

What is threat Hunting ?

cards image

Cyber Threat Intelligence Ep 2 - Nicolas talking about the Context and Strategy office