Le CERT de Thales détecte les menaces avant qu'elles ne frappent

Répondre efficacement à un incident cyber est la clé pour s’en remettre. Le CERT de Thales (TCS-CERT) dispose d’une équipe dédiée, prête à intervenir pour nos clients. En plus de gérer les incidents, cette équipe va encore plus loin en identifiant les menaces avant qu’elles ne surviennent.

Si l’un de nos clients est confronté à un incident de sécurité, il fait appel au Computer Emergency Response Team de Thales (TCS-CERT). Fabien Bernard, chef d’équipe de la division, décrit leur rôle : “On pourrait nous comparer à des pompiers, mais pour l’informatique. Lorsqu’un incident de sécurité survient, nous intervenons immédiatement pour enquêter et atténuer l’intrusion cyber.” Le TCS-CERT est composé d’experts en cybersécurité hautement qualifiés, capables de gérer des attaques et des menaces sophistiquées, allant des ransomwares aux menaces persistantes avancées (APT) visant à exfiltrer des données sensibles.

Cependant, il est préférable de détecter une menace avant qu’elle ne se transforme en incident. C’est pourquoi le TCS-CERT ne se contente pas de réagir aux incidents de sécurité : il investit également de manière proactive dans leur prévention. Une source principale d’indicateurs de menace est notre flux de Cyber Threat Intelligence. “Il s’agit d’un effort collaboratif, composé d’un mélange de données open source et semi-privées sur les menaces potentielles”, explique Fabien. Ces informations actualisées permettent à l’équipe du TCS-CERT de détecter les dernières formes d’attaques.

Une autre méthode utilisée par le TCS-CERT pour identifier les menaces avant qu’elles ne frappent est la surveillance numérique. L’équipe de Fabien surveille en continu le deep web et le dark web. Il explique : “Lorsque nous découvrons que des cybercriminels discutent de l’un de nos clients dans ce type d’environnement, nous sommes immédiatement alertés. Cela peut concerner des identifiants compromis ou une organisation affirmant mener une attaque par déni de service distribué (DDoS) contre notre client. Dès que nous obtenons cette information, Thales alerte le client et lui fournit des recommandations pour protéger ses systèmes.”

Ces services proactifs sont plus essentiels que jamais, explique Fabien, car les acteurs malveillants accélèrent leurs opérations. “Autrefois, il pouvait s’écouler des centaines de jours entre le moment où les attaquants pénétraient un réseau et celui où ils exploitaient cet accès pour voler des données ou perturber les services. Aujourd’hui, cela peut se produire en quelques heures seulement. Il est devenu impératif de détecter une brèche potentielle le plus tôt possible, idéalement avant même qu’elle ne se produise.”

Thales dispose de plusieurs arguments différenciateurs pour son service TCS-CERT, souligne Fabien. Alors que la souveraineté numérique devient une priorité pour de nombreuses organisations, il est important de noter que Thales est l’une des rares entreprises européennes à évoluer dans un domaine largement dominé par des sociétés américaines.

Thales utilise l’intelligence artificielle pour classifier automatiquement les alertes de surveillance numérique, comme l’identification automatique de domaines de stationnement. De plus, bien que le traitement automatisé soit essentiel pour intégrer les IoC dans un flux de menaces, nos analystes classifient et valident manuellement de nombreux IoC chaque jour. “Seuls 0,8 % des IoC sont intégrés dans notre flux de Cyber Threat Intelligence, car nous vérifions rigoureusement les doublons et la pertinence. De nombreux garde-fous sont en place pour garantir un flux de haute qualité”, conclut Fabien.

Vous pouvez en apprendre davantage sur notre approche de la sécurité basée sur le renseignement lors de notre conférence Cyber Meet-Up 2025, le 18 septembre. Une intervention est prévue pour expliquer comment l’équipe TCS-CERT identifie les menaces avant qu’elles ne frappent.

Inscrivez-vous dès aujourd'hui au Cyber Meet-Up 2025