Le Threat Hunting est une composante clé du SOC d’ITrust : technique, stratégique et résolument proactive. Cette chasse aux menaces réduit le temps de réponse aux incidents, limite le dwell time et renforce les capacités de détection de Reveelium, en enrichissant les données analysées lors des sessions de hunting. Méthodologie, processus opérationnels, retour d’expérience : plongez dans le quotidien d’un Threat Hunter.
Threat Hunting VS Threat Intelligence
Bien que fondamentalement distinctes, ces deux disciplines sont complémentaires. le Threat Hunting explore, la Threat Intelligence éclaire, et ensemble, elles s’enrichissent mutuellement pour renforcer la posture défensive face à des menaces de plus en plus furtives.
La Threat Intelligence repose sur la collecte, l’analyse et la contextualisation de données relatives aux menaces — tactiques, techniques et procédures (TTP), indicateurs de compromission (IoC), motivations adverses — afin d’éclairer la prise de décision. Alimentée par des sources variées (OSINT, CERT-FR, sources internes, etc.), elle s’intègre en amont des dispositifs de sécurité pour renforcer la prévention, la détection et le pilotage des risques.
À l’inverse, le Threat Hunting est une démarche proactive, fondée sur une logique hypothético-déductive, visant à identifier des activités malveillantes ayant échappé aux mécanismes de détection classiques. Il repose sur l’analyse de la télémétrie, des comportements et des artefacts faibles, à travers des scénarios d’investigation construits à partir de la Threat Intelligence ou de signaux contextuels.
Threat Hunting : Un processus d’investigation en 6 étapes
Le Threat Hunting est une défensive active, un processus d’investigation guidé par l’intuition, le renseignement, et une compréhension fine du fonctionnement des adversaires. L’objectif : identifier ce qui passe sous les radars, en partant du principe que l’infrastructure est déjà compromise — ou sur le point de l’être. Mais la chasse aux menaces ne s’improvise pas… Elle suit un cycle structuré en 6 étapes clés.
Processus d’investigation du Threat Hunting
Étape 1 : Le déclencheur
Chaque session de Threat Hunting débute par un élément déclencheur. Il peut s’agir d’un weak signal, d’une anomalie comportementale détectée par un moteur UEBA, ou d’un indicateur de compromission issu d’un flux de Threat Intelligence. Ce déclencheur permet d’orienter les recherches vers un périmètre ciblé — un système, un segment réseau, une famille de comptes — susceptible d’abriter une activité malveillante.
Une fois un déclencheur identifié, la manière dont l’enquête est conduite peut varier selon le contexte opérationnel, la nature du signal et la maturité de l’organisation. On distingue généralement trois formes de Threat Hunting, qui déterminent la structure et la profondeur de l’investigation.
- La chasse structurée : Approche planifiée, souvent alignée sur un cadre comme MITRE ATT&CK. S’appuie sur des TTPs documentés pour identifier des traces d’activités malveillantes avant qu’une compromission ne soit confirmée. Forme formalisée et reproductible, typique des environnements avancés.
- La chasse non structurée : Opportuniste, débute à partir d’un événement ponctuel (indicateur de compromission ou comportement inhabituel). Repose sur une exploration libre des événements. Adaptée aux contextes réactifs ou à des signaux faibles non qualifiés.
- La chasse situationnelle : Déclenchée dans un contexte spécifique : audit de sécurité, analyse de vulnérabilités, ou activité métier à risque. Investigation centrée sur une zone précise du système d’information ou une population d’entités sensibles ou exposées.
Ces différentes formes ne sont pas exclusives : un programme de Threat Hunting mature les combine en fonction des priorités, des ressources disponibles et de l’évolution de la menace.
Étape 2 : l’hypothèse
La chasse peut également être initiée de manière proactive, à partir d’une hypothèse tactique fondée sur les TTPs d’un groupe APT, tels que référencés dans la matrice MITRE ATT&CK, même en l’absence d’alerte formelle. Une hypothèse efficace est spécifique (ex. : usage de PsExec pour un déplacement latéral), testable (à partir de journaux ou de flux concrets) et actionnable. Elle sert de fil conducteur à l’investigation.
Étape 3 : Collecte et traitement des données
L’étape suivante du processus de Threat Hunting consiste à interroger les sources de données disponibles pour valider — ou infirmer — l’hypothèse formulée. Cette phase repose sur la capacité à croiser plusieurs types de télémétrie, en s’appuyant sur un plan structuré de collecte, de centralisation et de traitement des données pertinentes. Avant même le début de l’investigation, il est essentiel de disposer d’informations de qualité concernant la menace ciblée. Les plateformes SIEM comme Reveelium jouent ici un rôle central. En consolidant les activités observées sur l’ensemble du réseau, elles permettent d’identifier les patterns comportementaux, de corréler des événements dispersés et de fournir aux Threat Hunters une visibilité étendue pour orienter efficacement leurs investigations.
Étape 4 : Analyse et investigation
C’est le cœur du processus, le Threat Hunter entre dans une phase d’analyse où il suit des pistes.
Selon le contexte, l’investigation peut s’appuyer sur une hypothèse proactive issue de la Threat Intelligence, sur des indicateurs de compromission connus, ou encore sur des anomalies comportementales, des modèles de machine learning ou une plateforme XDR. Ces approches – hypothesis-driven, IOC-driven et behavioral/data-driven – sont souvent combinées selon les outils disponibles et la maturité de l’organisation.
Étape 5 : La réponse à incident et remédiation
Une fois la menace identifiée et qualifiée, elle est transmise à l’équipe de réponse à incident pour mise en œuvre des mesures de containment et de remédiation. Au-delà de la réponse immédiate, cette phase implique de documenter les IoC découverts, les techniques observées et les failles exploitées, afin d’enrichir les règles de détection existantes. Les informations recueillies — qu’elles concernent des activités malveillantes ou légitimes — peuvent être injectées dans des outils automatisés tels que les moteurs UEBA ou XDR, afin d’améliorer leur capacité à détecter des comportements similaires dans le futur.
Le combo parfait du Threat Hunting
Pour qu’un service de Threat Hunting soit réellement efficace, il doit reposer sur une combinaison équilibrée entre expertise humaine, une couverture data exhaustive, une exploitation stratégique de la Cyber Threat Intelligence et un socle cyber performant.
1. L’expertise humaine au cœur du dispositif
Si l’automatisation est indispensable pour traiter le volume et la vitesse des données, c’est bien l’analyste qui, in fine, qualifie la menace. Les Threat Hunters ITrust sont formés à identifier des comportements furtifs, à comprendre les tactiques adverses et à reconnaître les signaux faibles qui pourraient échapper aux moteurs.
2. La donnée, matière première de la chasse
Un Threat Hunting efficace exige une collecte de données à large spectre : journaux système, événements réseau, télémétrie endpoint, logs… Le SOC ITrust s’appuie sur une infrastructure scalable capable d’ingérer et de corréler ces volumes à l’échelle de l’organisation.
3. La Threat Intelligence
Les données internes sont systématiquement croisées avec des sources de cyberveille externes actualisées : TTPs émergents, vulnérabilités critiques, campagnes APT en cours. L’intégration de cette threat intelligence permet de prioriser les investigations et de détecter plus tôt les menaces ciblées.
4. Un socle technologique intégré et un SOC 24/7
SIEM, EDR, XDR, SOAR : les analystes d’ITrust disposent d’un écosystème complet et performant. Appuyé par une supervision continue, le SOC ITrust fonctionne 24h/24 et 7j/7. Cette présence continue garantit non seulement la détection en temps réel, mais aussi l’engagement rapide d’une phase de Threat Hunting.
Cas client – Campagne de phishing ciblée dans le secteur industriel
Un de nos clients, acteur du secteur industriel, a été ciblé début 2025 par une campagne de phishing ayant conduit à la compromission d’un compte utilisateur. Suite à cet incident, une mission de Threat Hunting proactive a été immédiatement initiée afin d’identifier toute activité suspecte ou malveillante associée à cette compromission.
L’analyse s’est concentrée sur les indicateurs de compromission (IOC) identifiés, les adresses IP détectées, les adresses mail impliquées, ainsi que les machines concernée. De nombreuses actions de Threat Hunting ont été réalisées : Géolocalisation des connexions suspectes, analyse de tous les logs d’authentification et de toutes les requêtes SOAP inhabituelles, vérification de l’intégrité des machinés listés, recherches des activités automatisées sur la messagerie et des tâches planifiées suspectes locales, investigation approfondie des envois suspects d’e-mails externes…
Le SOC ITrust a rapidement mis en place des mesures afin de renforcer immédiatement la sécurité en :
- activant une surveillance proactive des connexions étrangères
- déployant des scénarios spécifiques de détection avancée sur Reveelium ciblant les connexions inhabituelles et les comportements suspects
- mettant en place des alertes immédiates pour toute connexion ou tentative de connexion provenant de pays à haut risque
Par ailleurs, une règle de détection a été mise en place afin de remonter les comportements similaires dans le futur et les URLs malveillantes ont été intégrées au référentiel d’IOC du SOC et utilisées dans les outils de détection pour renforcer la surveillance
En complément, des recommandations ont été formulées : communication de sensibilisation (campagne de phishing, rappel des bonnes pratiques,…), renouvellement des identifiants compromis (avec réinitialisation des mots de passe), vérification de l’authentification à deux facteurs (2FA) sur les comptes critiques et renforcement des politiques d’authentification et de mots de passe.
Cette analyse de Threat Hunting a permis d’identifier clairement les actions malveillantes et des mesures immédiates ont été prises pour contenir efficacement l’incident.
