Les identifiants professionnels compromis circulent souvent sur le dark web avant d’être exploités. L’intégrateur SCC France lance une offre managée de Cyber Threat Intelligence pour surveiller ces signaux faibles et identifier en amont les préparatifs d’attaque.
En 2025, 40,3 millions de comptes ont été piratés en France. Le pays se classe au deuxième rang mondial pour les fuites de données. Pour les PME françaises, le coût moyen d’une cyberattaque atteint 466 000 euros. Ce montant peut représenter jusqu’à 10 % du chiffre d’affaires. Selon plusieurs études, 60 % des entreprises victimes cessent leur activité dans les 18 mois.
Cyber Threat Intelligence : analyse des espaces d’échange cybercriminels
Dans ce contexte, les dispositifs de protection classiques restent largement réactifs. Pare-feu, EDR (Endpoint Detection and Response), XDR (Extended Detection and Response) ou SOC (Security Operations Center) interviennent généralement lorsque l’attaque est déjà engagée. Pour les équipes de sécurité, la marge d’action se réduit alors rapidement.
« Nous savons que nous sommes attaqués, mais pendant l’attaque, nos marges de manœuvre sont limitées », analyse Sébastien GIAI-CHECA, Directeur du Département Cybersécurité chez SCC France. L’intégrateur lance donc une offre de Cyber Threat Intelligence (CTI), une approche visant à surveiller l’écosystème cybercriminel afin d’identifier les signaux annonciateurs d’attaque avant leur déclenchement.
Surveillance du web public, du deep web et du dark web
La Cyber Threat Intelligence consiste à analyser les activités des attaquants dans les espaces où circulent les données compromises et les préparatifs d’attaque. L’offre proposée par SCC France s’appuie sur une surveillance continue du web public, du deep web et du dark web.
Le deep web désigne l’ensemble des contenus non indexés par les moteurs de recherche. Le dark web correspond à des réseaux anonymisés accessibles via des outils spécifiques comme Tor. La veille couvre également plusieurs canaux utilisés par les cybercriminels. Cela inclut des forums spécialisés, des messageries chiffrées ou encore des plateformes d’échange de données volées.
L’objectif est d’identifier différents signaux faibles : circulation d’identifiants professionnels, projets d’attaque en préparation, campagnes de typosquatting ou usurpation de marque. Le typosquatting consiste à enregistrer des noms de domaine proches de celui d’une entreprise afin de tromper les utilisateurs.
Identifier les identifiants compromis issus d’infostealers
Une part importante des compromissions ne provient pas directement du système d’information de l’entreprise. Elles peuvent débuter sur des postes personnels. Un collaborateur peut par exemple se connecter à son compte professionnel depuis un ordinateur personnel infecté par un infostealer. Ce type de malware est conçu pour voler les identifiants stockés dans le navigateur ou les applications. Les données exfiltrées sont ensuite revendues ou diffusées sur des canaux clandestins.
Sans visibilité sur ces espaces, l’entreprise ignore souvent que ses identifiants circulent déjà. La solution proposée par SCC France vise à détecter ces identifiants exposés. Les équipes peuvent ensuite en vérifier la validité dans un cadre contractuel défini, évaluer le niveau de risque et déclencher des mesures correctives.
CTI managée : une offre complémentaire aux SOC et MSSP
L’offre est proposée sous forme de service managé et peut être intégrée aux services SOC déjà opérés par SCC France. Elle peut aussi être déployée de manière autonome comme dispositif de veille stratégique. L’objectif est d’évaluer la posture de sécurité externe d’une organisation et d’identifier les expositions avant incident. Le dispositif peut également inclure des analyses préventives ou des scénarios d’attaque contrôlés pour tester la résilience des organisations.
La solution est proposée par abonnement annuel. La tarification est indexée sur le nombre d’utilisateurs et repose sur une approche modulaire. Le service inclut notamment la surveillance continue des menaces, l’automatisation de certaines actions de remédiation liées aux identités compromises et des vérifications régulières de l’exposition externe.
Sources :
