🧭 Microsoft & CrowdStrike unissent leurs forces pour clarifier l’attribution des cybermenaces
🔍 « Cozy Bear », « APT29 », « Midnight Blizzard »… Et s’il s’agissait en fait du même groupe ?
L’attribution des cyberattaques est un pilier central de la cyberdéfense moderne. Mais depuis des années, la multiplicité des noms donnés aux groupes de hackers – selon les éditeurs, les analystes ou les régions – sème la confusion, ralentit les analyses et nuit à la réactivité.
➡️ Microsoft et CrowdStrike ont donc décidé de frapper un grand coup en lançant un glossaire commun des groupes de menaces (Threat Actor Glossary), pour aligner leurs taxonomies et faciliter la vie des analystes, RSSI et équipes SOC.
🎯 Objectif : Réduire la cacophonie, accélérer les décisions
Jusqu’ici, un même groupe pouvait être suivi sous 6, voire 10 noms différents selon les éditeurs. Par exemple :
- APT29 est aussi connu comme : Cozy Bear, Midnight Blizzard, BlueBravo, Cloaked Ursa, etc.
- APT28 est aussi appelé : Fancy Bear, Forest Blizzard, Sofacy, Fighting Ursa, etc.
❌ Résultat : perte de temps, analyses dédoublées, erreurs de priorisation.
✅ Ce nouveau glossaire croisé, fruit d’un travail analytique conjoint, permet de “déconflicter” les noms de plus de 80 groupes connus, en reliant entre eux les alias utilisés par chaque entreprise.
🧠 Pourquoi ce partenariat est important
🔐 Comprendre l’attaquant, c’est mieux se défendre. Mieux nommer, c’est :
- Permettre une analyse plus rapide et plus précise des menaces.
- Éviter les confusions dans les rapports d’incidents.
- Améliorer la coordination entre les acteurs de la cybersécurité.
- Faciliter la communication entre équipes internes, partenaires et prestataires.
🗣️ “Ce glossaire agit comme une Pierre de Rosette du cyber. Il traduit les noms entre les éditeurs pour clarifier qui est réellement derrière une attaque.”
– Adam Meyers, CrowdStrike
🧱 Comment ça fonctionne ?
- 🧩 Alignement des taxonomies : chaque entreprise conserve sa propre nomenclature, mais établit un pont clair entre les alias.
- 🤝 Collaboration analyste-analyste, avec vérification croisée des données télémétriques et historiques.
- 🔄 Mise à jour continue, pilotée par Microsoft et CrowdStrike, avec ouverture à d’autres acteurs (ex. : Google/Mandiant, Palo Alto Networks…).
- ⚙️ Pas de standard unique imposé, mais une cartographie ouverte et partagée des groupes.
🚀 Et après ?
Ce n’est qu’un début : le glossaire sera élargi, mis à jour régulièrement, et pourrait devenir un standard de facto si d’autres leaders rejoignent l’initiative.
👁️ Pour les SOC, les CERT, les RSSI, cela signifie :
→ Moins de flou
→ Plus de réactivité
→ Moins de débats sur les noms, plus d’action sur les faits
