La réponse courte
« MISP ou OpenCTI » revient sans cesse quand une équipe se met à bâtir une capacité de threat intelligence, et comme la plupart des recherches « X ou Y » en open source, elle masque une vérité plus utile. Les deux sont des plateformes de threat intelligence open source, mais elles ont été conçues autour de philosophies différentes et excellent dans des domaines différents.
En une phrase : MISP est conçu pour collecter et partager des indicateurs de compromission au sein de communautés de confiance ; OpenCTI est conçu pour modéliser les relations entre acteurs de la menace, campagnes et techniques sous forme de graphe de connaissances. Beaucoup d\'équipes matures utilisent les deux, MISP comme couche de partage qui alimente OpenCTI comme couche d\'analyse.
Nous déployons et exploitons ces deux plateformes pour des clients à travers l\'Europe et au-delà, et nous avons un faible pour MISP, conçu par le CIRCL ici même au Luxembourg. Voici la comparaison que l\'on aimerait que les gens trouvent avant d\'en choisir une et de découvrir, six mois plus tard, qu\'elle ne résout que la moitié de leur problème.
MISP et OpenCTI en un coup d\'œil
| | MISP | OpenCTI |
|---|
| Conçu pour | Collecter et partager des indicateurs dans des communautés de confiance | Modéliser et analyser la connaissance des menaces |
| Unité centrale | L\'événement : un ensemble d\'indicateurs (IoC) | L\'entité et ses relations dans un graphe |
| Modèle de données | Centré sur l\'indicateur, avec galaxies et taxonomies pour le contexte | Graphe de connaissances, natif STIX 2.1 |
| Cartographie ATT&CK | Via les galaxies, prise en charge mais secondaire | De première classe, au cœur du modèle |
| Point fort | Distribution et partage communautaire | Corrélation et analyse |
| Interface | Fonctionnelle mais datée | Moderne, orientée graphe |
| Conçu par | CIRCL (Luxembourg) | Filigran (France) |
Ce que fait réellement MISP
MISP (Malware Information Sharing Platform) est une plateforme de threat intelligence open source développée par le CIRCL, le CERT national du Luxembourg. Sa fonction centrale est de collecter, stocker et distribuer des indicateurs de compromission, les adresses IP, domaines, empreintes de fichiers et URL que consomment les systèmes de détection, et de les partager dans des communautés de confiance avec un contrôle fin de qui voit quoi.
En pratique, MISP est un moteur de distribution. Vous organisez le renseignement en événements, chaque événement regroupant des indicateurs liés, contextualisés par des galaxies et des taxonomies. Les flux du CIRCL, d\'abuse.ch et de groupes de partage sectoriels entrent ; vos propres trouvailles issues de la réponse à incident et de la chasse aux menaces ressortent vers les SIEM et pare-feux connectés. Le modèle mental est simple : un indicateur est bon ou mauvais, il porte du contexte, et il doit atteindre les systèmes et partenaires capables d\'agir.
Les points forts de MISP
- Le partage est sa raison d\'être : les groupes de partage offrent un contrôle précis de ce qui est publié et pour qui, exactement ce dont les communautés de partage ont besoin pour entretenir la confiance.
- Vaste écosystème de flux : une large bibliothèque de flux publics et communautaires, plus le flux national que le CIRCL exploite depuis le Luxembourg.
- API d\'abord : tout est accessible via l\'API, ce qui rend l\'envoi d\'indicateurs vers Wazuh, les pare-feux et d\'autres outils simple.
- Modèle mental simple : la structure indicateur-événement est facile à enseigner et rapide à opérationnaliser pour la détection.
Les points faibles de MISP
- Interface datée : l\'interface web est fonctionnelle mais accuse son âge. La navigation et les workflows ne sont pas des plus intuitifs.
- Faible sur les relations : modéliser comment un acteur se relie à une campagne puis à une technique est possible via les galaxies, mais ce n\'est pas la vocation de MISP, et cela se voit.
- La qualité des flux est votre affaire : connectez beaucoup de flux et la qualité des données se dégrade vite. Sans curation ni niveaux de confiance, vos systèmes de détection se noient sous des indicateurs de faible valeur.
Nous détaillons MISP, et le reste de notre stack, dans les outils de sécurité open source que nous utilisons et recommandons vraiment. Si vous pesez d\'autres couples open source, notre comparaison Wazuh / OpenVAS adopte la même approche honnête du « utiliser les deux » pour la détection et le scan.
Ce que fait réellement OpenCTI
OpenCTI (Open Cyber Threat Intelligence) est une plateforme open source conçue par Filigran. Là où MISP organise des indicateurs, OpenCTI organise de la connaissance. Bâti sur le standard STIX 2.1, il représente le renseignement sous forme de graphe : acteurs de la menace, intrusion sets, campagnes, malwares, outils, techniques et les indicateurs eux-mêmes deviennent des entités, reliées par des relations que l\'on peut parcourir et interroger.
Tout l\'intérêt d\'OpenCTI réside dans les liens. Un indicateur isolé y est presque la chose la moins intéressante. Ce qui compte, c\'est que cette empreinte appartienne à ce malware, utilisé par cet intrusion set, attribué à cet acteur, qui mène des campagnes rattachées à des techniques MITRE ATT&CK précises. OpenCTI est l\'endroit où un analyste va répondre à « qui est-ce, que font-ils et comment », et pas seulement à « cette IP est-elle malveillante ».
Les points forts d\'OpenCTI
- Modélisation des relations : le graphe de connaissances capture comment acteurs, campagnes, malwares et techniques se relient, ce qui est le véritable travail d\'analyse de la menace.
- ATT&CK natif : la cartographie MITRE ATT&CK est intégrée au cœur du modèle, pas greffée, ce qui rend l\'analyse au niveau des techniques et le suivi de couverture aisés.
- Interface moderne : une UI claire et orientée graphe que les analystes trouvent réellement agréable comparée à la plupart des outils de sécurité.
- Écosystème de connecteurs : un ensemble croissant de connecteurs qui ingèrent des sources externes, dont MISP, et enrichissent automatiquement les entités.
Les points faibles d\'OpenCTI
- Modèle conceptuel plus exigeant : STIX 2.1 et l\'approche par graphe demandent du temps pour être assimilés. Les équipes habituées aux listes plates d\'indicateurs doivent opérer un changement de mentalité avant qu\'OpenCTI ne fasse sens.
- Plus lourd à exploiter : il embarque Elasticsearch, Redis, RabbitMQ et MinIO. Prévoyez plus d\'infrastructure et d\'attention opérationnelle qu\'une installation MISP.
- Pas une communauté de partage en soi : OpenCTI consomme et analyse bien le renseignement, mais il n\'est pas la couche de distribution en communauté de confiance qu\'est MISP. Vous l\'alimentez ; il ne remplace pas vos relations de partage.
La vraie distinction : partage ou analyse
Si « MISP ou OpenCTI » est le mauvais cadrage, c\'est que les deux se situent à des étapes différentes du cycle de vie du renseignement. MISP, c\'est la collecte et la distribution. OpenCTI, c\'est l\'analyse et la production. L\'un déplace des indicateurs entre vous et vos partenaires ; l\'autre transforme ces indicateurs en compréhension.
Dit simplement : MISP répond à « quels indicateurs avons-nous et qui doit les recevoir ». OpenCTI répond à « que signifient ces indicateurs, qui est derrière, et contre quelles techniques nous défendre ». Choisir l\'un plutôt que l\'autre tient moins du choix entre deux produits que de la décision d\'avoir un entrepôt ou un atelier. La plupart des opérations sérieuses veulent les deux.
Comment ils se complètent : MISP collecte et partage les indicateurs bruts au sein de vos communautés. OpenCTI les ingère via son connecteur MISP, puis les enrichit et les relie dans le tableau plus large des acteurs, campagnes et techniques ATT&CK. La couche de partage alimente la couche d\'analyse.
Avez-vous besoin des deux ? Comment ils s\'intègrent
Pour beaucoup d\'équipes, la réponse honnête est oui, et l\'intégration est bien balisée. OpenCTI livre un connecteur MISP qui récupère événements et indicateurs de façon planifiée, si bien que MISP reste le hub de collecte et de partage tandis qu\'OpenCTI devient la base de connaissances analytique posée par-dessus. Vous conservez le partage communautaire et l\'écosystème de flux de MISP, et vous gagnez la modélisation des relations et l\'analyse centrée ATT&CK d\'OpenCTI sans dupliquer la saisie.
Vous n\'avez pas toujours besoin des deux dès le premier jour. Une petite équipe dont le seul besoin est d\'alimenter la détection en indicateurs peut se contenter de MISP longtemps. Une fonction de threat intelligence qui doit informer la direction sur des acteurs et des campagnes, et suivre sa couverture défensive face à ATT&CK, dépassera les limites analytiques de MISP et voudra OpenCTI. Le déclencheur est de savoir si votre travail relève surtout de la distribution ou surtout de l\'analyse.
Un guide de décision rapide
- Vous devez surtout alimenter la détection en indicateurs et partager avec des partenaires : commencez par MISP. C\'est la référence du partage d\'IoC et l\'outil le plus simple à opérationnaliser.
- Vous faites partie d\'un ISAC ou d\'une communauté de partage sectorielle : MISP, presque à coup sûr. C\'est la langue commune du partage en communauté de confiance, et le flux du CIRCL est à votre porte au Luxembourg.
- Vous devez analyser acteurs, campagnes et TTP et cartographier la couverture face à ATT&CK : OpenCTI. Le graphe de connaissances est fait pour exactement cela.
- Vous avez une vraie fonction de threat intelligence et la capacité opérationnelle : utilisez les deux, MISP pour la collecte et le partage, OpenCTI pour l\'analyse, reliés par le connecteur MISP.
Et les alternatives ?
Côté partage, MISP est de fait le standard open source ; les alternatives sont des plateformes commerciales de threat intelligence (Anomali, ThreatConnect, Recorded Future) qui regroupent flux et analyse, moyennant un prix. Côté analyse, les pairs open source les plus proches d\'OpenCTI sont des outils génériques de graphe et de gestion de cas plutôt que des équivalents directs, ce qui explique en partie pourquoi il est devenu le choix open source par défaut pour la connaissance structurée des menaces. TheHive et Cortex sont adjacents aux deux, gérant la réponse à incident et l\'enrichissement d\'observables plutôt que la modélisation du renseignement.
Notre avis
Si vous en choisissez un pour démarrer, choisissez selon le travail qui vous attend. Les équipes dont la threat intelligence consiste vraiment à injecter de bons indicateurs dans la détection devraient commencer par MISP et n\'auront peut-être jamais besoin de plus. Les équipes dont le métier est de comprendre les adversaires, d\'informer les décideurs et de raisonner sur les techniques devraient investir tôt dans OpenCTI, car greffer cette analyse sur un workflow d\'indicateurs seuls est pénible.
Pour les clients dotés d\'une vraie fonction de renseignement, nous les exploitons ensemble : MISP comme hub de collecte et de partage, OpenCTI comme couche analytique qui y puise, aux côtés de Wazuh et Suricata pour la détection. Les plateformes sont gratuites. L\'expertise pour bien modéliser le renseignement, curer les flux et maintenir l\'intégration en bonne santé est la partie qui coûte réellement, et c\'est elle qui décide si l\'un des outils apporte de la valeur ou se contente d\'accumuler des données que personne ne lit.
Si vous préférez disposer de cette capacité sans bâtir l\'expertise interne pour l\'exploiter, c\'est précisément ce que notre équipe peut vous apporter. Dites-nous ce que vous cherchez à accomplir et nous vous dirons honnêtement s\'il vous faut une plateforme, les deux, ou aucune pour l\'instant.
Questions fréquentes
OpenCTI remplace-t-il MISP ?
Non. Ils résolvent des problèmes différents. MISP est conçu pour collecter et partager des indicateurs dans des communautés de confiance ; OpenCTI est conçu pour modéliser et analyser les relations entre menaces. OpenCTI peut ingérer depuis MISP, mais il ne remplace pas son rôle de partage.
MISP et OpenCTI peuvent-ils fonctionner ensemble ?
Oui, et c\'est le schéma courant. OpenCTI livre un connecteur MISP qui récupère événements et indicateurs de façon planifiée, de sorte que MISP reste la couche de partage et de collecte tandis qu\'OpenCTI fournit le graphe de connaissances analytique par-dessus.
Lequel est le plus difficile à apprendre ?
OpenCTI a le modèle conceptuel le plus exigeant à cause de STIX 2.1 et de l\'approche par graphe. La structure indicateur-événement de MISP est plus simple à saisir, même si les deux récompensent une formation sérieuse. OpenCTI est aussi plus lourd à exploiter, car il dépend d\'Elasticsearch, Redis, RabbitMQ et MinIO.
Que déployer en premier pour une petite équipe ?
Si votre besoin est d\'alimenter la détection en indicateurs et de partager avec des partenaires, commencez par MISP. Si votre besoin est d\'analyser acteurs et campagnes et de cartographier la couverture face à MITRE ATT&CK, commencez par OpenCTI. Les équipes dotées d\'une fonction de threat intelligence complète finissent généralement par utiliser les deux.
