Instant Ebook Access, One Click Away – Begin at ebookgate.

com

The Threat Intelligence Handbook Chris Pace (Ed.)

https://ebookgate.com/product/the-threat-intelligence-
handbook-chris-pace-ed/

OR CLICK BUTTON

DOWLOAD EBOOK

Get Instant Ebook Downloads – Browse at https://ebookgate.com

Click here to visit ebookgate.com and download ebook now
Instant digital products (PDF, ePub, MOBI) available
Download now and explore formats that suit you...

Applying Artificial Intelligence in Cybersecurity

Analytics and Cyber Threat Detection 1st Edition Shilpa
Mahajan
https://ebookgate.com/product/applying-artificial-intelligence-in-
cybersecurity-analytics-and-cyber-threat-detection-1st-edition-shilpa-
mahajan/
ebookgate.com

The Routledge Handbook of Chinese Translation 1st Edition

Chris Shei

https://ebookgate.com/product/the-routledge-handbook-of-chinese-
translation-1st-edition-chris-shei/

ebookgate.com

Sleep and Dreaming 1st Edition Edward F. Pace-Schott

https://ebookgate.com/product/sleep-and-dreaming-1st-edition-edward-f-
pace-schott/

ebookgate.com

Bleach Vol 29 Kubo

https://ebookgate.com/product/bleach-vol-29-kubo/

ebookgate.com
Handbook of Scientific Methods of Inquiry for Intelligence
Analysis Hank Prunckun

https://ebookgate.com/product/handbook-of-scientific-methods-of-
inquiry-for-intelligence-analysis-hank-prunckun/

ebookgate.com

The De Gruyter Handbook of Artificial Intelligence

Identity and Technology Studies 1st Edition Anthony
Elliott
https://ebookgate.com/product/the-de-gruyter-handbook-of-artificial-
intelligence-identity-and-technology-studies-1st-edition-anthony-
elliott/
ebookgate.com

Terrorism Understanding the Global Threat 2nd Edition

David Whittaker

https://ebookgate.com/product/terrorism-understanding-the-global-
threat-2nd-edition-david-whittaker/

ebookgate.com

What Terrorists Want Understanding the Enemy Containing

the Threat Louise Richardson

https://ebookgate.com/product/what-terrorists-want-understanding-the-
enemy-containing-the-threat-louise-richardson/

ebookgate.com

Never Again The Threat of the New Anti Semitism 1st

Edition Foxman

https://ebookgate.com/product/never-again-the-threat-of-the-new-anti-
semitism-1st-edition-foxman/

ebookgate.com
The Threat Intelligence
Handbook
A Practical Guide for Security Teams to
Unlocking the Power of Intelligence

Edited by Chris Pace

Foreword by Dr. Christopher Ahlberg
The Threat Intelligence Handbook
Published by:
CyberEdge Group, LLC
1997 Annapolis Exchange Parkway
Suite 300
Annapolis, MD 21401
(800) 327-8711
www.cyber-edge.com
Copyright © 2018, CyberEdge Group, LLC. All rights reserved. Definitive Guide™ and
the CyberEdge Press logo are trademarks of CyberEdge Group, LLC in the United
States and other countries. All other trademarks and registered trademarks are the
property of their respective owners.
Except as permitted under the United States Copyright Act of 1976, no part of this
publication may be reproduced, stored in a retrieval system or transmitted in any form or
by any means, electronic, mechanical, photocopying, recording, scanning or otherwise,
without the prior written permission of the publisher. Requests to the publisher for
permission should be addressed to Permissions Department, CyberEdge Group, 1997
Annapolis Exchange Parkway, Suite 300, Annapolis, MD, 21401 or transmitted via
email to [email protected].

LIMIT OF LIABILITY/DISCLAIMER OF WARRANTY: THE PUBLISHER AND THE AUTHOR

MAKE NO REPRESENTATIONS OR WARRANTIES WITH RESPECT TO THE ACCURACY
OR COMPLETENESS OF THE CONTENTS OF THIS WORK AND SPECIFICALLY DISCLAIM
ALL WARRANTIES, INCLUDING WITHOUT LIMITATION WARRANTIES OF FITNESS
FOR A PARTICULAR PURPOSE. THE ADVICE AND STRATEGIES CONTAINED HEREIN
MAY NOT BE SUITABLE FOR EVERY SITUATION. NEITHER THE PUBLISHER NOR THE
AUTHOR SHALL BE LIABLE FOR DAMAGES ARISING HEREFROM. THE FACT THAT AN
ORGANIZATION OR WEBSITE IS REFERRED TO IN THIS WORK AS A CITATION AND/
OR A POTENTIAL SOURCE OF FURTHER INFORMATION DOES NOT MEAN THAT THE
AUTHOR OR THE PUBLISHER ENDORSES THE INFORMATION THE ORGANIZATION OR
WEBSITE MAY PROVIDE OR RECOMMENDATIONS IT MAY MAKE. FURTHER, READERS
SHOULD BE AWARE THAT INTERNET WEBSITES LISTED IN THIS WORK MAY HAVE
CHANGED OR DISAPPEARED BETWEEN WHEN THIS WORK WAS WRITTEN AND WHEN
IT IS READ.

For general information on CyberEdge Group research and marketing consulting

services, or to create a custom Definitive Guide book for your organization, contact
our sales department at 800-327-8711 or [email protected].
ISBN: 978-0-9990354-6-7 (paperback);
ISBN: 978-0-9990354-7-4 (eBook)
Printed in the United States of America.
10 9 8 7 6 5 4 3 2 1

Publisher’s Acknowledgements
CyberEdge Group thanks the following individuals for their respective contributions:
Editor: Susan Shuttleworth
Graphic Design: Debbi Stocco
Production Coordinator: Jon Friedman
Contributors

Chris Pace (editor and contributor) works for Recorded

Future to engage and educate audiences on the power of
intelligence-driven security. Before beginning a career in
security, Chris trained as a broadcast journalist and also has
worked in IT departments in the public and private sectors.
Andrei Barysevich (contributor) specializes in the analysis
of intelligence from cybercriminal communities at Recorded
Future. Andrei has worked as an independent e-commerce
fraud researcher, and a private consultant for the FBI's cyber-
crime unit.
Levi Gundert (contributor) has spent the past 20 years
in both the government and the private sector, defending
networks, arresting international criminals, and uncovering
nation-state adversaries. He has held senior information
security leadership positions across technology and financial
services startups and enterprises. He is a trusted risk advisor
to Fortune 500 companies, and a prolific speaker, blogger,
and columnist.
Allan Liska (contributor) is a senior security architect at
Recorded Future. Allan has more than 15 years of experience
in information security, authoring numerous books and work-
ing as both a security practitioner and an ethical hacker.
Maggie McDaniel (contributor) is senior director of
Recorded Future’s Insikt Group research team. With more
than 15 years of experience in threat intelligence tradecraft,
analysis, and production, Maggie’s previous roles include
director of intelligence production at Fidelity Investments.
John Wetzel (contributor) heads up training at Recorded
Future. John’s previous role was as a counterintelligence spe-
cial agent with the Department of Defense, where he worked
with the U.S. defense community to defend against foreign
threats targeting the nation's technologies.
Foreword by Dr. Christopher Ahlberg, co-founder and
CEO, Recorded Future.
 Table of Contents
Contributors iii
Foreword vii
Introduction ix
Chapters at a Glance ix
Helpful Icons x

Chapter 1: Intelligence-Driven Security 1

What Have You Heard About Threat Intelligence? 1
The Six Phases of the Threat Intelligence Lifecycle 2
Direction 3
Collection 4
Processing 6
Analysis 6
Dissemination 7
Feedback 8
Tools and People 8

Chapter 2: Threat Intelligence for Security Operations 11

Responsibilities of the SOC Team 11
The Overwhelming Volume of Alerts 12
Context Is King 13
Triage requires lots of context 14
Use case: Correlating and enriching alerts 15
Improving the “Time to No” 17
Beyond Triage 18

Chapter 3: Threat Intelligence for Incident Response 19

Continuing Challenges 20
A skills gap 20
Too many alerts, too little time 20
Time to response is rising 21
A piecemeal approach 21
The Reactivity Problem 21
Minimizing Reactivity in Incident Response 22
Identification of probable threats 22
Prioritization 23
Strengthening Incident Response With Threat Intelligence 23
Threat Intelligence in Action 24
Use case: Prepare processes in advance 24
Use case: Scope and contain incidents 24
Use case: Remediate data exposure and stolen assets 25
Abuse case: Half measures are worse than nothing 26
Essential Characteristics of Threat Intelligence for Incident Response 26
Comprehensive 26
Relevant 27
Contextualized 28
Integrated 29

Chapter 4: Threat Intelligence for Vulnerability Management 31

The Vulnerability Problem by the Numbers 32
Zero day does not mean top priority 32
Time is of the essence 32
 Table of Contents | v

Assess Risk Based on Exploitability 33

Severity ratings can be misleading 34
The Genesis of Threat Intelligence: Vulnerability Databases 34
Exploitability versus exploitation 35
Next week versus now 36
Threat Intelligence and Real Risk 37
Internal vulnerability scanning 38
Risk milestones for vulnerabilities 38
Understanding the adversary 38
Sources of Intelligence 39
Use Case: Cross-Referencing Intelligence 41
Bridging the Risk Gaps Between Security, Operations,
and Business Leadership 41

Chapter 5: Threat Intelligence for Security Leaders 43

Risk Management 44
Internal data is not enough 44
Sharpening the focus 45
Mitigation: People, Processes, and Tools 46
Early warnings 47
Investment 47
Communication 48
Supporting Security Leaders 48
The Security Skills Gap 49
Intelligence to Manage Better 49

Chapter 6: Threat Intelligence for Risk Analysis 51

The FAIR Risk Model 52
Measurements and transparency are key 53
Threat Intelligence and Threat Probabilities 54
Threat Intelligence and the Cost of Attacks 56

Chapter 7: Threat Intelligence for Fraud Prevention 59

Stand and Deliver! 59
Know Your Enemy 60
Criminal Communities and the Dark Web 62
Gated communities 62
A strength — and a weakness 62
Connecting the Dots for Fraud Prevention 63
Use case: Payment fraud 64
Use case: Compromised data 64
Use case: Typosquatting and fraudulent domains 65

Chapter 8: Analytical Frameworks for Threat Intelligence 67

The Lockheed Martin Cyber Kill Chain® 68
Limitations of the Cyber Kill Chain 69
The Diamond Model 69
Flexibility 71
Challenges with the Diamond Model 71
The MITRE ATT&CK™ Framework 71
Categories of attacker behavior 72

Chapter 9: Your Threat Intelligence Journey 75

Don’t Start With Threat Feeds 75
vi | The Threat Intelligence Handbook

Clarify Your Threat Intelligence Needs and Goals 76

Answer these questions 76
Identify teams that can benefit most from threat intelligence 77
Key Success Factors 78
Generating quick wins with monitoring 78
Automating as much as possible 79
Integrating threat intelligence with processes and infrastructure 79
Getting expert help to nurture internal experts 80
Start Simple and Scale Up 81

Chapter 10: Developing the Core Threat Intelligence Team 83

Dedicated, but Not Necessarily Separate 83
A dedicated team is best 84
Its location depends on your organization 84
Core Competencies 85
The Four Types of Threat Intelligence 86
Collecting and Enriching Threat Data 88
The human edge 88
Additional sources 88
Combining sources 88
The role of intelligent machines 89
Engaging With Threat Intelligence Communities 90

Conclusion 91
Two Key Takeaways from the Book 91
A focus on relevant risk 91
Increased efficiency makes for better security 92

Appendix: Threat Intelligence Goals: A Quick Reference Guide 93

Foreword

W hen you hear the word “intelligence,” you may think

of MI6, the CIA, the KGB, or perhaps even SPECTRE
(the SPecial Executive for Counterintelligence, Terrorism,
Revenge, and Extortion).
And it is true that threat intelligence in the information
technology world includes elements of James Bond stories:
criminal masterminds and nation-state actors scheming to
steal vast sums and sow confusion in the civilized world,
insidious cyber weapons capable of wreaking havoc on the
unwary, and dark corners where shady evildoers gather to
recruit accomplices and plot their next crime.
Fortunately for those of us on the ground managing the day-
to-day grind of threat intelligence, this is about as far as we
can take this analogy. Modern threat intelligence is not just
the province of a few elite secret agents. On the contrary, the
application of intelligence is a team sport with measurable
impact on day-to-day operations.
While there are expert analysts who understand the tools,
techniques, and procedures of sophisticated threat actors
and can gain access to restricted forums on the dark web,
the work they do is only made actionable when put into the
hands of those at the front line of network defense. Members
of the SOC team, the incident response team, the vulnerability
management team, and others can use the intelligence they
uncover to find and block ongoing attacks and prevent recur-
rences. And security leaders can get insight into emerging
trends and increased risk.
Intelligence can spearhead a highly proactive security strategy
when it can be consumed by the teams and technology able to
make the best use of it.
This book will explain how you can begin the process of
democratizing threat intelligence and put it into the hands
of the people in your organization who can use it effectively.
We look at the specific threat intelligence needs of six security
viii | The Threat Intelligence Handbook

teams, the sources of that intelligence, and exactly how the

teams can use it to improve their decision making. We also
look at frameworks that can help each team organize and pri-
oritize its activities and provide advice on how to start up and
grow your organization’s threat intelligence program.
The subtitle of this book starts with “A Practical Guide …” and
our intention is to live up to the adjective “practical.” We are
offering information and advice that you can apply today to
solve real-world problems with threat intelligence.
I want to thank everyone at Recorded Future, our users
and customers, and the industry experts who have contrib-
uted to the contents of this book. As you can see from the
“Contributors” list in the front, we have compiled knowledge
from many of our most experienced and innovative people.
We hope you will find this book an informative companion as
you apply threat intelligence to address the security challenges
you face.

Dr. Christopher Ahlberg

Co-Founder and CEO
Recorded Future
 Introduction

I t’s easy to find descriptions of what threat intelligence is.

But it’s harder to learn how to use it to truly make your
organization safe from cybercriminals. How can threat
intelligence strengthen all the teams in a cybersecurity
organization?

This book answers this question. It reviews the kinds of threat

intelligence that are useful to security teams and how each
team can use that intelligence to solve problems and address
challenges. It discusses how security analysts in the real world
use threat intelligence to decide what alerts to investigate (or
ignore), what incidents to escalate, and what vulnerabilities
to patch. It examines how information collected outside of the
enterprise can help model risks more accurately and prevent
fraud.

We invite you to learn about how threat intelligence can help

everyone in cybersecurity anticipate problems, respond faster
to attacks, and make better decisions on how to reduce risk.

Chapters at a Glance
Chapter 1, “Intelligence-Driven Security,” describes the
phases of the threat intelligence lifecycle and looks at sources
of threat intelligence.

Chapter 2, “Threat Intelligence for Security

Operations,” explores how intelligence provides context for
triage and helps the SOC team make better decisions.

Chapter 3, “Threat Intelligence for Incident

Response,” discusses how intelligence can minimize
reactivity in incident response and presents three use cases.

Chapter 4, “Threat Intelligence for Vulnerability

Management,” examines how intelligence helps prioritize
vulnerabilities based on true risk to the enterprise.
x | The Threat Intelligence Handbook

Chapter 5, “Threat Intelligence for Security Leaders,”

explores how building a comprehensive threat intelligence
capability can help CISOs manage risk and make effective
investment decisions.

Chapter 6, “Threat Intelligence for Risk Analysis,”

explains the value of risk models and how intelligence can
provide hard data about attack probabilities and costs.

Chapter 7, “Threat Intelligence for Fraud

Prevention,” enumerates how intelligence can help
anticipate and defeat fraud.

Chapter 8, “Analytical Frameworks for Threat

Intelligence,” explains how three leading threat frameworks
provide structures for thinking about attacks.

Chapter 9, “Your Threat Intelligence Journey,”

provides suggestions on how to start simple and scale up a
threat intelligence program.

Chapter 10, “Developing the Core Threat Intelligence

Team,” describes how a dedicated team can take threat
intelligence to a new level.

Helpful Icons
TIP Tips provide practical advice that you can apply in your own
organization.

DON’T FORGET When you see this icon, take note, as the related content
contains key information that you won’t want to forget.

CAUTION Proceed with caution because if you don’t, it may prove costly
to you and your organization.

TECH TALK Content associated with this icon is more technical in nature
and is intended for IT practitioners.

ON THE WEB Want to learn more? Follow the corresponding URL to

discover additional content available on the web.
 Chapter 1

Intelligence-
Driven Security
In this chapter
Examine the phases of the threat intelligence lifecycle
Review sources of threat intelligence
Look at the roles of threat intelligence tools and human
analysts

“Every battle is won before it is ever fought.”

― Sun Tzu

What Have You Heard About

Threat Intelligence?

Y ou may have heard threat intelligence discussed at a

conference or trade show. Perhaps you were informed
by a consultant that threat intelligence can reduce the time
you spend investigating security events. Maybe you read a
report about state-sponsored attacks and want to know how
to protect your enterprise. You have probably noticed that in
organizations from multinational enterprises to midmarket
companies, information security teams are racing to add
threat intelligence to their security program.
But you may also have heard some misconceptions: that threat
intelligence is just data feeds and PDF reports, or is simply a
research service for the incident response team, or requires a
dedicated team of high-priced, elite analysts.
2 | The Threat Intelligence Handbook

These are fallacies! In this book we will show that threat

intelligence:

;; Includes information and analysis from a rich array

of sources, presented in ways that make it easy to
understand and use
;; Is immensely valuable to all the major teams in the
cybersecurity organization

;; Can be handled mostly by the existing security staff

(with the right tools and support)

In fact, threat intelligence solves many problems for cyberse-

curity organizations. For example, security operations teams
are challenged by an overwhelming volume of alerts; threat
intelligence adds valuable context around indicators of com-
promise (IOCs) and helps triage security incidents. Incident
responders struggle to fully contain and remediate intrusions;
intelligence provides real-time information to contain, hunt,
and eradicate threats. Senior leaders have critical questions on
the impact of immediate security events and the cost of future
events; intelligence helps answer many of those concerns.
To see why threat intelligence can be so useful to so many,
let’s review its lifecycle.

The Six Phases of the Threat

Intelligence Lifecycle
Threat intelligence is built on analytic techniques honed
over several decades by government and military agencies.
Traditional intelligence focuses on six distinct phases that
make up what is called the “intelligence cycle”:

1. Direction
2. Collection
3. Processing
4. Analysis
5. Dissemination
6. Feedback
 Chapter 1: Intelligence-Driven Security | 3

Figure 1-1 shows how those six phases align with threat
intelligence.
       
 
 
  

 
  
  



 !

   
   
 
  

 
 


  

  
 


   
"


   
    

 


      

            

Figure 1-1: Threat intelligence and the six phases of the intel-
ligence lifecycle.

Direction
The direction phase of the lifecycle is when you set goals for
the threat intelligence program. This involves understanding
and articulating:

;; The information assets and business processes that

need to be protected
;; The potential impacts of losing those assets or inter-
rupting those processes

;; The types of threat intelligence that the security

organization requires to protect assets and respond
to threats
;; Priorities about what to protect

Once high-level intelligence needs are determined, an orga-

nization can formulate questions that channel the need for
information into discrete requirements. For example, if a goal
is to understand likely adversaries, one logical question would
be, “Which actors on underground forums are actively solicit-
ing data concerning our organization?”
4 | The Threat Intelligence Handbook

A Library of Goals
Recorded Future has created a list Adversarial models such as the
of pre-configured intelligence goals Lockheed Martin Cyber Kill Chain
that includes the most common and the MITRE Adversarial Tactics,
intelligence requirements of Global Techniques & Common Knowledge
500 organizations. This list helps (ATT&CK) matrix (discussed in
companies starting out with threat Chapter 8), can also help compa-
intelligence think about their issues nies focus on the types of threat
and priorities and decide how threat intelligence they need to collect to
intelligence can be plugged into prevent breaches.
their existing processes. Selected
goals from this library are included
in the appendix of this book.

Collection
Collection is the process of gathering information to address
the most important intelligence requirements. Information
gathering can occur organically through a variety of means,
including:

;; Pulling metadata and logs from internal networks

and security devices
;; Subscribing to threat data feeds from industry orga-
nizations and cybersecurity vendors
;; Holding conversations and targeted interviews with
knowledgeable sources
;; Scanning open source news and blogs

;; Scraping and harvesting websites and forums

;; Infiltrating closed sources such as dark web forums

The data collected typically will be a combination of finished

information, such as intelligence reports from cybersecurity
experts and vendors, and raw data, like malware signatures or
leaked credentials on a paste site.
 Chapter 1: Intelligence-Driven Security | 5

Threat Intelligence Sources

Technical sources (e.g., threat are usable requires a tremendous
feeds) — Available in huge quanti- amount of cross-referencing with
ties, often for free. Technical other sources.
sources are easy to integrate with
Threat actor forums — Specifically
existing security technologies but
designed to host relevant discus-
often contain a high proportion
sions, forums offer some of the
of false positives and outdated
most helpful insights available
results.
anywhere. Once again, though,
Media (e.g., security websites, analysis and cross-referencing are
vendor research) — These sources essential to determine what is truly
often provide useful information valuable.
about emerging threats but are
The dark web (including markets
hard to connect with technical
and forums) — While often the
indicators in order to measure risk.
birthplace of hugely valuable
Social media — Social channels of- intelligence, dark web sources
fer huge amounts of valuable data, can be extremely hard to access,
but it comes at a price. False posi- particularly those that play host to
tives and misinformation are ram- serious criminal communities.
pant, so determining which insights

DON’T FORGET You need multiple sources of intelligence to get a complete

picture of potential and actual threats. As shown in Figure 1-1,
they include internal sources like firewall and router logs,
network packet capture tools, and vulnerability scans, techni-
cal sources such as vulnerability databases and threat data
feeds, and human sources, including traditional and social
media, cybersecurity forums and blogs, and dark web forums.
Missing any one of these can slow down investigations and
cause gaps in remediation.
TIP Automate! Analysts should spend as little time as possible col-
lecting data, and as much time as possible evaluating and
communicating threat information.
ON THE WEB Confused about the difference between threat intelligence
sources, feeds, platforms, and providers? Read the Recorded
Future blog post “Threat Intelligence: Difference Between
Platforms and Providers.”
6 | The Threat Intelligence Handbook

Processing
Processing is the transformation of collected information
into a format usable by the organization. Almost all raw data
collected needs to be processed in some manner, whether by
humans or machines.
Different collection methods often require different means
of processing. Human reports may need to be correlated and
ranked, deconflicted, and checked. An example might be
extracting IP addresses from a security vendor’s report and
adding them to a CSV file for importing to a security informa-
tion and event management (SIEM) product. In a more tech-
nical area, processing might involve extracting indicators from
an email, enriching them with other information, and then
communicating with endpoint protection tools for automated
blocking.
TIP Automate more! With the right tools, most processing work-
flows, as well as most collection processes, can be automated.
For example, a security automation tool might identify a sus-
picious IOC, then conduct a sequence of checks to bring con-
text to the IOC. This saves the analyst from having to conduct
those checks manually.

Analysis
Analysis is a human process that turns processed information
into intelligence that can inform decisions. Depending on the
circumstances, the decisions might involve whether to inves-
tigate a potential threat, what actions to take immediately to
block an attack, how to strengthen security controls, or how
much investment in additional security resources is justified.
DON’T FORGET Analysts must have a clear understanding of who is going to
be using their intelligence and what decisions those people
make. You want the intelligence you deliver to be perceived as
actionable, not as academic. Most of this book is devoted to
giving you a clear picture of exactly how threat intelligence
can improve decision making and actions in different areas of
cybersecurity.
The form in which the information is presented is especially
important. It is useless and wasteful to collect and process
 Chapter 1: Intelligence-Driven Security | 7

information and then deliver it in a form that can’t be under-

stood and used by the decision maker.
For example, if you want to communicate with non-technical
leaders, your report must:

;; Be concise (a one-page memo or a handful of slides)

;; Avoid confusing and overly technical terms and

jargon
;; Articulate the issues in business terms (such as
direct and indirect costs and impact on reputation)
;; Include a recommended course of action

Some intelligence may need to be delivered in a variety of

formats for different audiences, say, by a live video feed and
a PowerPoint presentation. Not all intelligence needs to be
digested via a formal report. Successful threat intelligence
teams provide continual technical reporting to other security
teams with external context around IOCs, malware, threat
actors, vulnerabilities, and threat trends.

Dissemination
Dissemination involves getting the finished intelligence output
to the places it needs to go.
As illustrated in Figure 1-1, most cybersecurity organizations
have at least six teams that can benefit from threat intel-
ligence. For each of these audiences you need to ask:

;; What threat intelligence do they need, and how can

external information support their activities?
;; How should the intelligence be presented to make
it easily understandable and actionable for that
audience?
;; How often should we provide updates and other
information?
;; Through what media should the intelligence be
disseminated?
;; How should we follow up if they have questions?
8 | The Threat Intelligence Handbook

Feedback
As you have no doubt gathered, we believe that it is critically
important to understand your overall intelligence priorities
and the requirements of the security teams that will be con-
suming the threat intelligence. Their needs guide all phases of
the intelligence lifecycle and tell you:

;; What types of data to collect

;; How to process and enrich the data to turn it into

useful information
;; How to analyze the information and present it as
actionable intelligence
;; To whom each type of intelligence must be dissemi-
nated, how quickly it needs to be disseminated, and
how fast to respond to questions

You need regular feedback to make sure you understand the

requirements of each group, and to make adjustments as their
requirements and priorities change.
TIP For every “customer” team, establish both a channel for fast,
informal feedback (such as an email address, an internal
forum, or a team collaboration tool) and a formal, structured
surveying process (such as an online survey or a quarterly
face-to-face meeting). The informal channel helps you react
and adjust immediately, while the structured survey ensures
that you get input from everyone and can track your progress
over time.

Tools and People

Tools are essential to automating the collection, processing,
and dissemination steps in the intelligence lifecycle and to
supporting and accelerating analysis. Without the right tools,
analysts will spend all their time on the mechanical aspects of
these tasks and never have time for real analysis.
 Chapter 1: Intelligence-Driven Security | 9

Most mature threat intelligence groups leverage two types of

tools:

;; Threat intelligence solutions that are designed to

collect, process, and analyze all types of threat data
from internal, technical, and human sources
;; Existing security tools, such as SIEMs and security
analytics tools, which collect and correlate security
events and log data

Human analysts are equally if not more important. You can’t

rely on tools to interview security experts and probe closed
dark web forums, and you need people to analyze and synthe-
size intelligence for the people in the security organization and
management who will consume it.
The analysts do not need to belong to a central, elite threat
intelligence department. While someone needs to take an
organization-wide view of the threat intelligence function,
make decisions about resources and priorities, and track
progress, we have seen many successful organizational struc-
tures. You could have a central group with dedicated threat
intelligence analysts, or a small group inside the incident
response (IR) or security operations center (SOC) organiza-
tions. Alternatively, members of the different cybersecurity
groups can be responsible for analyzing threat intelligence for
their colleagues.
In Chapter 9 we discuss how the organizational structure
often evolves as the threat intelligence function matures. In
Chapter 10 we provide advice on how to organize a core threat
intelligence team.
 Chapter 2

Threat Intelligence for

Security Operations
In this chapter
See how “alert fatigue” risks undoing the good work of security
operations centers (SOCs)
Understand the value of context for improving triage
Learn how threat intelligence can lead to less wasted time and
better decisions by the SOC team

“Being the worst makes you first.”

― Sign in hospital emergency room

M ost security operations center (SOC) teams find them-

selves hostages to the huge volumes of alerts generated
by the networks they monitor. Triaging these alerts takes too
long, and many are never investigated at all. “Alert fatigue”
leads analysts to take alerts less seriously than they should.
Threat intelligence provides an antidote to many of these
problems. Among other uses, it can be employed to filter out
false alarms, speed up triage, and simplify incident analysis.

Responsibilities of the SOC Team

On paper, the responsibilities of the SOC team seem simple:

;; Monitor for potential threats

;; Detect suspicious network activity

;; Contain active threats

;; Remediate using available technology

12 | The Threat Intelligence Handbook

When a suspicious event is detected, the SOC team inves-

tigates, then works with other security teams to reduce the
impact and severity of the attack. You can think of the roles
and responsibilities within a SOC as being similar to those of
emergency services teams responding to 911 calls, as shown in
Figure 2-1.

 

  
  

    

  




   


 
 

  


 

  


 

 

 

    





   

    
  
  


 
 

  
 

 


 

    
    

 




     

  
  
 


  
   

Figure 2-1: The roles and responsibilities of emergency services

teams and SOC teams are similar.

The Overwhelming Volume of Alerts

Over the past several years, most enterprises have added new
types of threat detection technologies to their networks. Every
tool sounds the alarm when it sees anomalous or suspicious
behavior. In combination, these tools can create a cacophony
of security alerts. Security analysts are simply unable to
review, prioritize, and investigate all these alerts on their own.
Because of alert fatigue, all too often they ignore alerts, chase
false positives, and make mistakes.
Research confirms the magnitude of these problems. Industry
analyst firm ESG asked cybersecurity professionals about
their biggest security operations challenge, and 35 percent
said it was “keeping up with the volume of security alerts.” In
its 2018 State of the SOC report, SIEM provider Exabeam
revealed that SOCs are understaffed according to 45 percent
 Chapter 2: Threat Intelligence for Security Operations | 13

of professionals who work in them, and of those, 63 percent

think they could use anywhere from two to 10 additional
employees. Cisco’s 2018 Security Capabilities Benchmark
study found that organizations can investigate only 56 percent
of the security alerts they receive on a given day, and of those
investigated alerts, only 34 percent are deemed legitimate
(Figure 2-2).




 

  




     
 
  

   
  



  


  
 
  
  



 


  



  

  
 

Figure 2-2: Many threat alerts are not investigated or remediated.

(Source: Cisco)

Context Is King
At its heart, threat intelligence for the SOC is about enriching
internal alerts with the external information and context
necessary to make risk-based decisions. Context is critical for
14 | The Threat Intelligence Handbook

rapid triage, and also very important for scoping and contain-
ing incidents.

Triage requires lots of context

A huge part of an average SOC analyst’s day is spent respond-
ing to alerts generated by internal security systems, such as
SIEM or EDR technologies. Sources of internal data are vital
in identifying potentially malicious network activity or a data
breach.
Unfortunately, this data is often difficult to interpret in isola-
tion. Determining if an alert is relevant and urgent requires
gathering related information (context) from a wide variety
of internal system logs, network devices, and security tools
(Figure 2-3), and from external threat databases. Searching
all of these threat data sources for context around each alert is
hugely time consuming.
&
!"! # "&
" 
# "

#!!!
 '
 $
  

"



 !

 !!

 !
 

  






# &  
!
  


 $


 

 

"$"&
"

 
 
!
  





 

# & 

 

!
 !



 

 

 

" 

 
 

 
 

# 


 !""

  

  

!



!
  
 $ 

$

" 
"% 
 
 
!
 
 !
  
 
!

"$"&  


  
 

 
 


 



 "
 



 
!

"% 






!

 
 

"!


 

!!
"$"&

&
!

 
 "
!


 

 


 !""  
 !
 !


 "






 !
  



 

$"!  


 
 !


  

# "
 


 


 



!   
 

"
# 


 



 



""#! !

  !

 


Figure 2-3: Key aspects of security monitoring and internal

sources of context. (Source: UK NCSC)
 Chapter 2: Threat Intelligence for Security Operations | 15

Use case: Correlating

and enriching alerts
An analyst attempting to triage an initial alert without access
to enough context is like a person trying to understand a news
story after reading just the headline. Even when the analyst
has access to external information in the form of threat feeds
(Figure 2-4), that information is very hard to assimilate and
correlate with other data related to the alert.

Figure 2-4: It is very difficult to find relevant information in a raw

threat feed and correlate it with other data related to an alert.

Threat intelligence, or more precisely, information delivered

through a threat intelligence solution, can completely
transform the situation. Such a solution has the capability to
automatically enrich threat data into intelligence and correlate
it with alerts, as illustrated in Figure 2-5. The context provided
might include first and most recent references to a piece of
malware or a suspicious IP address, the number of sightings,
associations with attack types and specific threat actors, and
descriptions of the behavior of the malware or the uses of the
IP address (say, as part of a botnet).
16 | The Threat Intelligence Handbook

Figure 2-5: A threat intelligence solution can automatically enrich alerts

with context such as previous sightings, associations with attack types and
threat actors, and risk scores. (Source: Recorded Future)

This enrichment enables SOC analysts to quickly identify the

most significant threats and take immediate, informed actions
to resolve them.
Enrichment allows relatively junior analysts in the SOC to
“punch above their weight” by making connections that other-
wise would have required more experience. It also provides a
form of accelerated on-the-job training by providing in-depth
information about the latest threats.
TECH TALK As an example of upskilling relatively junior analysts, suppose
an alert is generated when an unknown external IP address
attempts to connect over TCP port 445. Experienced analysts
might know that a recent exploit for SMB has been used by
ransomware to propagate itself and would identify the IP as
likely compromised based on the owner, location, and open
source data. Newer analysts might not be able to make these
connections unaided, but contextualized threat intelligence
 Chapter 2: Threat Intelligence for Security Operations | 17

could show them that other devices on the network use SMB
on port 445 to transfer files and data between servers. It could
also inform them that the new exploit and ransomware have
been associated with that IP address.

Improving the “Time to No”

As important as it is for SOC analysts to gather information
about real threats more quickly and accurately, there is an
argument to be made that the ability to rapidly rule out false
alarms is even more important.
Threat intelligence provides SOC staff with additional infor-
mation and context needed to triage alerts promptly and with
far less effort. It can prevent analysts from wasting hours
pursuing alerts based on:

;; Actions that are more likely to be innocuous rather

than malicious
;; Attacks that are not relevant to that enterprise

;; Attacks for which defenses and controls are already

in place

Some threat intelligence solutions automatically perform

much of this filtering by customizing risk feeds to ignore
or downgrade alerts that do not match organization- and
industry-specific criteria.
18 | The Threat Intelligence Handbook

Threat Intelligence Makes IT Security

Teams 32 Percent More Efficient
A survey and analysis by IDC found the teams in the survey were
that a threat intelligence solution able to detect 22 percent more
enabled IT security teams to threats before they impacted the
reduce the time needed for threat organization, and resolve incidents
investigation, threat resolution, 63 percent faster. To read the full
and security report compilation IDC white paper, go to https://
by 32 percent, saving an average go.recordedfuture.com/idc.
of $640,000 annually. In addition,

Beyond Triage
As well as accelerating triage, threat intelligence can help SOC
teams simplify incident analysis and containment.
For example, by revealing that a certain piece of malware is
often used by cybercriminals as the first step in an attack on
financial applications, the SOC team can start monitoring
those applications more closely and home in on other evi-
dence of that attack type.
 Chapter 3

Threat Intelligence for

Incident Response
In this chapter
Learn how threat intelligence can minimize reactivity
Review characteristics of threat intelligence solutions that
make them effective for meeting incident response challenges
Explore use cases for using threat intelligence for incident
response

“Care shouldn’t start in the emergency room.”

― James Douglas

O f all security groups, incident response teams are per-

haps the most highly stressed. Among the reasons:

;; Cyber incident volumes have increased steadily for

two decades.
;; Threats have become more complex and harder to
analyze; staying on top of the shifting threat land-
scape has become a major task in itself.
;; When responding to security incidents, analysts are
forced to spend a lot of time manually checking and
disseminating data from disparate sources.
;; Containment of attacks and eradication of vulner-
abilities continually grows more difficult.
20 | The Threat Intelligence Handbook

As a result, incident response teams routinely operate under

enormous time pressures and often are unable to contain
cyber incidents promptly.

Continuing Challenges
While it’s difficult to be precise about the number of incidents
experienced by a typical organization, there is no doubt
that cyberattack volume is growing rapidly. According to
SonicWall, the global volume of malware attacks increased by
more than 18 percent during 2017 alone. Other popular attack
vectors, such as encrypted traffic and phishing, are also seeing
substantial increases in volume every year. While some of this
growing pressure is mitigated by preventative technologies, a
huge additional strain is nonetheless being placed on incident
response teams because of the following factors.

A skills gap
Incident response is not an entry-level security function.
It encompasses a vast swath of skills, including static and
dynamic malware analysis, reverse engineering, digital
forensics, and more. It requires analysts who have experience
in the industry and can be relied upon to perform complex
operations under pressure.
The highly publicized cybersecurity skills gap has grown
consistently wider over the past decade. According to a 2017
research report by ISSA, almost three-quarters of security
professionals claim their organization is affected by the global
skills shortage. In their most recent Global Information
Security Workforce Study, Frost & Sullivan predicts the skills
gap will grow to 1.8 million workers by 2022.

Too many alerts, too little time

In tandem with the lack of available personnel, incident
response teams are bombarded by an unmanageable num-
ber of alerts. According to the Ponemon “Cost of Malware
Containment” report, security teams can expect to log almost
17,000 malware alerts in a typical week. That’s more than 100
alerts per hour for a team that operates 24/7. And those are
only the alerts from malware incidents.
 Chapter 3: Threat Intelligence for Incident Response | 21

To put these figures in perspective, all these alerts can lead

security teams to spend over 21,000 man-hours each year
chasing down false positives. That’s 2,625 standard eight-hour
shifts needed just to distinguish bad alerts from good ones.

Time to response is rising

When you have too few skilled personnel and too many alerts,
there’s only one outcome: the time to resolve genuine security
incidents will rise. According to analysis of source data from
a recent Verizon Data Breach Investigations Report, while
median time to incident detection is a fairly reasonable four
hours, median time to resolution (MTTR) is more than four
days.
Of course, cybercriminals have no such time constraints.
Once they gain a foothold inside a target network, time to
compromise is usually measured in minutes. We will discuss
this more in Chapter 4.

A piecemeal approach
Most organizations’ security groups have grown organically
in parallel with increases in cyber risk. As a result, they have
added security technologies and processes piecemeal, without
a strategic design.
While this ad hoc approach is perfectly normal, it forces
incident response teams to spend a lot of time aggregating
data and context from a variety of security technologies (e.g.,
SIEM, EDR, and firewall logs) and threat feeds. This effort
significantly extends response times and increases the likeli-
hood that mistakes will be made.
ON THE WEB You can find the original “Cost of Malware Containment”
report on the Ponemon website.

The Reactivity Problem

Once an alert is flagged, it must be triaged, remediated, and
followed up as quickly as possible to minimize cyber risk.
22 | The Threat Intelligence Handbook

Consider a typical incident response process:

1. Incident detection — Receive an alert from a

SIEM, EDR, or similar product.
2. Discovery — Determine what’s happened and how
to respond.
3. Triage and containment — Take immediate
actions to mitigate the threat and minimize damage.
4. Remediation — Repair damage and remove
infections.
5. Push to BAU — Pass the incident to “business as
usual” teams for final actions.

Notice how reactive this process is. For most organizations,

nearly all the work necessary to remediate an incident is
back-loaded, meaning it can’t be completed until after an alert
is flagged. Although this is inevitable to some degree, it is far
from ideal when incident response teams are already strug-
gling to resolve incidents quickly enough.

Minimizing Reactivity in
Incident Response
To reduce response times, incident response teams must
become less reactive. Two areas where advanced preparation
can be especially helpful are identification of probable threats
and prioritization.

Identification of probable threats

If an incident response team can identify the most commonly
faced threats in advance, they can develop strong, consistent
processes to cope with them. This preparation dramatically
reduces the time the team needs to contain individual inci-
dents, prevents mistakes, and frees up analysts to cope with
new and unexpected threats when they arise.
 Chapter 3: Threat Intelligence for Incident Response | 23

Prioritization
Not all threats are equal. If incident response teams can
understand which threat vectors pose the greatest level of
risk to their organization, they can allocate their time and
resources accordingly.
ON THE WEB To find out how security experts use threat intelligence to
reduce reactivity in incident response, watch the joint
Recorded Future and LIFARS webinar “Fuel Incident
Response With Threat Intelligence to Lower Breach Impact.”

Strengthening Incident Response

With Threat Intelligence
It should be clear from our discussion so far that security
technologies by themselves can’t do enough to reduce pres-
sure on human analysts.
Threat intelligence can minimize the pressure on incident
response teams and address many of the issues we have been
reviewing by:

;; Automatically identifying and dismissing false posi-

tive alerts
;; Enriching alerts with real-time context from across
the open and dark web
;; Assembling and comparing information from inter-
nal and external data sources to identify genuine
threats
;; Scoring threats according to the organization’s
specific needs and infrastructure

In other words, threat intelligence provides incident response

teams with exactly the actionable insights they need to make
faster, better decisions, while holding back the tide of irrel-
evant and unreliable alerts that typically make their job so
difficult.
24 | The Threat Intelligence Handbook

Threat Intelligence in Action

Let’s look at three use cases and one abuse case that show how
threat intelligence affects incident response teams in the real
world.

Use case: Prepare

processes in advance
As we noted earlier, typical incident response processes are
highly reactive, with most activity happening only after an
incident occurs. This extends the time needed to scope and
remediate incidents.
Threat intelligence can help incident response teams prepare
for threats in advance by providing:

;; A comprehensive, up-to-date picture of the threat

landscape
;; Information about popular threat actor tactics,
techniques, and procedures (TTPs)
;; Highlights of industry- and area-specific attack
trends

Using this intelligence, incident response teams can develop

and maintain strong processes for the most common incidents
and threats. Having these processes available speeds up
incident discovery, triage, and containment. It also greatly
improves the consistency and reliability of actions across the
incident response function.

Use case: Scope and

contain incidents
When an incident occurs, incident response analysts must
determine:

1. What happened
2. What the incident might mean for the organization
3. Which actions to take
 Chapter 3: Threat Intelligence for Incident Response | 25

All three of these factors must be analyzed as quickly as pos-

sible with a high degree of accuracy. Threat intelligence can
help by:

;; Automatically dismissing false positives, enabling

teams to focus on genuine security incidents
;; Enriching incidents with related information from
across the open and dark web, making it easier to
determine how much of a threat they pose and how
the organization might be affected
;; Providing details about the threat and insights about
the attacker TTPs, helping the team make fast and
effective containment and remediation decisions

Is Time Your Friend or Enemy?

Ever wondered how the balance Future blog post “The 4th in the
of power fluctuates between at- 5th: Temporal Aspects of Cyber
tackers and defenders as time goes Operations” by the grugq.
by? To find out, read the Recorded

Use case: Remediate data

exposure and stolen assets
It’s common for organizations to take a long time to realize a
breach has occurred. According to the “Ponemon 2018 Cost of
a Data Breach Study,” organizations in the United States take
an average of 196 days to detect a breach.
Not surprisingly, stolen data and proprietary assets often turn
up for sale on the dark web before their rightful owners realize
what’s happened.
A powerful threat intelligence capability can be a tremendous
advantage. It can alert you to a breach by providing early
warning that:

;; Your assets are exposed online

;; Someone is offering your assets for sale

26 | The Threat Intelligence Handbook

Obtaining this intelligence in real time is vital because it will

enable you to contain the incident as quickly as possible and
help you identify when and how your network was breached.

Abuse case: Half measures

are worse than nothing
We want to caution you about one “abuse case” where threat
intelligence can actually undermine incident response.
At the start of their threat intelligence journey, some organiza-
tions opt for a minimalist solution such as a threat intelligence
solution paired with a variety of free threat feeds. They might
believe that this “dip the toes in the water” approach will
minimize up-front costs.
While this type of implementation arms incident response
teams with some actionable intelligence, it usually makes
things worse by forcing analysts to wade through vast quanti-
ties of false positives and irrelevant alerts. To fully address the
primary incident response pain points, a threat intelligence
capability must be comprehensive, relevant, contextualized,
and integrated.

Essential Characteristics of Threat

Intelligence for Incident Response
Now it’s time for us to examine the characteristics of a power-
ful threat intelligence capability, and how they address the
greatest pain points of incident response teams.

Comprehensive
To be valuable to incident response teams, threat intelligence
must be captured automatically from the widest possible
range of locations across open sources, technical feeds, and
the dark web. Otherwise analysts will be forced to conduct
their own manual research to ensure nothing important has
been missed.
TECH TALK Imagine an analyst needs to know whether an IP address has
been associated with malicious activity. If she is confident that
her threat intelligence has been drawn from a comprehensive
range of threat sources, she can query the data instantly and
 Chapter 3: Threat Intelligence for Incident Response | 27

be sure the result will be accurate. If she isn’t confident, she

will have to spend time manually checking the IP address
against several threat data sources. Figure 3-1 shows how
threat intelligence might connect an IP address with the
Trickbot malware. This kind of intelligence can be correlated
with internal network logs to reveal indicators of compromise.

Figure 3-1: Threat intelligence connecting an IP address with the

Trickbot malware. (Source: Recorded Future)

ON THE WEB While they are often used interchangeably, threat intelligence,
information, and data aren’t the same thing. To find out where
the differences lie, read the Recorded Future blog post “Threat
Intelligence, Information, and Data: What Is the Difference?”

Relevant
It’s impossible to avoid all false positives when working to
identify and contain incidents. But threat intelligence should
help incident response teams quickly identify and purge false
positives generated by security technologies such as SIEM and
EDR products.
28 | The Threat Intelligence Handbook

There are two categories of false positives to consider:

1. Alerts that are relevant to an organization but are

inaccurate or unhelpful
2. Alerts that are accurate and/or interesting but
aren’t relevant to the organization

Both types have the potential to waste an enormous amount of

incident response analysts’ time.
Advanced threat intelligence products are now employing
machine learning technology to identify and discard false
positives automatically and draw analysts’ attention to the
most important (i.e., most relevant) intelligence.
CAUTION If you don’t choose your threat intelligence technology care-
fully, your team can waste a great deal of time on intelligence
that’s inaccurate, outdated, or irrelevant to your organization.

Contextualized
Not all threats are created equal. Even among relevant threat
alerts, some will inevitably be more urgent and important
than the rest. An alert from a single source could be both accu-
rate and relevant, but still not particularly high in priority.
That is why context is so important: it provides critical clues
about which alerts are most likely to be significant to your
organization.
Contextual information related to an alert might include:

;; Corroboration from multiple sources that the same

type of alert has been associated with recent attacks
;; Confirmation that it has been associated with threat
actors known to be active in your industry
;; A timeline showing that the alert occurred slightly
before or after other events linked with attacks

Modern machine learning and artificial intelligence (AI) tech-

nologies make it possible for a threat intelligence solution to
consider multiple sources concurrently and determine which
alerts are most important to a specific organization.
 Chapter 3: Threat Intelligence for Incident Response | 29

Integrated
Among the most critical functions of a threat intelligence
system is the ability to integrate with a broad range of security
tools, including SIEM and incident response solutions, exam-
ine the alerts they generate, and:

;; Determine whether each alert should be dismissed

as a false positive
;; Score the alert according to its importance

;; Enrich the alert with valuable extra context

This integration eliminates the need for analysts to manually

compare each alert to information in diverse security and
threat intelligence tools. Even more important, integration
and automated processes can filter out a huge number of false
positives without any checking by a human analyst. The
amount of time and frustration this capability saves makes it
perhaps the single greatest benefit of threat intelligence for
incident response teams.
 Chapter 4

Threat Intelligence for

Vulnerability Management
In this chapter
Examine the current challenges in addressing vulnerabilities
based on actual risk
Learn how vulnerability intelligence delivers insights into
threat actor behaviors
See how risk-based intelligence streamlines the operational
elements of vulnerability management

“The acknowledgment of our weakness is the first step in

repairing our loss.”
― Thomas à Kempis

V ulnerability management is not glamorous, but it is one

of the very few ways you can be proactive in securing
your organization. Its importance as a function cannot be
overstated.
The key to success in vulnerability management is to shift the
thinking of your security teams from trying to patch every-
thing to making risk-based decisions. That is critical because
the vast ocean of vulnerabilities disclosed each year stretches
to the breaking point the teams responsible for identifying
vulnerable assets and deploying patches. And the key to mak-
ing good risk-based decisions is taking advantage of more
sources of threat intelligence.
32 | The Threat Intelligence Handbook

The Vulnerability Problem

by the Numbers
According to research from the analyst firm Gartner, Inc.,
about 8,000 vulnerabilities a year were disclosed over the past
decade. The number rose only slightly from year to year, and
only about one in eight were actually exploited. However, dur-
ing the same period, the amount of new software coming into
use grew immensely, and the number of threats has increased
exponentially.
In other words, although the number of breaches and threats
has increased over the past 10 years, only a small percentage
were based on new vulnerabilities. As Gartner put it, “More
threats are leveraging the same small set of vulnerabilities.”

Zero day does not mean top priority

Zero-day threats regularly draw an outsize amount of atten-
tion. However, the vast majority of “new” threats labeled as
zero day are actually variations on a theme, exploiting the
same old vulnerabilities in slightly different ways. Further,
the data shows that the number of vulnerabilities actually
exploited on day zero make up only about 0.4 percent of all
vulnerabilities exploited during the last decade.
The implication is that the most effective approach to vulner-
ability management is not to focus on zero-day threats, but
rather to identify and patch the vulnerabilities specific to the
software your organization uses.

Time is of the essence

Threat actors have gotten quicker at exploiting vulnerabilities.
According to Gartner, the average time it takes between the
identification of a vulnerability and the appearance of an
exploit in the wild has dropped from 45 days to 15 days over
the last decade.
This has two implications:
1. You have roughly two weeks to patch or remediate
your systems against a new exploit.
2. If you can’t patch in that timeframe, you should have
a plan to mitigate the damage.
 Chapter 4: Threat Intelligence for Vulnerability Management | 33

Research from IBM X-Force shows that if a vulnerability

is not exploited within two weeks to three months after it
is announced, it is statistically unlikely that it ever will be.
Therefore “old” vulnerabilities are usually not a priority for
patching.
ON THE WEB Exploits usually target the most widely used technologies. An
episode of the Recorded Future podcast entitled “7 of the Top
10 Vulnerabilities Target Microsoft” explains why.
DON’T FORGET All of these statistics point to one conclusion: your goal should
not be to patch the most vulnerabilities, or even the most
zero-day threats, but rather to identify and address the threats
most likely to be exploited against your organization.

Assess Risk Based on Exploitability

Let’s use a metaphor: if patching vulnerabilities to keep your
network safe is like getting vaccines to protect yourself from
disease, then you need to decide which vaccinations are priori-
ties and which are unnecessary. You may need a flu shot every
season to stay healthy, but there’s no need to stay vaccinated
against yellow fever or malaria unless you will be exposed to
them.
That’s why you have to do your research: one of the greatest
values of a threat intelligence solution is that it identifies the
specific vulnerabilities that represent risk to your organization
and gives you visibility into their likelihood of exploitation.
Figure 4-1 illustrates the point. Out of the thousands of vul-
nerabilities that are currently disclosed, hundreds are being
exploited. And it’s true that at least some of those vulnerabilities
probably exist in your environment. But the only ones you really
need to worry about are those that lie within the intersection of
those two categories.
Exploring the Variety of Random
Documents with Different Content
Après avoir regardé attentivement ces trois portraits, Albert feuilleta
quelques-uns de mes livres; il fut frappé par une édition des œuvres
de Volney, et par un volume de Condorcet, que ces auteurs avaient
donnés à mon grand-père. En voyant leur signature, il me dit:
—Savez-vous, marquise, que nous sommes un peu du même
monde; mon père aussi a été lié avec ces hommes célèbres que
Bonaparte appelait des idéologues; bien souvent mon père m'a parlé
de ses amis les grands philosophes, comme il disait, et à sa mort j'ai
retrouvé de leurs lettres dans ses papiers.
Tandis que nous causions ainsi, sa voix était si altérée et son
oppression si forte, que je lui dis tout à coup:
—En vérité, je suis bien peu hospitalière de ne pas vous avoir offert
un verre d'eau sucrée après votre ascension de mes quatre étages.
Et prenant un verre à semis d'étoiles d'or, dont je me servais
habituellement, je le lui tendis plein d'eau et de sucre.
Il se mit à rire comme un enfant.
—Eh! quoi! marquise, pensez-vous me rendre des forces avec ce
fade breuvage?
—Voulez-vous, lui dis-je, y mettre un peu de fleurs d'oranger?
—De mieux en mieux, dit-il en riant plus fort.
—Oh! j'y pense, repris-je, j'ai d'excellent chocolat d'Espagne, il sera
bientôt fait; permettez-moi de vous en offrir. Je n'ose vous proposer
du thé ou du café, c'est trop irritant.
—Ne cherchez pas tant, marquise, et faites-moi apporter simplement
un verre de vin généreux.
Née et élevée dans le Midi, je n'avais jamais, comme presque toutes
les femmes des pays chauds, approché une goutte de vin de mes
lèvres. J'avais mis mon fils au même régime, et, depuis ma ruine, je
n'avais plus de cave.
Je dis tout cela à Albert, ajoutant que ma servante seule buvait du
vin dans la maison.
—Eh bien! reprit-il gaiement, j'accepte ce vin de cuisine, et, croyez-
moi, marquise, faites-en boire aussi à votre fils si vous ne voulez pas
qu'il devienne lymphatique et mièvre.
Je sonnai Marguerite, qui apporta aussitôt une grosse bouteille noire
et un verre. Albert la vida à moitié et, à mesure qu'il buvait, son teint
se colorait et ses yeux se remplissaient d'une vie nouvelle.
—Ah! me dit-il en touchant la bouteille, ceci et ces bons rayons de
soleil qui s'allongent jusqu'à moi par votre fenêtre, me rendent
vigueur et joie. Maintenant, marquise, je pourrai marcher, causer et
même écrire longtemps.
—Le vin vous fait donc du bien, repris-je toujours étonnée.
—On m'a calomnié sur l'abus prétendu que j'en fais, répliqua-t-il;
mais si jamais, marquise, vous étiez mourante ou désespérée, vous
verriez quelle force y trouve le corps; quels enchantements et quel
oubli l'esprit peut y puiser.
—Horreur! lui dis-je en riant, jamais je ne souillerai mes lèvres à
cette liqueur aux parfums âcres. Parlez-moi de l'arôme du citron et
de l'orange! Je me souviens encore que lorsque les larges pieds des
vignerons foulaient la vendange au château de mon père, je fuyais
épouvantée de la senteur des cuves, et que j'allais bien loin
m'asseoir sur quelque hauteur pour respirer le vent du ciel.
—Avec vos cheveux que le soleil empourpre et doré en ce moment
vous eussiez pourtant fait une fort belle Érigone, reprit-il galamment.
Croyez-moi, votre dédain pour le breuvage que tous les peuples ont
appelé divin, a quelque chose d'affecté et de maniéré qui n'est pas
digne de vous.
—Mais je n'affecte rien, je vous jure; c'est en moi un instinct de
répulsion, et le jour où cette répugnance cesserait, je vous promets
d'essayer de boire avec vous.
—Oh! reprit-il, quelle bonne femme vous êtes! N'est-ce pas, vous ne
croirez pas ce qu'on vous dira de moi: que je m'abrutis, que je me
jette tête baissée dans cet oubli de l'ivresse? Non, non, je vois
sciemment ce que je fais et ce que je veux quand parfois je
m'abandonne. Chère marquise, si jamais votre cœur est déchiré, ne
regardez pas un homme du peuple ivre, chantant et riant dans sa
misère, cela vous donnerait le vertige et l'envie de l'imiter.
—C'est un expédient aveugle et matériel, lui dis-je; ne peut-on
s'étourdir par l'amour, par le dévouement, par le patriotisme, par la
gloire?
—J'ai essayé de tout, et l'oubli seul est là, répliqua-t-il en frappant la
bouteille du revers de ses doigts blancs et effilés; mais je ne
m'enivre que lorsque je souffre trop et que le désir impérieux
d'oublier la vie me fait envier la mort.
Tout ce qu'il me disait à propos de ce bienfait de l'ivresse dont on
l'accusait d'avoir pris l'habitude me causait une sorte de malaise; je
ne comprenais pas même la force réelle que le vin prêtait à sa santé
défaillante et qui insensiblement en avait fait pour lui une nécessité.
Plus tard, quand ma poitrine malade courba et affaiblit mon corps,
autrefois si robuste, quand le souffle manqua à ma marche, l'air à
ma respiration, l'étreinte à mes mains maigres et amollies,
j'approchai par contrainte de mes lèvres ce breuvage qu'elles avaient
repoussé si longtemps; insensiblement il me ranima, et, s'il avait
vécu encore, lui, mon grand et bien-aimé poëte, je lui aurais
demandé de célébrer en mon honneur les coteaux du Médoc,
comme Anacréon avait chanté les vins de Crète et de Chio.
—Vous aimez la poésie, marquise, et je voudrais, continua Albert,
pour vous faire apprécier celle qu'il y a dans le vin, vous citer tous
les beaux vers par lesquels les grands poëtes de l'antiquité, et les
vrais poëtes modernes l'ont célébré; croyez-bien que tous l'ont aimé,
car on ne parle en poésie que de ce qu'on aime. Mais je deviens
pédant et j'oublie de vous dire que j'ai vu Frémont ce matin, ou
plutôt, j'hésite à vous le dire, car je n'ai pas une bonne nouvelle à
vous donner.
—Je devine; votre éditeur refuse mes traductions.
—Il les a refusées d'un ton qui m'a fait soupçonner un parti pris et
qui pourrait bien me brouiller avec lui, répliqua Albert.
—Je vois en ceci une vengeance de Duchemin, lui dis-je, il vous a
prévenu auprès de Frémont et l'a mal disposé pour moi. Ce n'est
donc pas à votre libraire que j'en veux, mais à cet affreux satyre.
—Du reste, marquise, je vous trouverai un autre éditeur.
—Merci, répondis-je en lui tendant la main, mais laissez-moi goûter
votre première visite sans vous fatiguer de cette affaire.
En ce moment une petite main gratta à la porte de mon cabinet et la
poussa doucement; c'était mon fils qui ne me voyant plus à la
fenêtre s'était ennuyé de son jeu et revenait vers moi. Les enfants
veulent toujours avoir un compagnon ou un spectateur dans leurs
amusements; c'est le prélude de la sympathie et de la vanité
humaines.
—Oh! je pensais bien que tu avais une visite, me dit mon fils en
m'embrassant; mais je ne connais pas ce monsieur, ajouta-t-il en
regardant Albert.
—Voulez-vous me connaître et m'aimer un peu, lui dit Albert en
l'attirant vers lui.
—Oui, vous me plaisez beaucoup.
—Vous êtes privilégié, dis-je à Albert, car ce terrible enfant n'aime
guère ceux de vos confrères qui sont mes amis.
—J'aime René, parce qu'il est bon pour toi et qu'il me caresse, me
répondit l'enfant, mais les autres ne parlent jamais que d'eux et me
renvoient quand ils sont là.
—Et moi pourquoi m'aimez-vous? lui dit Albert.
—Parce que votre figure est si triste et si pâle que vous me rappelez
mon père quand il allait mourir.
Et, en prononçant ces mots l'enfant s'assit sur les genoux d'Albert et
l'embrassa.
—Puisque vous m'aimez un peu, demandez donc à votre maman
qu'elle ne nous refuse pas à vous et à moi un grand plaisir.
—Et lequel? reprit mon fils.
—Voyez cette belle carte, répliqua Albert, en tirant de sa poche un
carré de carton rose, elle nous ouvrira toutes les serres et toutes les
galeries de la ménagerie du Jardin des Plantes. J'ai une voiture en
bas et si votre maman veut bien y monter avec nous, avant un quart
d'heure nous serons arrivés.
—Oh! ma petite mère, ne refuse pas, dit l'enfant on m'entourant de
ses bras; quel bonheur de voir tous ces animaux féroces qui font
peur!
—Et, par ce beau soleil, tous les beaux oiseaux au plumage
étincelant, ajouta Albert.
—Oh! oh! partons, partons vite, s'écria l'enfant en frappant des
pieds.
—Ne le privez pas de cette grande joie, me dit Albert avec un bon
sourire.
—Je le veux, je le veux; dis oui, répétait l'enfant en me tirant par ma
jupe.
—Il faut bien obéir, répliquai-je en riant, mais convenez, M. de
Lincel, que nous allons un peu vite sur le chemin de l'amitié.
—Oh! j'aimerais bien mieux que ce fût sur un autre chemin, dit
Albert en baisant ma main; je me sens disposé, marquise, à devenir
amoureux de vous.
—En ce cas là, je ne sors pas, répliquai-je, car vous m'effrayez.
Et je fis mine de dénouer le chapeau que je venais de mettre.
—Je le veux! je le veux! répétait l'enfant.
—Voyez ce beau soleil qui nous sollicite, ajouta Albert, allons,
marquise, partons vite; j'écris, vous écrivez aussi, voilà notre
confraternité établie.
En disant ces mots, il ouvrit la porte et nous sortîmes; mon fils nous
précédait joyeux. Albert s'appuyait, pour descendre l'escalier, sur
l'épaule robuste de l'enfant et sur sa blonde tête frisée. Je les
suivais, marchant derrière Albert, et le considérant avec tristesse.
Nous montâmes en voiture, Albert s'assit à côté de moi, et l'enfant
devant nous; le soleil se répercutait en plein sur les vitres et
répandait une chaleur de serre.
—Que je suis bien, me disait Albert, il y a longtemps que je n'avais
éprouvé un tel apaisement de toute douleur. On m'a calomnié,
marquise, en me prêtant des passions sans frein; je vous assure qu'il
m'en aurait fallu bien peu pour être heureux; ainsi, en ce moment,
je ne désire rien: ce jour radieux qui me réchauffe, ce bel enfant qui
me regarde, et vous si charmante à voir et si bonne à entendre, me
semblez le souverain bien.
—Je suis toute joyeuse de ce que vous me dites là, répondis-je avec
amitié; vous pourrez donc revenir à une vie naturelle et douce, car
ce qui vous semble en ce moment le bonheur est facile à trouver.
—Et pourquoi ne pas me dire simplement que je l'ai trouvé?
—Je ne vous comprends pas bien, répliquai-je en retirant ma main
qu'il voulait prendre.
—Tenez, marquise, fit-il avec une sorte de colère, vous êtes coquette
comme toutes les autres, et moi je suis un fou incurable de ne
pouvoir me trouver auprès d'une femme quelconque sans que mon
vieux cœur broyé ne s'agite.
Sa bouche, en prononçant ces paroles, eut une expression
d'amertume et de dédain, et il avait laissé, tomber le mot
quelconque avec un accent qui me blessa.
L'enfant nous dit de sa voix perlée:
—Allez-vous donc vous fâcher si vite ensemble! Vous feriez mieux de
regarder comme l'église est belle, là, sur l'eau, tout près de nous.
La voiture avait marché le long des quais, elle venait de dépasser
Notre-Dame dont la grande nef aux arêtes puissantes si finement
sculptées se détachait sur l'azur du ciel comme un grand navire sur
une mer bleue.
—Votre fils sera peut-être un artiste, me dit Albert, il vient d'être
frappé d'une chose vraiment belle que nous ne songions pas à
regarder.
En parlant ainsi il fit arrêter la voiture, baissa la vitre de gauche et
me dit:
—Voyez!
Sa tête se pencha a la portière à côté de la mienne; nous
contemplâmes quelques instants le vaisseau majestueux de la
cathédrale qui semblait suspendu dans l'air; les arbres de l'espèce de
square, qui remplace aujourd'hui l'ancien archevêché saccagé,
étendaient leurs branches dépouillées autour du clocheton gothique.
Ce lieu est charmant le soir, en été, me dit Albert, quand les arbres
sont verts et qu'on remonte le cours de la Seine, couché dans un
bateau; on pense alors à la Esméralda fuyant le sac de Notre-Dame,
et voyant la grandeur et la beauté de l'église sombre à la lueur des
étoiles:
—Quelles pages que cette description du poëte! Oh! c'est un sublime
peintre que Victor, sans compter qu'il est notre plus grand lyrique!
C'était une des qualités attrayantes d'Albert que cette justice qu'il
rendait au génie.
Tandis que nous admirions l'église si bien groupée derrière nous,
l'enfant s'était agenouillé sur la banquette, avait baissé la glace de
devant, et tirant l'habit du cocher il lui criait:
—Marchez! marchez! nous arriverons trop tard pour voir les
animaux.
La voiture se remit en route et nous nous trouvâmes en quelques
secondes à la porte du jardin des Plantes.
Une foule d'enfants la franchissaient avec leurs mères ou leurs
bonnes, leurs pères ou leurs précepteurs; la plupart s'arrêtaient
d'abord devant les petites boutiques de gâteaux, d'oranges, de sucre
d'orge et de liqueurs adossées de chaque côté de la grille extérieure;
les marchandes attiraient les enfants en leur criant:
—Venez vous fournir, mes petits messieurs et mes belles
demoiselles!
Albert dit à mon fils:
—Il faut faire aussi notre provision de brioches pour les ours, les
girafes et les éléphants.
Et il se mit à remplir les poches et le chapeau de l'enfant de
pâtisseries et de bonbons.
—Vous pouvez y goûter d'abord mon petit ours bien léché.
Et, comme pour engager mon fils, Albert se fit servir un verre
d'absinthe qu'il avala.
—Oh! poëte! cela se peut-il? m'écriai-je.
—Marquise, reprit-il gaiement, je me donne des jambes pour vous
accompagner dans les galeries, dans les allées et dans les serres, et
vous m'eussiez montré un bon cœur et un esprit sans préjugé en n'y
prenant pas garde.
—Mais c'est que je sens que cela vous fait mal.
—Les fumeurs d'opium que l'on sèvre trop vite, meurent tout à coup,
répliqua-t-il.
Tandis qu'il parlait, un peu de sang rose affluait vers ses joues et en
colorait l'effrayante pâleur; ses yeux étaient vifs, l'air pur du jour
animait tout son visage, et la brise des grands arbres agitait sur son
front inspiré ses boucles blondes; en ce moment il était encore très-
beau et sa jeunesse semblait revenue.
—Je me suis souvent promené ici avec Cuvier, reprit-il, je vous
montrerai bientôt son habitation. Son traité de la formation du globe
m'a fait rêver d'un poème où auraient figuré des personnages
d'avant notre race. Vous sentez quelle fantaisie on pourrait répandre
sur des êtres et sur un temps qui n'ont pas d'historiens!
—Oh! je vous en supplie, écrivez ce poème, lui dis-je, voilà si
longtemps que vous n'avez rien fait.
—Écrire encore! et à quoi bon? dit-il avec un éclat de rire.
—Mais ce serait une noble distraction.
—Oh! tenez, j'aime mieux l'amusement que se donne en cet instant
votre fils en jetant des gâteaux aux ours.
Et, s'avançant près de l'enfant, il prit dans son chapeau un gâteau
qu'il lança par morceaux aux lourdes bêtes pantelantes.
Après avoir régalé les ours, mon fils voulut faire visite aux singes;
mais il me vit une si grande répulsion pour les gambades impures et
pour les grimaces humaines de ces animaux, qu'il dit tout à coup à
Albert qui riait de mon malaise:
—Éloignons-nous puisque maman a peur.
Il prenait mon dégoût pour de l'effroi.
—Allons voir des bêtes plus nobles et vraiment bêtes, dis-je à Albert,
malgré moi les singes me font l'effet d'une ébauche informe de
l'homme.
Nous passâmes dans le bâtiment circulaire où s'abritent les rennes,
les antilopes, les girafes et les éléphants. Albert était tout joyeux et
redevenait enfant lui-même en voyant la joie de mon fils, tandis
qu'un énorme éléphant enlevait avec sa trompe les gâteaux que lui
tendait sa petite main; puis vint le tour des girafes qui abaissaient
jusqu'à l'enfant leur long cou flexible et onduleux, le sollicitaient d'un
regard de leurs grands yeux si doux, et lui tiraient leur langue noire
pour recevoir leur part du festin. Un des gardiens plaça mon fils sur
un magnifique renne, à l'allure élégante et rapide, qui s'élança
aussitôt autour de l'énorme pilier servant d'appui à l'édifice. L'enfant
riait aux éclats, le gardien le tenait d'un bras ferme fixé à l'animal et
le suivait au pas de course. Le jeu était sans danger, je rejoignis
Albert qui m'appelait pour me montrer une svelte et belle antilope
dont les yeux semblaient nous regarder.
—Voyez, me dit Albert, comme elle s'occupe de nous! ne dirait-on
pas qu'elle pense et qu'elle nous parle à sa manière avec ses
ondulations de tête. Que ses yeux sont vifs et pénétrants! Je trouve,
marquise, qu'ils ressemblent aux vôtres.
—Mais ils sont noirs, répliquai-je.
—Et les vôtres sont d'un bleu sombre, ce qui produit dans le regard
la même expression.
Il se mit alors à caresser l'antilope, à la baiser au front et sur le cou
et il lui disait, tandis que la jolie bête le considérait de ses yeux
grands ouverts:
—Tu caches peut-être l'âme d'une femme; je n'oublierai jamais ma
belle, de quelle façon tu m'as regardé!
Le gardien avait fait descendre mon fils de sa monture et nous avait
prévenus que c'était l'heure du repas des animaux féroces. Nous
nous rendîmes dans la longue galerie où étaient enfermés les tigres,
les lions et les panthères, dont les rugissements terribles se faisaient
entendre au dehors; une odeur âcre et fauve remplissait cette
galerie très-chaude. On se sentait pris à la gorge et comme étouffé
en y pénétrant. La pâleur d'Albert s'empourpra subitement, et ses
yeux brillèrent d'un feu étrange. Cet air lourd et malsain lui portait à
la tête, et lui causait une sorte de vertige. D'abord je n'y prit pas
garde, occupée à éloigner mon fils des barreaux de fer, et à
contempler la magnifique posture de deux tigres, allongés et
tranquilles, qui, tout à coup, s'élancèrent d'un bond furieux sur les
tronçons de viandes saignantes qu'on venait de leur jeter. Albert
nous suivait à distance et sans me parler. Il semblait ne rien voir et
ne rien entendre. On l'eût dit absorbé par une vision intérieure.
Je m'étais arrêtée devant la cage d'un colossal lion du Sahara, arrivé
depuis peu de nos colonies africaines. La superbe bête, reposait
majestueusement, la tête appuyée sur ses deux pattes de devant,
dont les ongles recourbés se dissimulaient sous de longs poils roux.
Ses yeux ronds nous regardaient sans méchanceté, il se leva
lentement et comme pour nous faire fête; il secoua contre les
barreaux sa vaste crinière dorée, elle était si soyeuse et si brillante
qu'elle attirait involontairement le toucher. Quelques touffes
passaient en dehors et, oubliant mes recommandations à mon fils,
d'un mouvement machinal j'y portai la main. Le lion poussa un
rugissement formidable; l'enfant cria plein de terreur et Albert qui
s'était précipité vers moi, saisit ma main dégantée dans les siennes,
la porta à ses lèvres et la couvrit de baisers frénétiques.
—Malheureuse! me dit-il avec une exaltation effrayante, vous voulez
donc mourir! vous voulez donc que je vous voie là, sanglante, en
lambeaux, la tête ouverte, les cheveux détachés du crâne et n'étant
plus qu'une chose sans forme et sans beauté, comme les corps
dissous dans un cimetière!
En parlant ainsi, il m'avait saisie dans ses bras, et malgré sa
faiblesse il m'emportait, en courant, hors de la galerie; mon fils nous
suivait en criant toujours. Les gardiens nous regardaient étonnés et
pensaient que j'étais évanouie. Arrivés dans une salle voisine où
étaient enfermés des animaux moins redoutables, je me dégageai
des bras d'Albert, et je m'assis sur un banc; mon fils se précipita sur
mes genoux, et suspendu à mon cou, il m'embrassait en pleurant.
—Vois donc, je n'ai aucun mal, lui dis-je; puis, me tournant vers
Albert, dont l'angoisse était visible:—Mais qu'avez-vous donc, mon
Dieu! vous m'avez effrayée plus que le lion.
Il me regardait sans parler et avec une fixité qui me troublait. Tout à
coup, il saisit brusquement mon fils par l'épaule et le détacha de
moi.
—Sortons, me dit-il, et prenant mon bras sous le sien, il ajouta: vous
voyez bien que ces caresses me font mal.
Je feignis de ne pas l'entendre.
L'enfant lui dit:
—Vous êtes méchant et je ne vous aimerai plus.
Mais bientôt nous nous trouvâmes dans l'allée des vastes volières:
les tourterelles, les perroquets, les pintades, les hérons, lissaient au
soleil leurs plumes lustrées; les paons, en faisant la roue, jetaient
dans l'air des glapissements d'orgueil satisfait; les perruches qui
jasaient semblaient leur répondre en se moquant. Les autruches
secouaient leurs longues ailes en éventail, la lumière vive filtrait à
travers les rameaux dépouillés des arbres, et projetait sur le sable
des ombres dentelées. Insensiblement la sérénité riante du jour
nous ressaisit tous les trois et effaça le souvenir de ce qui venait de
se passer.
—Réconcilions-nous, dit Albert à mon fils, en lui donnant la main, je
vais vous conduire sous le cèdre manger du plaisir.
Nous fîmes une halte sous l'arbre centenaire, que Jussieu a planté et
que Linnée a touché de ses mains, mais bientôt le babil des bonnes
d'enfants, les rumeurs des marmots et les cris de la marchande de
plaisirs fatiguèrent Albert et irritèrent ses nerfs.
—Allons nous asseoir dans les serres, me dit-il, nous y serons seuls,
car l'entrée est interdite au public.
Je ne voulus pas refuser, j'aurais eu l'air de craindre et par le fait je
ne craignais rien; j'avais pour sauvegarde l'amour, l'amour éloigné
mais toujours présent.
Nous entrâmes dans la grande serre carrée toute remplie de plantes
et de fleurs des tropiques. J'éprouvais un bien-être infini à respirer
cette atmosphère tiède et embaumée. Nous nous assîmes vis-à-vis
du bassin limpide d'où surgissait, telle qu'une naïade, une statue de
marbre blanc; ses pieds étaient caressés par les nymphéas en fleurs
flottant à la surface de l'eau, tandis que sa tête se déployait à l'abri
des bananiers aux larges feuilles et des magnolias fleuris.
—Que c'est beau, disait mon fils, ravi de cet aspect des plantes
inconnues tout nouveau pour lui. Que cela sent bon! je dormirais
bien sur cette mousse chaude comme dans mon lit, ajouta-t-il, en
s'étendant au bord du bassin; mais j'ai faim et j'ai donné tous mes
gâteaux aux animaux.
Albert alla parler à l'homme qui nous avait ouvert la porte de la
serre, et je l'entendis qui lui disait:
—Prenez ma voiture, vous irez plus vite.
Il revint s'asseoir auprès de moi, tandis que mon fils étendu sur
l'herbe, d'abord silencieux et en repos, finit par s'endormir.
—N'êtes-vous pas fatigué, dis-je à Albert, dont la pâleur avait
reparu.
—Question maternelle ou fraternelle, répliqua-t-il d'un ton railleur,
soyez donc un peu moins bonne et un peu plus tendre, marquise.
—La bonté et la tendresse ne s'excluent pas, lui dis-je, voyez plutôt
dans l'amour d'une mère.
—Oh! nous y voilà; nous retombons encore dans le même ordre
d'idées, la maternité et la fraternité, c'est le jargon actuel des
femmes du monde; cela leur sert de coquetterie décente quand elles
ne veulent pas comprendre ou qu'elles n'aiment plus.
—Dans cette hypothèse ce jargon m'est inutile, et partant étranger,
lui dis-je, car notre connaissance est de trop fraîche date pour que
j'aie encore songé à la resserrer ou à la dénouer.
—C'est franc, du moins et j'aime mieux ceci qu'un détour. Ainsi donc,
si vous ne me revoyiez jamais, ce serait sans regret?
—Non certes, lui dis-je, car vous n'êtes pas de ceux qu'on oublie.
—Merci, répliqua-t-il, en me serrant la main; ceci me suffit pour le
moment, parlons d'autre chose pour ne pas gâter ces mots-là. Plus
je vous regarde, ajouta-t-il, plus je vous trouve les yeux de
l'antilope; si je le pouvais, j'emporterais cette charmante bête chez
moi; elle remplacerait mon chien qui jappe et que je n'aime plus.
Serait-elle gracieuse là couchée près de votre fils et le caressant
comme vous le caressiez tout à l'heure quand vous m'avez inspiré un
mouvement féroce. J'avais eu pour vous peur du lion, et une minute
après j'aurais voulu être moi-même le lion; vous emporter dans mes
griffes et vous dévorer.
—Sont-ce ces arbres et ces lianes formant autour de nous une
espèce de jungle qui vous inspirent ces idées carnassières, lui dis-je
en riant; tâchons d'être sérieux, et dites-moi plutôt les noms de
toutes ces plantes.
—Me prenez-vous pour un professeur du jardin des Plantes,
répliqua-t-il d'un ton railleur. M. de Humboldt avec qui je suis venu
ici il y a un an, m'a bien dit les noms en us de tous ces arbustes
enchevêtrés; mais c'est tout au plus si j'en ai retenu deux ou trois;
j'ai mieux aimé me pénétrer de la saveur des dissertations
ingénieuses, si neuves et si pleines d'images du savant inspiré. Ce
qu'il y a de merveilleux dans ces grands génies allemands, c'est
l'étendue et la diversité de leurs aptitudes; ils participent de l'âme
universelle et parfois on dirait qu'ils l'absorbent en eux; c'est ainsi
que le poëte Gœthe s'assimile la science et la revêt de son génie,
tandis que le savant Humboldt emprunte à la poésie une grandeur
dont il pare son savoir.
—En France, nous restons parqués dans nos facultés distinctes; un
savant est un pédant; un poëte est un ignorant ou à peu près, nos
musiciens et nos peintres sont illettrés. L'Allemagne semble avoir
hérité de l'intelligence synthétique de la Grèce qui voulait que le
génie embrassât toutes les connaissances de l'humanité. M. de
Humboldt est un de ces esprits dont la manifestation se produit sur
tous les sujets, avec cette facilité divine qui caractérisait les demi-
dieux de l'antiquité. Je n'oublierai de ma vie tout ce qu'il a répandu
d'éloquence et de verve devant moi à cette même place où nous
sommes assis. Ne l'avez-vous jamais entendu, marquise?
—Je l'ai rencontré, répliquai-je, dans le salon du peintre Gérard, de
cet homme à l'esprit incisif dont la causerie valait mieux que les
tableaux; M. de Humboldt me prit un soir en amitié et écrivit pour
moi sur une large page de vélin, un passage inédit de son Cosmos
auquel il ajouta une aimable dédicace; c'est aussi chez Gérard,
poursuivis-je, que j'ai connu Balzac. L'aimez-vous et qu'en pensez-
vous?
—Oh! celui-là, reprit-il, était d'une grande force; son génie était bien
caractérisé par sa puissante et lourde encolure de taureau; ses
créations sont parfois abondantes et plantureuses à s'étouffer elles-
mêmes. On voudrait les dégager en les élaguant çà et là, mais peut-
être les gâterait-on, comme si on essayait de tailler symétriquement
ces arbres entremêlés qui nous prêtent leur ombre. Le beau, radieux
et toujours noble, suivant l'acception antique, ne convient guère, je
crois, qu'à la poésie; la prose a des allures plus émancipées et plus
familières; elle se mêle à tout et se permet tout; c'est là l'échec du
goût qui est le raffinement suprême du génie: Le goût de Balzac ne
me semble pas toujours très-pur; pas plus que ses caractères, et
surtout ceux de ses femmes du grand monde ne me paraissent
toujours vrais. Il outre la nature et il la boursoufle quelquefois.
L'océan profond a des écumes visqueuses; les métaux en fusion
produisent des scories.
Tandis que nous causions de la sorte l'homme qu'Albert avait
envoyé, je ne sais où, revint dans la serre tenant un plateau d'argent
sur lequel étaient des glaces, des fruits confits, des gâteaux et un
flacon de rhum.
Mon fils s'éveilla au cliquetis du plateau qui passait devant lui et il
accourut vers nous alléché et ravi par ces friandises; je remerciai
Albert de son attention et je l'engageai à goûter aux sorbets et aux
fruits.
—Manger est une fatigue qui m'est souvent insupportable, me
répondit-il; quand j'ai dîné la veille, je ne suis jamais sûr de déjeuner
le lendemain; laissez-moi donc me soutenir à ma guise et sans vous
inquiéter de mon régime; en parlant ainsi il but deux petits verres de
rhum. Je n'osai rien lui dire, mais je redoutai que sa tête ne
s'enflammât de nouveau.
—L'air de la serre me fatigue, repris-je en me levant, regagnons l'air
froid et vivifiant du jardin.
—Nous étions pourtant bien ici, répliqua Albert.
—Oh! pour cela, oui, ajouta mon fils, et cette fois c'est maman qui a
tort; elle vous empêche de boire et moi de manger.
Je les pris tous deux par la main et les entraînant vers la porte je
leur dis: vous êtes deux enfants! Nous traversâmes rapidement le
jardin, mon fils se remit à courir devant nous; je m'appuyai à peine
sur le bras d'Albert qui chancelait presque; il ne me parlait pas et
retombait dans son humeur sombre; cependant quand nous fûmes
remontés en voiture sa gaieté lui revint tout à coup; il me proposa
de traverser le pont d'Austerlitz, de faire le tour de l'Arsenal, vide
aujourd'hui de ses hôtes poétiques d'autrefois, puis de rentrer chez
moi par les boulevards, la rue Royale et le pont de la Chambre, ou
ce qui serait bien mieux, ajouta-t-il, d'aller dîner dans quelque
cabaret des Champs-Élysées.
—Voyons, marquise, il le faut, je le veux, cela nous amusera,
poursuivit-il avec cette insistance capricieuse et juvénile qui était un
des charmes de sa nature.
—Oh! pour cela non, répliquai-je, je refuse, je m'insurge, et si vous
voulez dîner absolument avec moi, ce sera chez moi que vous
dînerez.
—J'accepte, me dit-il, mais à condition qu'une autre fois je serai
l'amphitryon.
—Que dirait notre ami René, s'il nous voyait ainsi passer toute une
journée ensemble?
—Ma foi, j'y pense, reprit Albert, si nous allions le chercher ce bon
René dans sa retraite d'Auteuil pour dîner avec nous?
—Y songez-vous! De la sorte, vous pourriez me conduire jusqu'à
Versailles; oh! comme vous y allez, poëte!
—Je vais comme l'inspiration et l'instinct, je suis mon cœur qui me
pousse. Avez-vous donc, marquise, quelque amoureux qui vous
attende ce soir pour vouloir rentrer si vite?
—Vous voyez bien que non, puisque je vous engage à dîner.
—Ainsi donc, vrai, vous êtes libre?
—Libre comme le travail et la pauvreté.
—Ce qui signifie d'ordinaire l'esclavage, répliqua-t-il.
—Non, repartis-je, le monde ne s'occupe guère que des riches et des
oisifs, et laisse aux autres leurs coudées franches dans la tristesse et
la solitude.
—Oh! si vous étiez tout à fait libre, répétait-il, que ce serait bon!
mais bah, vous me trompez!
Je ne savais plus que lui répondre et nous nous mîmes à jouer assez
gaiement sur les mots jusque chez moi. Parvenue au bas de mon
escalier, je le montai précipitamment pour ordonner à ma vieille
Marguerite d'aller chercher un poulet et du vin de Bordeaux. Albert
et mon fils me suivaient plus lentement; quand ils arrivèrent je
m'étais déjà débarrassée de mon chapeau et de mon châle, j'avais
noué un tablier blanc autour de ma taille et je me disposais à aider
au dîner.
—Allez vous reposer dans mon cabinet, dis-je à Albert, feuilletez les
livres et les albums, et, si vous voulez être bien aimable, faites-moi
un de ces dessins à la plume que vous faites si bien, le croquis du
beau lion du Sahara qui vous a tant effrayé!
—Jamais, répliqua Albert; vous êtes comme les autres; vous voulez
que je note mes angoisses pour les constater froidement; je reste ici
avec vous et je vais vous aider à faire la cuisine.
Cette idée me fit rire.
—Oh! vous croyez que je ne m'y entends pas; voyons, qu'ordonnez-
vous, quel mets allez-vous préparer?
—Un plat sucré, lui dis-je, des poires meringuées, et, puisque vous
le voulez absolument, vous allez battre des blancs d'œufs.
—C'est cela, me voilà prêt.
Il s'était emparé d'une serviette et l'avait liée gaiement sur les
basques de son habit noir.
—Que je vous donne du moins un vase élégant et digne de vous, ô
poëte. Je lui tendis une écuelle en vrai Sèvres, qui avait appartenu à
ma mère, et une fourchette en ivoire, et le voilà fouettant auprès de
la fenêtre les blancs d'œufs qui, bientôt, montèrent en neige sous
les coups de sa main nerveuse. Il fallut aussi occuper l'enfant: je pris
sur une étagère quelques belles poires et les lui donnai à peler; en
un instant mon plat sucré fut dressé, et, quand Marguerite arriva,
elle n'avait plus qu'à le mettre sur le feu.
Albert et mon fils m'aidèrent ensuite à disposer le couvert.
—Tout ceci me rappelle ma vie d'étudiant, dit Albert; depuis
longtemps je ne m'étais senti si heureux, et moi, qui ne mange plus,
il me semble avoir ce soir une faim dévorante.
Cependant quand nous nous mimes à table, il mangea à peine un
peu de blanc de poulet, et goûta, par courtoisie, du bout des lèvres,
à mes poires meringuées; à ma grande surprise il ne but que de
l'eau rougie. Me voyant en peine de sa santé, il redoubla de gaieté
et d'esprit pour me convaincre qu'il se portait à merveille. Après le
dîner, il se mit à jouer avec mon fils comme un écolier. Cependant
l'enfant, fatigué de sa journée passée en plein air, commença à
s'endormir vers dix heures, et Marguerite l'emporta; je restai seule
avec Albert, éprouvant moi-même un peu de lassitude. J'étais assise
immobile sur un grand fauteuil, Albert, placé en face de moi, au coin
du feu, roulait dans ses doigts une cigarette que je lui avais permis
de fumer.
Nous ne nous parlions pas, et insensiblement j'oubliai presque qu'il
était là; une autre image prenait sa place et se dressait jeune,
souriante et aimée, vis-à-vis de moi; machinalement, je me courbai
vers la table où j'écrivais chaque soir; je pris une plume et je touchai
un cahier de papier à lettre; c'était l'heure où j'écrivais à Léonce, et
l'habitude de mon cœur était si impérieuse, que, même au théâtre
ou dans le monde, où je n'allais plus que rarement, lorsque l'heure
de ma lettre quotidienne arrivait, je sentais une vive contrariété de
ne pouvoir l'écrire.
—Vous avez affaire et je vous gêne, me dit Albert, qui s'était aperçu
de la rêverie où j'étais tombée et qui suivait du regard tous mes
mouvements.
Sa voix me fit tressaillir et me rappela sa présence. Je rougis si
visiblement qu'Albert reprit comme s'il m'avait devinée:
—Vous pensez à un absent.
—Je suis un peu lasse de cette bonne journée, lui dis-je, sans lui
répondre directement.
—Ce qui m'avertit que je dois me retirer, répliqua-t-il sans se lever.
Oh! marquise, vous ne savez pas où vous m'envoyez!
—Mais dormir tranquillement, j'espère.
—Tranquillement! vous me répondez comme une coquette, car, à
votre âge on n'est plus naïve; si vous voulez que je sois tranquille
laissez-moi là encore deux ou trois heures; qu'est-ce que cela vous
fait?
Il était si pâle et si défait que je n'eus pas le courage de le
contrarier; puis, malgré ma préoccupation secrète, j'éprouvais un
grand charme dans sa compagnie.
—Si cela vous paraît bon, lui dis-je, restez encore.
Il me prit la main et la garda dans les siennes, en me disant merci!
Nous étions éclairés par une lampe aux lueurs pâles, recouverte d'un
abat-jour rose; la lune, dans son plein, était suspendue en face de
ma fenêtre et projetait son éclat à travers les vitres; aucun bruit du
dehors ne montait jusqu'à nous. Un grand feu flambait dans la
cheminée; c'était un mélange de chaleur et de clarté douces, qui
inspiraient comme une mollesse et une rêverie involontaires; il tenait
toujours ma main et demeurait tellement immobile que, sans ses
yeux grands ouverts, j'aurais pu croire qu'il dormait. Je n'osais faire
un mouvement dans la crainte d'attirer sur ses lèvres quelque parole
trop vive. J'éprouvais un grand malaise du silence que nous gardions
tous deux, et cependant je ne savais plus comment le rompre. Enfin,
je me décidai à lui dire que j'espérais qu'il me reviendrait, un soir où
j'aurais Duverger, Albert de Germiny et René.
—Oui! répondit-il, si vous me permettez de revenir tous les autres
soirs quand vous serez seule? Sinon, non.—Et il secouait ma main en
me répétant: Voyez-vous, je ne veux plus souffrir!
—Quelle âme tourmentée avez-vous donc, lui dis-je, pour me parler
ainsi le second jour où vous me voyez? J'avais cru être avec vous
cordiale et simple, je n'ajouterai pas fraternelle puisque le mot vous
déplaît.
—Et la chose encore plus, répliqua-t-il.
Il s'assit sur le tapis de foyer à mes pieds, et continuant à tenir ma
main il poursuivit:
—Si vous me laissiez là oublier les heures, la tête appuyée sur vos
genoux sans vous parler, sans vous demander rien de plus, mais
certain que je pourrai tout vous demander un jour, que je suis le
préféré, l'attendu, qu'avant moi vous n'aviez que des amis, que la
place était vide et que je puis la remplir; que vous m'aimerez enfin,
quoique je ne sois plus que l'ombre de moi-même et que le passé
m'ait submergé.
Je me levai tout à coup et, par ce mouvement, je repoussai sa tête
et ses mains.
—Vous altérez trop vite, repris-je, la douce joie que j'ai goûtée à
vous connaître; vous troublez l'amitié, vous voulez dans mon cœur
une place à part, vous l'avez dans mon admiration cette place
choisie et presque exclusive, et cela vous explique le charme qui
suspend mon esprit au vôtre, mais pour l'autre attrait, celui qui
foudroie, entraîne et confond, je...
—N'achevez pas, marquise, je comprends; cet attrait-là vous l'avez
pour un autre. Mais comment donc n'est-il pas là? Et comment y
suis-je, moi! Ah! je devine, il est peut-être dans votre chambre
attendant tranquillement que je vous aie donné le spectacle de mon
esprit.
En me disant ces mots d'une voix mordante, il alluma une cigarette,
prit son chapeau et, me saluant presque cérémonieusement, il se
disposa à sortir.
—J'ignore, lui dis-je, quelle interprétation vous donnerez à ce que je
vais faire, mais suivez-moi; et prenant un bougeoir, je le conduisis
dans ma chambre où mon fils dormait.
—Voilà qui veille sur moi et qui m'attend, ajoutai-je en lui montrant
le petit lit de l'enfant.
—Eh bien! alors, aimez-moi et sauvez-moi de la vie que je mène,
s'écria-t-il en s'emparant de mon bras qu'il étreignait; il en est peut-
être encore temps, vous me guérirez!
—Restons-en sur ce mot là, lui dis-je, oui, je veux vous guérir, vous
voir, vous entendre, raffermir votre âme, mais n'ayez plus de ces
élans auxquels je ne peux répondre et qui nous sépareraient, ce qui
pour moi serait une douleur.
—Suis-je bête, dit-il en ricanant et en s'éloignant de moi; vous n'êtes
pourtant point taillée comme une femme mystique, et si l'amant
n'est pas dans la chambre il est à coup sûr dans le cabinet de
toilette.
D'un geste, je lui montrai la porte en lui disant:
—Bonsoir, M. de Lincel.
—Bonne nuit, marquise; je vais me divertir un peu à mon tour;
souper et voir quelque belle femme qui ne me fera pas de
métaphysique.
Je ne trouvai pas un mot à lui répondre; des paroles de morale
m'eussent paru froides et superflues; un démenti m'aurait semblé
hypocrite; il avait deviné que j'en aimais un autre; éloigné ou
présent, cet autre existait et m'avait tout entière. Je marchai donc
silencieuse, derrière lui, l'éclairant jusqu'à la porte de sortie. Là, je
lui tendis la main:
—Non, me dit-il en la repoussant, car avant une heure ce seront des
mains banales qui m'enlaceront.
Il descendit l'escalier précipitamment et en chantant un refrain
moqueur. Je l'entendis fermer la porte cochère avec fracas.
Je restai quelques instants comme pétrifiée; mais que pourrais-je
donc faire pour lui? me demandai-je.—Bien, me répondit la voix
d'une inflexible logique, puisque tu ne l'aimes pas d'amour. Il court
en ce moment au cabaret, puis ailleurs, et, pour le sauver, il faudrait
lui ouvrir les bras, et lui dire: Reste ici, tu seras mieux.
Quand je me retrouvai assise dans mon cabinet, prenant la plume
pour écrire à Léonce, sa belle et chère image agrandie par la
solitude dans laquelle il vivait, chassa bien vite de son regard calme
l'image agitée d'Albert. Il n'avait pas, lui, de ces inquiétude, et de
ces transports d'enfant, l'amour l'éclairait sans le brûler; c'était la
lampe de son travail nocturne; la récompense de sa tâche
accomplie. Oh! voilà le véritable amour, me disais-je: fort, radieux,
certain de lui-même, et persistant sans altération, à distance de
l'être aimé!
C'est ainsi que dans l'excès de mon amour, je blasphémai l'amour
même: l'amour exigeant, fantasque, anxieux, emporté, tel qu'Albert
l'avait ressenti dans sa jeunesse, et dont l'écho se réveillait en lui.
Est-ce que l'amour véritable peut être tranquille, résigné, exempt de
désir? Impétueux seulement dans certains jours de l'année et
relégué le reste du temps dans une case du cerveau? Ô pauvre
Albert, dans ta folie apparente c'est toi qui aimais, toi qui étais
l'inspiré de la vie! L'autre, là-bas, loin de moi, dans son orgueil
laborieux et l'analyse éternelle de lui-même, il n'aimait point; l'amour
n'était pour lui qu'une dissertation, qu'une lettre morte!
 VII

J'avais passé une partie de la nuit à écrire à Léonce le récit de cette

étrange journée.—Il me répondit bien vite que je m'effrayais trop de
l'exaltation et de l'inquiétude d'une âme malade; guérir ce grand
esprit tourmenté, si cela était encore possible, serait une tâche assez
belle pour m'y consacrer. Malgré l'amour immense qu'il avait pour
moi, il ne se reconnaissait pas le droit de s'interposer entre les désirs
d'Albert et mon entraînement vers lui si jamais je venais à l'aimer. Le
bonheur d'un homme de la valeur d'Albert imposait tous les
sacrifices, mais ajoutait-il, il ne pensait pas que ce bonheur fût
encore possible; il croyait son être en ruine et son génie écroulé
comme ces merveilleux monuments de l'antiquité qui ne nous
frappent plus que par leurs vestiges.
Ce passage de la lettre de Léonce me causa une profonde tristesse;
à quoi bon exprimer de pareilles idées à une femme aimée? il est
vrai qu'en finissant il ne me parlait plus que de sa tendresse; il me
disait que j'étais sa vie, sa conscience; le prix adoré de son travail; il
songeait à notre prochaine réunion avec transport. La dernière partie
de sa lettre effaça l'impression du début et je ne trouvai plus dans ce
qu'il m'avait dit sur Albert qu'un culte exagéré mais généreux pour
son génie; si ce n'était pas tout à fait là le langage d'un amant,
c'était celui d'un esprit philosophique et vraiment grand.
Cette lettre de Léonce m'était parvenue dans la soirée du lendemain
de la promenade au jardin des Plantes. J'avais craint dans la journée
de voir revenir Albert et le soir quand l'heure possible de sa visite fut
dépassée, j'éprouvai une sorte d'allégement de ce qu'il n'avait pas
paru. Je lus, je fis quelques pages de traduction, j'écrivis de nouveau
à Léonce; je repris l'habitude de mon amour. Ma nuit fut aussi calme
que la dernière avait été agitée. À mon réveil Marguerite me remit
un petit paquet renfermant un livre. C'était un ouvrage d'Albert
accompagné du billet suivant:

«Chère Marquise,
«Beauzonet a relié ce livre et l'a rendu moins indigne d'être ouvert
par vos belles mains. Permettez-vous à l'auteur d'aller vous revoir
avec René? il fait un temps de printemps glacial et je me dis qu'on
serait très-bien au coin de votre feu!
»Recevez, chère marquise, mes affectueux hommages.»

Je ne me décidai pas à lui répondre et à le remercier avant d'avoir

consulté Léonce; mais le soir comme je me disposais à écrire à celui-
ci on sonna à ma porte et ma vieille Marguerite introduisit Albert.
—Vous ne vous doutez pas d'où je viens? me dit-il, ne m'en veuillez
pas si j'arrive seul; j'ai passé cinq à six heures à la recherche de
René; il avait pris la clef des champs. Je me suis déterminé à dîner
dans un cabaret d'Auteuil, pour l'attendre et pour venir chez vous
avec lui; mais j'ai fini par perdre patience et me voilà. Recevez-moi,
marquise, comme si notre ami m'avait accompagné.
—Je ne demande pas mieux, lui dis-je, et je compte sur l'influence
du bon René pour vous inspirer un peu de l'amitié qu'il a pour moi.
J'ajoutai:
—Vous voyez, j'ai là votre beau livre près de moi, combien il m'a fait
plaisir!
—J'ai offert le pareil à ma sœur, reprit-il, et c'est en le lui envoyant
ce matin que j'ai pensé à vous.
Tout ce qu'il me dit ce soir-là semblait tendre à effacer l'impression
pénible qu'avait pu me laisser son ardeur inquiète. Ses manières
furent exquises; mais je remarquai avec chagrin sa faiblesse et sa
pâleur toujours croissantes; ses yeux mêmes, qui, les jours
précédents, éclairaient son visage d'un rayon de vie, paraissaient
désormais éteints. Il se courbait vers la flamme du foyer comme s'il
eût voulu s'y ranimer.
—On prétend, me dit-il, que c'est un signe de mort prochaine que le
retour obstiné de notre esprit aux souvenirs de l'enfance; je ne sais
si le présage s'accomplira pour moi, mais il est certain que depuis
quelque temps, ma pensée revient sans cesse sur les tableaux de
famille et sur les scènes de collège qui ont autrefois ému mon cœur.
Je revois mes camarades de classe; nos jeux, nos études se
raniment pour moi; je revois surtout ceux qui sont morts; quelques-
uns à la guerre, quelques-uns en duel, plusieurs de consomption.
Entre tous m'apparait comme le plus aimable, le plus intelligent et le
plus regretté, ce jeune prince qui fut mon ami et que la destinée a
terrassé tout à coup. Que d'heures charmantes nous passâmes
ensemble dans les cours mornes et nues du collège! On nous avait
surnommés les inséparables. Durant les heures des classes quand
nous ne pouvions pas nous parler, nous trouvions encore le moyen
de nous écrire nos pensées et nos projets pour les jours de sortie.
Souvent il me venait en aide pour des versions de grec, et à mon
tour je lui rendais le même service pour des compositions de vers
français. Voyez, chère marquise, quelle franche et entière
camaraderie se révèle dans ces petits billets signés par le fils d'un
roi!
En me parlant ainsi, il tira de sa poche une large enveloppe
contenant un grand nombre d'étroites bandes de papier-écolier qui,
primitivement repliées en minces carrés, avaient passé de main en
main sous les tables d'études; les élèves transmettaient de la sorte,
d'un bout de la salle à l'autre, les courtes missives du prince au
poëte.
Je lus avec attendrissement quelques-uns de ces petits papiers
jaunis par le temps; ils sont restés dans mon souvenir.

«Si ta maman le permet, écrivait le prince, viens dimanche prochain

à Neuilly, nous nous divertirons bien, nous irons en bateau et nous
ferons une collation avec mes sœurs.»

Sur une autre bande de papier je lus:

«Dis-moi donc si ce vers est juste, je crois que j'ai fait un hiatus; je
ne serai jamais qu'un mauvais versificateur!»

Sur un autre il y avait:

«Je suis désespéré: me voilà en retenue pour huit jours; pas de

goûter à Neuilly possible. Maman n'a pu obtenir mon pardon de mon
père; hélas Son Altesse est inflexible. Encore si toi et les autres amis
pouviez y aller sans moi!»

Puis sur un autre:

«J'aurais bien envie de m'échapper: ma foi si je n'étais pas un aussi

important personnage je tenterais l'aventure. Mais où irais-je? il me
vient une idée: veux-tu me recevoir chez ta mère? nous nous
amuserons sans sortir.»

Pendant que je lisais Albert murmurait:

—Quelle attrayante et quelle gracieuse nature il avait! quelle fatalité
que sa mort! quelle dérision de toute belle espérance! il a emporté
dans sa tombe une partie de mon énergie et de ma volonté; lui
vivant je me serais cru tenu dans la vie à quelque chose de plus
ferme et de plus glorieux. Peu de temps après sa mort sa pauvre
femme qui savait notre amitié m'a envoyé son portrait que vous avez
pu voir chez moi!
Welcome to Our Bookstore - The Ultimate Destination for Book Lovers
Are you passionate about books and eager to explore new worlds of
knowledge? At our website, we offer a vast collection of books that
cater to every interest and age group. From classic literature to
specialized publications, self-help books, and children’s stories, we
have it all! Each book is a gateway to new adventures, helping you
expand your knowledge and nourish your soul
Experience Convenient and Enjoyable Book Shopping Our website is more
than just an online bookstore—it’s a bridge connecting readers to the
timeless values of culture and wisdom. With a sleek and user-friendly
interface and a smart search system, you can find your favorite books
quickly and easily. Enjoy special promotions, fast home delivery, and
a seamless shopping experience that saves you time and enhances your
love for reading.
Let us accompany you on the journey of exploring knowledge and
personal growth!

ebookgate.com