Défense

Surveillance et détection

Même avec pare-feu, segmentation, VPN et MFA, une infrastructure doit être surveillée pour détecter rapidement les activités suspectes.

Pourquoi surveiller

La surveillance permet de :

  • détecter les connexions suspectes
  • identifier les tentatives d'intrusion
  • repérer les comportements anormaux
  • réagir avant qu'un incident ne s'aggrave
  • améliorer la visibilité

SIEM

Un SIEM centralise les journaux de sécurité et corrèle les événements.

Fonctions principales :

  • collecte des logs
  • corrélation
  • détection d'anomalies
  • génération d'alertes
  • investigation
Serveurs
Pare-feu
Applications
Postes utilisateurs


      SIEM


 Alertes & Analyse

EDR

Un EDR surveille les postes et serveurs. Il collecte des informations sur l'activité des machines et permet souvent investigation, isolement et réponse automatisée.

Exemples de capacités :

  • détection de malware
  • analyse comportementale
  • investigation post-incident
  • isolation d'une machine compromise

IDS, IPS, SOC et CSIRT

ÉlémentRôle
IDSDétecte les activités suspectes
IPSPeut bloquer automatiquement certaines attaques
SOCSurveille et analyse les alertes
CSIRT / CERTGère les incidents et coordonne la réponse

Alertes utiles

  • connexion depuis un pays inhabituel
  • multiples échecs d'authentification
  • création d'un compte administrateur
  • désactivation d'un antivirus ou EDR
  • connexion VPN hors horaires habituels
  • modification d'une règle pare-feu
  • transfert inhabituel de données

Bonnes pratiques

  • centraliser les journaux importants
  • synchroniser l'heure avec NTP
  • définir des seuils adaptés
  • prioriser les alertes
  • tester les procédures de réponse
  • conserver les logs selon les besoins légaux
  • documenter les incidents

Qualité d'une alerte

Une bonne alerte doit indiquer :

  • ce qui s'est passé
  • qui est concerné
  • quelle preuve existe
  • pourquoi c'est suspect
  • quelle criticité appliquer
  • quelle action mener

Une alerte vague ou impossible à traiter finit par être ignorée.

Cas d'usage

Construire la surveillance à partir de cas d'usage aide à éviter le bruit.

Exemples :

  • compte admin utilisé depuis un pays inattendu
  • création d'un compte privilégié
  • désactivation d'un agent de sécurité
  • exécution PowerShell suspecte
  • connexion VPN impossible puis réussie
  • modification de règle pare-feu
  • volume DNS anormal

À retenir

La surveillance n'est utile que si elle mène à une action. Collecter sans trier ni répondre crée surtout du bruit.

Précédent
Lire des logs efficacement
Suivant
Threat intelligence