Security Operation Center

REDSUP 2023
 Plan de la Formation
 Vecteurs d’Attaques sur un SI
 Cyber Kill Chain
 Cyber Kill Chain
 C’est Quoi le SOC.
 Que Fait le SOC
 Modèle de SOC
 Composants d’Analyse SOC
 KPIs du SOC
 Compositions du SOC Force Humaine, Outils, Processus.
 Exemples de Processus d’Audit.
 Threat Intelligence MAP
 Outils du SOC (SIEM, SOAR, EDR, XDR, Sandbox, HoneyPot…)
 Collaboration et Périmètre SOC & NOC
 Conclusion
A51

Vecteurs d’Attaques sur un SI

Diapositive 3

A51 Un vecteur d'attaque est une méthode ou une technique utilisée par les cybercriminels pour pénétrer un système
d'information, afin de causer des dommages ou de voler des informations sensibles. Les vecteurs d'attaque peuvent être des
failles de sécurité, des vulnérabilités, des pratiques de sécurité inadéquates, des logiciels malveillants, ou des techniques
d'ingénierie sociale.

Les vecteurs d'attaque sont souvent utilisés en combinaison pour maximiser les chances de succès de l'attaque. Par exemple,
un attaquant peut utiliser une technique d'ingénierie sociale pour obtenir les identifiants d'un utilisateur, puis utiliser ces
informations pour accéder à un système à distance en exploitant une faille de sécurité connue.

La compréhension des différents vecteurs d'attaque et de leurs méthodes est essentielle pour la mise en place de mesures de
sécurité efficaces pour protéger les systèmes d'information. Les organisations doivent constamment évaluer les risques et les
menaces potentielles pour leurs systèmes et mettre en place des contre-mesures pour réduire les risques de cyberattaques.
Administrateur; 30/03/2023
A66

Phishing - Amorçage
Diapositive 4

A66 Les attaques par phishing sont une technique d'ingénierie sociale qui vise à tromper les utilisateurs pour qu'ils divulguent des
informations personnelles et confidentielles, telles que des identifiants de connexion, des numéros de carte de crédit, des
informations bancaires ou des informations de sécurité sociale. Les attaques de phishing peuvent se présenter sous plusieurs
formes, notamment par e-mail, par SMS, par messages instantanés ou par des faux sites web.

L'objectif principal des attaques de phishing est de faire croire à la victime qu'elle communique avec une entité de confiance,
telle qu'une banque, un service de messagerie électronique ou un fournisseur de services en ligne, et de l'inciter à fournir des
informations confidentielles. Les attaquants peuvent utiliser des tactiques telles que la création de sites web de phishing qui
imitent les sites web de services populaires, l'envoi de courriels de phishing qui semblent provenir de sources fiables ou
l'utilisation de messages d'alerte ou de notifications pour inciter les utilisateurs à cliquer sur des liens malveillants.

Pour se protéger contre les attaques de phishing, il est important d'être vigilant et de ne pas fournir d'informations
personnelles ou confidentielles à moins d'être certain que la communication est légitime. Les utilisateurs doivent vérifier les
adresses de courrier électronique et les URL avant de cliquer sur des liens ou de télécharger des fichiers, et doivent éviter de
cliquer sur des liens dans les courriels ou les messages instantanés provenant d'expéditeurs inconnus. Les utilisateurs doivent
également utiliser des logiciels de sécurité et des pare-feux pour bloquer les sites web malveillants et les courriers indésirables,
et doivent signaler toute tentative de phishing aux autorités compétentes. Les entreprises peuvent également mettre en place
des mesures de sécurité, telles que des programmes de sensibilisation à la sécurité, des politiques de sécurité des courriels et
des filtres de courriers indésirables pour aider à protéger leurs employés et leurs clients contre les attaques de phishing.
Administrateur; 31/03/2023
A67

Injection SQL
Diapositive 5

A67 L'injection SQL est une technique d'attaque qui consiste à injecter des instructions SQL malveillantes dans une application web,
dans le but de compromettre la base de données sous-jacente. L'attaque se produit généralement lorsque les entrées
utilisateur ne sont pas correctement validées ou échappées, ce qui permet aux attaquants d'injecter du code malveillant dans
les requêtes SQL.

Les injections SQL peuvent être utilisées pour différentes finalités, comme par exemple récupérer des données sensibles,
modifier ou supprimer des données, ou encore prendre le contrôle total du système. Les attaquants peuvent exploiter les failles
de sécurité dans les applications web, les formulaires de saisie ou les requêtes de recherche pour injecter du code SQL
malveillant.

Pour se protéger contre les attaques d'injection SQL, il est important de mettre en place des mesures de sécurité appropriées.
Les développeurs doivent valider et filtrer les entrées utilisateur pour s'assurer que les données entrées ne contiennent pas de
code malveillant. Les applications web doivent également être configurées de manière à ne pas donner d'informations
sensibles en cas d'erreurs, afin de ne pas fournir aux attaquants des informations exploitables sur la structure de la base de
données.

En outre, les bases de données doivent être correctement configurées et protégées avec des mots de passe forts, des
autorisations d'accès appropriées et des restrictions de réseau pour limiter l'accès aux utilisateurs autorisés. Les audits de
sécurité réguliers peuvent aider à identifier les vulnérabilités potentielles dans les applications web et les bases de données, et
à prendre des mesures préventives pour les corriger. Les outils de détection d'injections SQL peuvent également aider à
identifier les vulnérabilités et à mettre en place des mesures de sécurité adéquates.
Administrateur; 31/03/2023
A65

Cross Site Scripting XSS

Diapositive 6

A65 L'attaque Cross Site Scripting (XSS) est une technique d'attaque qui permet à un attaquant d'injecter du code malveillant dans
une page web, qui sera ensuite exécuté par le navigateur des utilisateurs visitant cette page. L'objectif principal de l'attaque
XSS est de voler des informations confidentielles, telles que des identifiants de connexion ou des informations de carte de
crédit, ou de prendre le contrôle de la session utilisateur.

Il existe deux types d'attaques XSS : l'attaque XSS stockée et l'attaque XSS réfléchie. Dans une attaque XSS stockée, le code
malveillant est injecté dans une base de données ou un serveur web et est affiché sur toutes les pages web qui utilisent ces
données. Dans une attaque XSS réfléchie, le code malveillant est injecté dans une URL ou un formulaire, et est exécuté
lorsqu'un utilisateur visite cette URL ou soumet ce formulaire.

Pour se protéger contre les attaques XSS, il est important de mettre en place des mesures de sécurité telles que la validation
des entrées utilisateur, la désactivation de l'exécution de scripts dans les navigateurs, et la désactivation des fonctionnalités
potentiellement dangereuses telles que l'exécution de code JavaScript ou l'utilisation de balises HTML potentiellement
dangereuses. Les outils de sécurité tels que les pare-feux de sécurité et les filtres de contenu peuvent également aider à
détecter et à bloquer les attaques XSS. Les développeurs de sites web doivent également être conscients des risques d'attaques
XSS et doivent coder leurs applications avec des pratiques de sécurité appropriées, telles que la validation stricte des entrées
utilisateur et la mise en place de restrictions d'accès pour les utilisateurs et les comptes de service.
Administrateur; 31/03/2023
A64

Eavesdropping
Diapositive 7

A64 L'eavesdropping est une technique d'attaque visant à intercepter et à écouter les communications électroniques d'une cible
sans son consentement. L'objectif principal est de collecter des informations sensibles, telles que des informations
d'identification, des informations financières ou des informations commerciales confidentielles.

Il existe plusieurs méthodes courantes d'eavesdropping, notamment :

L'interception de signal : Cette technique consiste à intercepter les signaux électroniques qui transportent les données entre les
périphériques de communication. L'attaquant peut alors écouter et analyser les données pour extraire des informations
sensibles.

L'écoute des conversations : Cette technique implique l'écoute de conversations entre des personnes pour collecter des
informations sensibles. Cela peut être accompli à l'aide de microphones cachés ou d'autres dispositifs d'écoute.

L'espionnage de réseau : Cette technique implique l'installation de logiciels malveillants sur un réseau cible pour intercepter les
données échangées entre les ordinateurs. Les attaquants peuvent également capturer des paquets de données en transit sur le
réseau pour extraire des informations sensibles.

Pour se protéger contre les attaques d'eavesdropping, il est recommandé d'utiliser des techniques de cryptage pour sécuriser
les données échangées entre les périphériques de communication. Les protocoles de sécurité tels que SSL/TLS ou VPN peuvent
aider à crypter les données en transit, ce qui rend plus difficile pour un attaquant d'intercepter et de déchiffrer les données. Les
mesures de sécurité physique telles que l'utilisation de caméras de sécurité, la restriction de l'accès aux zones sensibles et
l'utilisation de dispositifs de détection de bugs peuvent également aider à prévenir l'eavesdropping. Il est également important
de sensibiliser les employés à la sécurité des informations et de leur fournir une formation régulière sur la manière de se
protéger contre les attaques d'eavesdropping.
Administrateur; 31/03/2023
A59

Exploits
Diapositive 8

A59 Les attaques par exploitation de vulnérabilités sont des techniques courantes utilisées par les cybercriminels pour pénétrer un
système d'information. Une vulnérabilité est une faiblesse ou une faille dans un système ou une application qui peut être
exploitée par un attaquant pour causer des dommages ou accéder à des informations sensibles.

Les attaques par exploitation de vulnérabilités peuvent se produire de différentes manières. L'une des méthodes courantes
consiste à utiliser des logiciels malveillants qui exploitent des vulnérabilités connues pour pénétrer un système. Les logiciels
malveillants peuvent être introduits sur un système via des emails de phishing, des sites web malveillants ou des fichiers
téléchargés à partir de sources non fiables.

Une autre méthode consiste à utiliser des outils d'exploitation de vulnérabilités, qui sont conçus pour rechercher et exploiter
des vulnérabilités connues dans les systèmes et les applications. Les attaquants peuvent utiliser ces outils pour identifier les
failles de sécurité dans les systèmes cibles et les exploiter pour accéder aux informations sensibles ou causer des dommages.

Pour se protéger contre les attaques par exploitation de vulnérabilités, les organisations peuvent mettre en place des mesures
de sécurité, telles que des mises à jour régulières des logiciels pour corriger les vulnérabilités connues, des firewalls pour
bloquer le trafic malveillant, des tests de pénétration pour identifier les vulnérabilités, et des processus de validation des
correctifs avant leur déploiement pour éviter les conflits avec d'autres applications ou systèmes. Il est également important de
sensibiliser les employés à la sécurité informatique pour minimiser les risques d'erreur humaine et de faciliter la détection des
activités suspectes.
Administrateur; 31/03/2023
A60

DDoS
Diapositive 9

A60 Une attaque par déni de service distribué (DDoS) est une méthode d'attaque où un attaquant cherche à perturber l'accès à un
service, à un site web ou à une application en inondant le serveur cible de trafic malveillant.

Dans une attaque DDoS, l'attaquant utilise souvent un réseau de machines infectées par des logiciels malveillants, appelées
"botnets", pour inonder le serveur cible avec un grand nombre de demandes de connexion. Cette surcharge de trafic peut
provoquer des temps de réponse très longs, des interruptions de service ou même la mise hors ligne complète du site web ou
de l'application.

Les attaques DDoS sont souvent utilisées comme moyen de chantage ou d'extorsion, où l'attaquant exige un paiement pour
arrêter l'attaque. Les attaques DDoS peuvent également être utilisées pour distraire les défenseurs de sécurité, afin de faciliter
d'autres types d'attaques, telles que des attaques d'injection SQL ou des attaques de phishing.

Pour se protéger contre les attaques DDoS, les organisations peuvent mettre en place des mesures de sécurité telles que des
firewalls pour bloquer le trafic malveillant, des systèmes de détection d'intrusion pour identifier les activités suspectes, des
services de mitigation DDoS pour réduire les effets de l'attaque et des tests de résilience pour tester la capacité de leur système
à résister à une attaque DDoS. Les entreprises peuvent également souscrire à des services de protection DDoS gérés qui offrent
une protection en temps réel contre les attaques DDoS et peuvent aider à atténuer les effets de l'attaque.
Administrateur; 31/03/2023
A68

Malware
Diapositive 10

A68 Les malwares sont des logiciels malveillants qui sont conçus pour endommager, perturber ou prendre le contrôle d'un système
informatique sans le consentement de l'utilisateur. Il existe plusieurs types de malwares, chacun ayant des objectifs et des
caractéristiques spécifiques :

Virus : un virus est un programme qui peut se propager en infectant d'autres fichiers ou programmes sur un ordinateur. Il peut
se propager via des fichiers infectés ou des périphériques de stockage tels que des clés USB.

Cheval de Troie : un cheval de Troie est un programme qui semble inoffensif, mais qui contient du code malveillant qui peut
causer des dommages à un système informatique. Les chevaux de Troie sont souvent utilisés pour créer des portes dérobées
(backdoors) dans les systèmes, permettant à un attaquant de prendre le contrôle à distance.

Vers : un ver informatique est un programme qui se propage rapidement à travers les réseaux informatiques. Contrairement
aux virus, les vers ne nécessitent pas d'être attachés à un fichier existant et peuvent se propager seuls.

Ransomware : un ransomware est un type de logiciel malveillant qui chiffre les fichiers d'un ordinateur et demande une rançon
en échange de la clé de déchiffrement. Les ransomwares sont souvent distribués par le biais de pièces jointes de courrier
électronique ou de sites web malveillants.

Spyware : le spyware est un logiciel malveillant qui s'installe sur un ordinateur sans que l'utilisateur ne le sache. Il surveille
l'activité de l'utilisateur et peut collecter des informations personnelles telles que les mots de passe, les numéros de carte de
crédit ou les informations bancaires.

Pour se protéger contre les malwares, il est important de maintenir à jour les logiciels de sécurité tels que les antivirus et les
pare-feu, de ne pas ouvrir de pièces jointes ou de liens provenant de sources inconnues, et de ne pas télécharger de logiciels à
partir de sites web non fiables. Il est également important de maintenir une sauvegarde régulière des données pour pouvoir les
restaurer en cas de besoin. Enfin, une bonne hygiène de sécurité informatique, comme l'utilisation de mots de passe forts et la
mise à jour régulière des logiciels, peut aider à prévenir les infections par les malwares.
Administrateur; 31/03/2023
A22
A23

Ransomeware
Diapositive 11

A22 Qu'est-ce qu'un Ransomware ?

Le ransomware est un malware, appelé parfois à tort "virus", ou à raison s'il se duplique et propage de lui même, qui a pour but
final de soutirer de l'argent à sa victime. L'infection passe par le téléchargement d'un logiciel malveillant parfois dissimulé dans
la pièce jointe d'un email piégé ou au bout d'un lien. Il peut aussi se diffuser par le biais de pages web piratées qui tentent
d'utiliser les failles des systèmes d'ordinateurs ou des logiciels.

Lorsque le ransomware a pris place sur l'ordinateur (ou le smartphone, dans 20% des cas selon Kaspersky) de sa victime il
applique un blocage du système ou un chiffrement (cryptage) sur les fichiers et dossiers personnels de l'ordinateur de telle
sorte qu'ils deviennent illisibles. Une fois son travail terminé il indique à l'utilisateur piégé un moyen de débloquer l'ordinateur
de récupérer ses fichiers, généralement en payant une rançon contre la clé de cryptage qui permettra d'ôter le chiffrement. Le
logiciel tente de se faire passer pour une autorité : police, gendarmerie, FBI, lutte contre le téléchargement illégal etc. D'autre
exemples dans le sujet du forum sur les ransomware.
Administrateur; 08/03/2023

A23 L'utilisateur n'a donc d'autres choix que de perdre ses fichiers ou de payer la rançon. La paiement ne garantit toutefois pas que
les moyens permettant la récupération seront effectivement fournis par le pirate. Il est donc conseillé de ne pas payer et de
tenter de récupérer quelques fichiers par d'autres moyens.
Administrateur; 08/03/2023
Ransomeware (Hystorique)

A18
Diapositive 12

A18 Le 25 novembre 2016, une infection HDDCryptor à l'Agence municipale des transports de San Francisco a entraîné l'arrêt
temporaire des distributeurs de billets et des trajets gratuits pour de nombreux passagers, ce qui a coûté environ 50 000 $ en
tarifs perdus.
Le 19 janvier 2017, une infection par ransomware du système informatique de la bibliothèque publique de St. Louis a
temporairement interrompu les paiements dans les 17 emplacements et a entraîné une panne de plusieurs jours des
ordinateurs réservables de la bibliothèque.
Le 31 janvier 2017, une infection par ransomware dans le comté de Licking, dans l'Ohio, a conduit le service informatique à
fermer plus d'un millier d'ordinateurs et a laissé divers services, y compris le centre d'appels 911, incapables d'utiliser des
ordinateurs et d'effectuer des services comme d'habitude pour plusieurs jours.
En février 2017, lors de la conférence RSA, des chercheurs du Georgia Institute of Technology ont présenté un rançongiciel de
preuve de concept ciblant les contrôleurs logiques programmables (PLC) utilisés dans les systèmes de contrôle industriels (ICS).
Administrateur; 08/03/2023
A24

Ransomeware (Vecteurs d’Attack)

 Vulnérabilités exploitables
 Attaques d'identifiants par force brute
 Ingénierie sociale
 Identifiants précédemment compromis
 Abus de confiance
Diapositive 13

A24 Pour mieux prévenir les ransomwares, il est essentiel de comprendre les tactiques malveillantes utilisées par les attaquants pour
compromettre les organisations en premier lieu. L'examen des tendances récentes des menaces de ransomware permet au
centre des opérations de sécurité (SOC) de concentrer les ressources sur les points de violation potentiels, de réduire le risque
d'infection et de préparer l'organisation dans son ensemble.
Administrateur; 08/03/2023
Ransomeware (Vecteurs d’Attack)
Ransomeware Kill Chaine
A61
A62

Détection d’un Ransomware

Diapositive 16

A61 Diverses techniques de détection de Ransomware ont été proposées à la fois par des chercheurs universitaires et des experts
en sécurité industrielle. Certains d'entre eux sont également en cours d'utilisation. Ces techniques fonctionnent principalement
via une analyse statique ou dynamique de l'exécutable suspecté d'être un Ransomware. L'analyse statique d'un exécutable est
effectuée par l'examen du code sans exécuter réellement l'exécutable. L'analyse statique d'un binaire consiste en une liaison
statique, la localisation des chaînes ASCII (American Source Code Information Interchange), la détection du packer et la
relocalisation de la mémoire. L'analyse dynamique est effectuée après l'exécution du Ransomware suspecté. Lors de son
exécution, les actions et les appels système effectués par le fichier suspect sont enregistrés et sur la base de ces informations,
un rapport final est généré.
Administrateur; 31/03/2023

A62 Les techniques de détection des ransomwares ont mûri dans leur efficacité de combat contre les attaques majeures de
ransomwares. Les techniques de détection sont désormais de nature hybride et la plupart d'entre elles déploient des stratégies
basées sur l'IA pour améliorer l'efficacité de la détection. Malgré les progrès des techniques de détection, les dernières familles
de Ransomware continuent de les échapper car ces techniques ne sont pas conçues pour contenir tous les brins de
Ransomware à la fois. Les solutions de détection sont créées principalement pour détecter un seul brin ou un seul type de
Ransomware, de sorte qu'il n'existe pas de solutions génériques car elles sont extrêmement difficiles à développer. Certains
sont même conçus pour ne détecter qu'une seule version d'un Ransomware particulier. Il est donc évident que l'état actuel des
techniques de détection est de nature réactive et développé en réponse aux nouvelles versions de ransomwares.
Administrateur; 31/03/2023
Protection de la Messagerie
Protection de la Messagerie
Protection de la Messagerie
A71

Protection de la Messagerie (SPF)

Diapositive 20

A71 SPF, ou Sender Policy Framework, est un protocole de validation de courrier électronique conçu pour détecter et bloquer
l’usurpation de courrier électronique qui permet aux échangeurs de courrier de vérifier que le courrier entrant d’un domaine
provient d’une adresse IP autorisée par les administrateurs de ce domaine. Un enregistrement SPF est un enregistrement texte
trouvé dans l’enregistrement DNS (Domain Name System) qui spécifie quelles adresses IP et/ou quels serveurs sont autorisés à
envoyer des messages depuis ce domaine. Cela ressemble à une adresse de retour sur une carte postale : la plupart des gens
sont beaucoup plus susceptibles d’ouvrir une lettre si celle-ci a une adresse de retour fiable et reconnaissable à partir de
laquelle elle a été envoyée.
Administrateur; 11/04/2023
A72
A73

Protection de la Messagerie (DKIM)

Diapositive 21

A72 DKIM, ou DomainKeys Identified Mail, permet à une organisation (ou à un gestionnaire du message) d’assumer la
responsabilité d’un message en transit. Selon DKIM.org , DKIM associe un nouvel identifiant de nom de domaine à un message
et utilise la cryptographie pour valider l’autorisation de présence. L’identifiant est indépendant de tout autre identifiant dans le
message, tel que dans le champ De: de l’auteur. DKIM est également une signature d’enregistrement TXT qui crée une relation
de confiance entre l’expéditeur et le destinataire.
Administrateur; 11/04/2023

A73 La signature se situe dans l’en-tête de chaque email envoyé. Elle est propre à votre domaine de messagerie, vous en possédez
la clé privée. Cette clé privée correspond a une clé publique, qui est enregistrée dans votre DNS. Lorsque vous envoyez un
message, le serveur qui le reçoit va aller regarder votre clé publique. Ainsi, il détermine si la clé privée a bien été utilisée lors de
l’envoi du message afin d’y inscrire la signature cryptographique. Si la clé privée n’a pas été utilisée, alors le message est
considéré comme non légitime.
Administrateur; 11/04/2023
A74

Protection de la Messagerie (DMARC)

Diapositive 22

A74 DMARC, ou Domain-based Message Authentication, Reporting and Conformance est une méthode d’authentification
supplémentaire utilisant SPF et DKIM. Elle permet de vérifier si un courrier électronique a effectivement été envoyé par le
propriétaire du domaine « Friendly-From ». Pour que les règles DMARC s’appliquent, SPF et DKIM doivent fonctionner et au
moins l’un d’entre eux doit être aligné.
Administrateur; 11/04/2023
A25

Cyber Kill Chain

Diapositive 23

A25 · Phase 1 : Reconnaissance. Au cours de cette phase, le cybercriminel collecte des données et des informations sur la cible et se
prépare à l'attaque. Par exemple, l'attaquant peut collecter des adresses e-mail, des mots de passe, des adresses IP et bien plus
encore. Des attaquants plus sophistiqués peuvent également analyser les pare-feu et essayer d'identifier les systèmes de
prévention des intrusions, comme les logiciels de cybersécurité.

· Phase 2 : militarisation. Dans cette phase, le criminel crée alors un vecteur ou une voie d'attaque. Il s'agit essentiellement de
choisir le virus ou la méthode par laquelle ils entreront dans le système cible. L'attaquant peut utiliser un logiciel malveillant, un
logiciel de rançon, un autre virus ou ver, ou même un schéma de phishing pour accéder au système cible. Dans cette phase, le
cybercriminel peut également mettre en place des "portes dérobées" pour continuer à profiter de l'accès au système si le point
d'entrée d'origine est fermé

· Phase 3 : Livraison. Dans la phase de livraison, le cybercriminel lance son attaque. Par exemple, s'ils choisissent un logiciel
malveillant, ils envoient un virus malveillant par e-mail ou par un autre vecteur afin d'accéder au système cible. Dans cette
phase, le criminel peut combiner le virus d'attaque de son choix avec des techniques d'ingénierie sociale, comme se faire passer
pour un technicien de maintenance.

· Phase 4 : Exploitation. Au cours de cette phase, tout code malveillant ou virus est exécuté dans le système cible pour le vol de
données sensibles, l'élévation des privilèges, etc.

· Phase 5 : Installation. Dans cette phase, le virus d'attaque, comme un virus malveillant ou un virus rançongiciel, est installé sur
le système de la victime. Cela permet généralement à l'attaquant de prendre le contrôle du réseau ou du système cible et de
commencer les opérations

· Phase 6 : Commandement et contrôle. Dans la phase de commande et de contrôle, l'attaquant utilise son logiciel malveillant
ou un autre code malveillant pour prendre le contrôle d'un appareil ou d'un réseau cible. L'attaquant peut commencer ses
objectifs principaux ou se déplacer latéralement à travers le réseau, s'étendant à d'autres terminaux ou ordinateurs connectés
au même réseau global

· Phase 7 : Actions sur l'objectif. Dans l'avant-dernière phase, l'attaquant commence à réaliser quels que soient ses objectifs, tels
que la destruction, le vol de données, l'exfiltration, le cryptage et le chantage.
Administrateur; 08/03/2023
A26
A27
A28

Contremesure du Cyber Kill

Chain
Diapositive 24

A26 1. Reconnaissance : Au cours de la première étape du cycle de vie de l'attaque, les cyber-adversaires planifient soigneusement
leur méthode d'attaque. Ils recherchent, identifient et sélectionnent les cibles qui leur permettront d'atteindre leurs objectifs.
Les attaquants recueillent des informations via des sources accessibles au public, telles que Twitter, LinkedIn et les sites Web
d'entreprise. Ils rechercheront également les vulnérabilités pouvant être exploitées au sein du réseau, des services et des
applications cibles, en cartographiant les domaines dont ils peuvent tirer parti. À ce stade, les attaquants recherchent des
faiblesses basées sur la perspective humaine et systémique.

Effectuez une inspection continue des flux de trafic réseau pour détecter et empêcher les analyses de ports et les balayages
d'hôtes.
Mettez en place une formation de sensibilisation à la sécurité afin que les utilisateurs soient conscients de ce qui doit et ne doit
pas être publié : documents sensibles, listes de clients, participants à des événements, rôles et responsabilités (c'est-à-dire,
utilisation d'outils de sécurité spécifiques au sein d'une organisation), etc.
2. Armement et diffusion : les attaquants détermineront ensuite les méthodes à utiliser pour diffuser des charges utiles
malveillantes. Certaines des méthodes qu'ils pourraient utiliser sont des outils automatisés, tels que des kits d'exploitation, des
attaques de harponnage avec des liens malveillants, ou des pièces jointes et des publicités malveillantes.

Bénéficiez d'une visibilité totale sur tout le trafic, y compris SSL, et bloquez les applications à haut risque. Étendez ces
protections aux appareils distants et mobiles.
Protégez-vous contre les violations de périmètre en bloquant les sites Web malveillants ou à risque grâce au filtrage d'URL.
Bloquez les exploits connus, les logiciels malveillants et les communications de commande et de contrôle entrantes à l'aide de
plusieurs disciplines de prévention des menaces, notamment l'IPS, l'anti-malware, l'anti-CnC, la surveillance DNS et le blocage,
ainsi que le blocage de fichiers et de contenu.
Détectez les logiciels malveillants inconnus et offrez automatiquement des protections à l'échelle mondiale pour contrecarrer
les nouvelles attaques.
Fournir une formation continue aux utilisateurs sur les liens de harponnage, les e-mails inconnus, les sites Web à risque, etc.
Administrateur; 08/03/2023

A27 3. Exploitation : à ce stade, les attaquants déploient un exploit contre une application ou un système vulnérable, généralement
à l'aide d'un kit d'exploitation ou d'un document militarisé. Cela permet à l'attaque de gagner un premier point d'entrée dans
l'organisation.

Bloquez les exploits de vulnérabilité connus et inconnus sur le terminal.

Fournissez automatiquement de nouvelles protections à l'échelle mondiale pour contrecarrer les attaques ultérieures.
4. Installation : une fois qu'ils ont établi un pied initial, les attaquants installent des logiciels malveillants afin d'effectuer d'autres
opérations, telles que le maintien de l'accès, la persistance et l'escalade des privilèges.
Diapositive 24 (suite)

Empêchez l'installation de logiciels malveillants, connus ou inconnus, sur les terminaux, le réseau et les services cloud.
Établissez des zones sécurisées avec des contrôles d'accès utilisateur strictement appliqués et assurez une surveillance et une
inspection continues de tout le trafic entre les zones (modèle Zero Trust).
Limitez l'accès administrateur local des utilisateurs.
Formez les utilisateurs à identifier les signes d'une infection par un logiciel malveillant et sachez comment effectuer un suivi si
quelque chose se produit.
5. Commande et contrôle : une fois les logiciels malveillants installés, les attaquants possèdent désormais les deux côtés de la
connexion : leur infrastructure malveillante et la machine infectée. Ils peuvent maintenant contrôler activement le système,
instruisant les prochaines étapes de l'attaque. Les attaquants établiront un canal de commande afin de communiquer et de
transmettre des données entre les appareils infectés et leur propre infrastructure.
Administrateur; 08/03/2023

A28 Bloquez les communications de commande et de contrôle sortantes ainsi que les téléchargements de fichiers et de modèles de
données.
Redirigez les communications sortantes malveillantes vers des gouffres internes pour identifier et bloquer les hôtes compromis.
Bloquez les communications sortantes vers des URL malveillantes connues grâce au filtrage d'URL.
Créez une base de données de domaines malveillants pour assurer une sensibilisation et une prévention globales grâce à la
surveillance DNS.
Limitez la capacité des attaquants à se déplacer latéralement avec des outils et des scripts inconnus en mettant en œuvre un
contrôle granulaire des applications pour n'autoriser que les applications autorisées.
6. Actions sur l'objectif : Maintenant que les adversaires ont le contrôle, la persistance et la communication continue, ils agiront
sur leurs motivations afin d'atteindre leur objectif. Il peut s'agir d'exfiltration de données, de destruction d'infrastructures
critiques, de défiguration de propriétés Web, de création de peur ou de moyens d'extorsion.

Recherchez de manière proactive des indicateurs de compromission sur le réseau à l'aide d'outils de renseignement sur les
menaces.
Établissez des ponts entre le centre des opérations de sécurité (SOC) et le centre des opérations réseau pour mettre en place
les bons contrôles basés sur la prévention.
Surveillez et inspectez tout le trafic entre les zones et appliquez les contrôles d'accès des utilisateurs pour les zones sécurisées.
Bloquez les communications de commande et de contrôle sortantes ainsi que les téléchargements de fichiers et de modèles de
données.
Bloquez les communications sortantes vers des URL malveillantes connues grâce au filtrage d'URL.
Mettez en œuvre un contrôle granulaire des applications et un contrôle des utilisateurs pour appliquer les politiques
d'application de transfert de fichiers dans l'entreprise, en éliminant les tactiques d'archivage et de transfert connues et en
limitant la capacité des attaquants à se déplacer latéralement avec des outils et des scripts inconnus.
Administrateur; 08/03/2023
 Définition du SOC

 Un SOC (Security Operations Center) est un centre de commande pour les

professionnels de la cybersécurité chargé de surveiller, d’analyser et de protéger une
entreprise contre les cyberattaques. Dans un Security Operations Center, le trafic
Internet, l’infrastructure réseau interne, les postes de travail, les serveurs, les endpoints, les
bases de données, les applications, les objets connectés (IoT) ainsi que d’autres
systèmes sont surveillés en permanence afin de détecter les incidents de sécurité.

 Le personnel au sein d’un SOC peut travailler avec d’autres équipes ou départements,
mais est généralement autonome avec des employés qui ont des compétences en
matière de cybersécurité bien particulières. La plupart des SOC fonctionnent 24h/24 et
7j/7, les employés travaillant en équipes pour surveiller en permanence l’activité du
réseau et mitiger les menaces. Un SOC peut être déployé en interne, ou être
entièrement, voire partiellement, sous-traité à des fournisseurs externes.
A48
A49
A50

Scope du SOC
Diapositive 26

A48 III.1. Fonction de prévention sécurité

Le SOC doit être vu comme un outil de prévention sur la base des informations traitées et des
actions préventives qui peuvent en découler. La prévention passe également par des actions de
sensibilisation auprès des interlocuteurs du SOC.
III.1.1. Gestion des vulnérabilités
Ce service peut être rendu par le SOC ou si ce n’est pas le cas, le SOC doit bénéficier des
informations sur les vulnérabilités connues du système d’informations pour affiner ses analyses
d’impacts des événements de sécurité. La gestion des vulnérabilités comprend la veille, la qualification, les préconisations
puis le suivi
du déploiement des patchs indiqués.
Elle s’effectue également en lien avec le service de détection de vulnérabilités et de contrôle
sur les actifs du périmètre surveillé par le SOC.
III.1.2. Implication dans le processus de sensibilisation
Les incidents remontés par le SOC peuvent être le déclenchement d’actions de sensibilisation.
Ces actions peuvent être ciblées pour recadrer par exemple un utilisateur déviant, ou
généralisées pour toucher plus de monde sur des données plus transverses.
Administrateur; 09/03/2023

A49 III.2. Fonction de détection

La fonction de détection est toujours à la base du SOC. La détection nécessite le traitement
d’informations remontées par le SI surveillé. Ce traitement est plus ou moins automatisé selon
les outils mis en place, mais il nécessite encore aujourd’hui un traitement manuel par des
analystes sécurité. Les outils servent à analyser le volume d’informations et à réduire au
maximum l’effort d’analyse. Une deuxième difficulté réside sur la pertinence des données
analysées. Les outils doivent être configurés pour analyser des données en relation avec des
scénarios de détection prédéterminés. Ces outils classiques peuvent être complétés par des
outils d’analyse de comportements. Deux cas de figure peuvent arriver : trop de données inutiles
engorgent les outils avec le risque de rater un événement permettant la mise en exergue d’un
incident de sécurité, ou au contraire, il manque des données nécessaires à la détection et à la
qualification de certains incidents. Le SOC doit continuellement adapter le paramétrage de ses
outils pour limiter l’occurrence de faux positifs ou de vrais négatifs par exemple en adaptant
les niveaux de seuil de détection.
III.2.1. Collecte des événements de sécurité et qualification des incidents
L’objectif de ce service est de disposer d’une vision centralisée des événements de sécurité,
permettant de réaliser des rapprochements et des corrélations mettant en évidence des incidents
potentiels.
Diapositive 26 (suite)

Le SOC a besoin de collecter de l’information et généralement ces informations sont des logs
générés par les différents composants du système d’information y compris les outils de
surveillance d’accès au web et aux réseaux sociaux. Par extension, le SOC peut concentrer des
alertes « prédéfinies » par un tiers ou remontées par les services support utilisateur.
Ce service nécessite la mise en place de la collecte des informations avec des enjeux
d’architecture et des impacts potentiels sur les sources d’information, détaillés dans le chapitre
4. Les informations collectées sont analysées pour déterminer d’éventuelles anomalies ou
incidents. Cette analyse nécessite des outils de traitements de logs ou des SIEM, complétés par
les outils de gestion documentaire et la messagerie pour les informations en dehors des logs.
III.2.2. Contrôle
Des contrôles de sécurité de divers niveaux peuvent être portés par le SOC.
Les contrôles basés sur des scanneurs de vulnérabilités configurés pour analyser les
vulnérabilités visibles sur le système d’information, permettent de remonter au SOC l’état de
sécurité des actifs du SI, et d’identifier d’éventuelles vulnérabilités ou menaces.
Les contrôles de conformité aux standards techniques permettent quant à eux de vérifier le
respect des politiques de sécurité (ex : présence de droits administrateurs sur les postes, logiciels
interdits,…), qui peuvent constituer autant de sujets à traiter.
Des audits manuels peuvent également être réalisés par des auditeurs indépendants ou
appartenant au SOC. Au niveau d’expertise le plus élevé, des tests d’intrusion peuvent être
réalisés afin d’éprouver sans prévenir au préalable la perméabilité des systèmes.
III.2.3. Veille sur les menaces et « threat intelligence »
Même si le SOC n’est pas en charge de maintenir la cartographie des risques, le SOC doit
connaitre les menaces qui pèsent sur l’infrastructure surveillée et maintenir à jour le niveau des
menaces pour renforcer si besoin certains contrôles ou actions de surveillance spécifiques à une
menace.
À un premier niveau, le SOC peut réaliser une veille sur le « cybersquatting » et le défacement
des sites webs, afin de suivre et de protéger l’image de marque et les données hébergées. Cela
se traduit concrètement par la supervision des enregistrements de noms de domaines proches
de ceux de l’entreprise, la surveillance des sites exposés, et le suivi sur les réseaux sociaux des
mentions de l’entreprise.
La « threat intelligence » va plus loin en ce sens en réalisant une surveillance dans les milieux
pirates des menaces en cours ou à venir vers l’entreprise ou son secteur d’activité. Le SOC
permet alors de suivre les menaces externes réelles, concernant d’autres acteurs ou partenaires
du même secteur d’activité ou de l’entreprise elle-même.
Administrateur; 09/03/2023
Diapositive 26 (suite)

A50 III.3. Fonction de réaction

La mise en œuvre d’un SOC oblige une réflexion de l’entreprise sur sa capacité à réagir à un
incident de sécurité. Détecter sans réagir n’est clairement pas une solution. L’enjeu du SOC est d’adapter son niveau de support
à la réaction à l’organisation de l’entreprise sachant que le SOC
ne peut pas être le seul à réagir (le CSIRT entre fréquemment dans la partie).
20/83 © CLUSIF 2017 Comment déployer un SOC
III.3.1. Investigations et contribution à l’analyse
En cas d’identification d’un incident, le SOC peut avoir un rôle à jouer (souvent en complément
du CSIRT) dans la réalisation d’investigations permettant de mieux comprendre l’attaque en
cours. Le SOC a en effet à sa disposition le SIEM et d’autres outils de détection, d’investigation
et d’analyse post mortem qui permettent de réaliser des opérations d’investigation : analyse des
logs passés, filtrage des logs, rapports de scans sur des actifs particuliers, opérations sur les
produits de sécurité des postes de travail (antivirus, HIPS,…).
III.3.2. Participation à la réaction
Le SOC peut également contribuer à la réaction dans la limite de son périmètre de
responsabilité, via ses activités d’administration d’outils de sécurité. L’activation d’une règle
IPS, la fermeture d’un compte administrateur ou VPN, l’ajout d’une règle pare-feu sont des
exemples de réactions pouvant faire intervenir le SOC.
III.4. Fonction d’administration sécurité
Au-delà de son infrastructure et de ses outils propres (Logs manager, SIEM et autres), le SOC
peut exploiter les composants sécurité ainsi que l’infrastructure de collecte.
Ce service doit être rendu – pour l’infrastructure SOC - par l’équipe SOC. Pour les autres
composants sécurité, le SOC peut être en charge ou non. Dans ce dernier cas, le SOC se doit
d’être en relation directe avec l’équipe d’exploitation sécurité.
Le SOC se doit d’avoir la connaissance des architectures surveillées et d’être averti lorsqu’elles
évoluent. Le SOC doit également avoir un droit de regard sur les principaux moyens de
détection d’incident
Administrateur; 09/03/2023
 Modèles du SOC

 SOC interne : L'entreprise construit sa propre équipe de cybersécurité.

Les entreprises qui envisagent d'établir un SOC interne doivent disposer
d'un budget pour assurer la continuité.
 SOC virtuel : L'équipe de sécurité ne dispose pas de ses propres
installations et travaille souvent à distance dans différents endroits.
 SOC cogéré : Le SOC cogéré se compose de personnel SOC interne
travaillant avec un fournisseur de services de sécurité gérés (MSSP)
externe. La coordination est vraiment importante pour ce type de
modèle.
 Le Commandement SOC : Un groupe senior qui supervise les petits SOC
dans une grande région. Les organisations utilisant ce modèle
comprennent les principaux fournisseurs de télécommunications et les
agences de défense.
SOC Composants d’Analyse
A11

KPIs du SOC
 Un engagement de résultats portant sur la détection et la réaction
à des scénarios prédéterminés validés et testés (avec un
engagement complémentaire d’amélioration continue). En
complément, le SOC doit mettre à disposition les meilleurs efforts à
la détection de nouveaux scénarios d’attaque. Cet engagement
est le plus fréquemment mis en œuvre car il est facilement
mesurable et induit l’obtention d’un niveau minimum de sécurité ;

 Un engagement de moyen portant sur la mise à disposition de

ressources et de capacités d’analyse. Ce modèle est très
rarement mis en œuvre bien que plus efficace dans la détection
d’APTs car il repose avant tout sur la gestion et l’encadrement
d’équipe, offrant ainsi peu d’éléments factuels de mesure de
performance hormis les tests d’intrusion.
Diapositive 29

A11 La mesure de performance d’un SOC doit être faite en fonction des missions et de l’engagement du SOC.
Ce dernier peut en effet avoir :
Administrateur; 07/03/2023
A8
KPIs du SOC

Conformité au Capacité
Contrat Opérationnelle

Maturité par
Retours
rapport au
d’expérience
Autres
Diapositive 30

A8 1. Démontrer sa conformité au contrat : Test des scénarios d’attaque convenus et dont la

détection et le traitement ont été implémentés au niveau du SOC. Cette recette des scénarios
prédéterminés se concentre sur le comportement adopté par le SOC face à la situation, depuis
la collecte/détection jusqu’à la remédiation ;
2. Démontrer sa capacité opérationnelle de gestion d’incident au travers de simulations : Tests
internes/externes sur les scénarios de menaces (contractuels et de l’état de l’art). Cette
démonstration est effectuée en observant les réactions du SOC face aux stimuli non annoncés
(pertinence de la détection, temps de détection et de traitement de bout en bout, envergure de
la réaction, …) ;
3. Mettre en avant les retours d’expérience internes : Partage des conclusions des attaques
déjouées ou subies ;
4. Se comparer avec les autres établissements sur les indicateurs de type R2GS
Administrateur; 06/03/2023
A10

KPI du SOC (Mesures Métriques)

 Pourcentage de menaces manquées (efficacité).

 Pourcentage de menaces traitées manuellement.
 Pourcentage de menaces bloquées, détectées et signalées.
 Pourcentage de menaces traitées par des processus automatisés (efficacité).
 Les performances du SIEM, y compris l'exactitude des rapports, l'exhaustivité et
la qualité des informations qu'il reçoit, et la qualité des alertes qu'il émet aux
analystes
Diapositive 31

A10 Lors de l'évaluation des métriques clés du centre des opérations de sécurité, il y en a quelques-unes auxquelles vous voulez
être sûr de prêter attention.

L'approche « cyber IRM » de l'analyse des performances du SOC permet aux responsables de la cybersécurité de se concentrer
sur les performances plutôt que sur les seules informations sur l'activité du SOC. Se baser sur les performances est le meilleur
moyen d'éliminer les risques tout en garantissant le bon fonctionnement du SOC.
Administrateur; 07/03/2023
 KPI du SOC (Mesures Qualitative)

La qualité des alertes reçues par le SOC ;

La qualité des alarmes émises par le SOC ;
La qualité de la résolution d’incident ;
La qualité de la passation entre le Niveau 1 et le Niveau 2.
A9

Composition du SOC

Outils et
Matériel

Processus

Force Humaines
Diapositive 33

A9 Force Humaine:

Le centre opérationnel de sécurité s'appuie en grande partie sur les moyens humains pour faire en sorte que le SOC soit adapté
aux besoins de l'entreprise. Pour cela, des experts informatiques travaillent de concert avec les responsables de la sécurité du
système d'information. Ils doivent notamment à analyser ensemble tous les évènements pour réduire le temps de réaction aux
incidents.

Technologies:
l s'agit des moyens technologiques servant à collecter et analyser les évènements afin d'établir un rapport. Ils incluent le SIEM
ou Security Information and Event Management. Toutefois, il est nécessaire d'ajouter d'autres dispositifs pour faciliter la
détection des activités malveillantes : gestion des identités, gestion des accès

Processus:
Ils servent à superviser le système informatique, mais aussi à détecter et à résoudre les incidents de sécurité.
Administrateur; 07/03/2023
A12

Force Humaine (Décomposition)

 Managers : le leader du groupe est capable d'assumer n'importe quel rôle tout en supervisant
l'ensemble des systèmes et des procédures de sécurité.

 Analystes : Les analystes compilent et analysent les données, soit à partir d'une période de
temps (le trimestre précédent, par exemple) ou après une violation.

 Enquêteur (Forensic) : Une fois qu'une violation se produit, l'enquêteur découvre ce qui s'est
passé et pourquoi, en travaillant en étroite collaboration avec le Répondeur (souvent, une
personne remplit à la fois les rôles « d'enquêteur » et « Répondeur»).

 Répondeur : Il existe un certain nombre de tâches qui accompagnent la réponse à une faille de
sécurité. Une personne connaissant ces exigences est indispensable en cas de crise.

 Auditeur : La législation actuelle et future s'accompagne de mandats de conformité. Ce rôle suit

ces exigences et s'assure que votre organisation y répond
Diapositive 34

A12 Remarque : Selon la taille d'une organisation, une personne peut remplir plusieurs rôles répertoriés. Dans certains cas, cela peut
se résumer à une ou deux personnes pour toute « l'équipe ».
Administrateur; 07/03/2023
 Analyste SOC (Responsabilités)
 Un analyste SOC est la première personne à analyser toute menace contre un
système. Lorsque la situation l'exige, il fait remonter les incidents à ses supérieurs et
rend ainsi possible la capture des menaces. Il/Elle joue un rôle important dans le SOC
car il/elle est la première personne à enquêter.
A14
 Il existe de nombreuses techniques différentes de vecteurs d'attaque et de logiciels
malveillants et elles augmentent de plus en plus chaque jour. En tant qu'analyste, vous
aurez plus de plaisir à enquêter sur ces différents types d'incidents. Même si les
systèmes d'exploitation, les produits de sécurité…etc. que vous utilisez sera le même, le
travail sera moins monotone car vous analyserez différents incidents. De plus, vous ne
rencontrerez peut-être pas de telles techniques (pas toutes les semaines ni tous les
jours).
 Tout au long de la journée, un analyste SOC examinera généralement les alertes sur le
SIEM et déterminera lesquelles sont de véritables menaces. Pour parvenir à une
conclusion, il/elle utilisera divers produits de sécurité tels que EDR (Endpoint Detection
and Response), Log Management et SOAR. Nous expliquerons en détail pourquoi et
comment ces produits sont utilisés plus tard dans ce programme de formation.
Diapositive 35

A14 Analyste SOC et ses responsabilités Dans cette section, nous discuterons de ce qu'est un analyste SOC, de sa place dans le SOC
et du type de responsabilités liées au travail qu'il a de manière générale. Il est important de lire attentivement ces sections
avant d'en savoir plus sur l'aspect technique des choses, de cette façon les candidats qui souhaitent devenir analystes SOC
peuvent visualiser à quoi ressemblera leur future carrière.
Administrateur; 07/03/2023
 Analyste SOC (3 Niveau d’Analystes)

 Les analystes SOC de niveau 1 sont des spécialistes du triage qui surveillent, gèrent et
configurent les outils de sécurité, examinent les incidents pour en évaluer l'urgence et
les font remonter si nécessaire.

 Les analystes SOC de niveau 2 sont des spécialistes de la réponse aux incidents, qui
évaluent la portée d’une attaque et les systèmes affectés, et collectent des données
pour une analyse plus approfondie.

 Les analystes SOC de niveau 3 se concentrent sur l'analyse approfondie des données
afin de comprendre ce qui se passe pendant et après les attaques. Ils ont une très
bonne maitrise des techniques d’attaques.
 Analyste SOC (Compétences Demandées)

 Systèmes d'exploitation :
A15
vous devez connaître la logique de base du fonctionnement des systèmes d'exploitation
Windows/Linux.

A16
 Réseau :
Vous devez connaître les bases de la mise en réseau, Maitriser le modèle OSI.

A17
 Analyse des logiciels malveillants:
vous devez avoir des compétences en analyse de logiciels malveillants. Il est important de
déterminer au moins quel est le centre de commande et de contrôle du fichier malveillant et s'il
existe ou non un appareil communiquant avec cette adresse.
Diapositive 37

A15 OS: Pour pouvoir détecter ce qui est anormal dans un système, il faut avant tout savoir ce qui est accepté comme normal. Par
exemple, il existe plusieurs services dans le système d'exploitation Windows et il est difficile de détecter lesquels d'entre eux
sont suspects sans savoir lesquels sont ou pourraient être des services Windows normaux. Pour cette raison,
Administrateur; 07/03/2023

A16 Réseau: Avant tout, nous traiterons de nombreuses adresses IP et URL malveillantes. Et nous devrons vérifier s'il y a des
appareils sur le réseau essayant de se connecter à ces adresses. Si nous pouvons contrôler cela, cela donnera le ton de notre
analyse. Comme étape plus compliquée, nous devrons peut-être détecter une fuite de données potentielle sur le réseau. Pour
pouvoir exécuter toutes ces fonctions,
Administrateur; 07/03/2023

A17 Analyste Logiciels Malveillants: Vous rencontrerez une sorte de logiciel malveillant lorsque vous traiterez la plupart des
menaces. Afin d'être en mesure de comprendre quel est le but réel de ces logiciels malveillants (ils affichent parfois des
comportements différents pour tromper les analystes), vous devez avoir des compétences en analyse de logiciels malveillants. Il
est important de déterminer au moins quel est le centre de commande et de contrôle du fichier malveillant et s'il existe ou non
un appareil communiquant avec cette adresse.
Administrateur; 07/03/2023
A19
A21
Threat Intelligence Mind Map
Diapositive 38

A19 Sur la droite, il y'a les trois différents niveaux de CTI - tactique, opérationnel et stratégique.

• Tactique est essentiellement le type de renseignement de bas niveau « sur le fil », généralement appelé indicateur de
compromission (IOC), qui est généralement un flux d'adresses IP malveillantes, de domaines et de chaînes de hachage d'URL.
Etc. C'est le réactif Comment & Quoi ?

• Le renseignement opérationnel se concentre généralement sur la campagne et les opérations en cours, car il examine les
capacités, les opportunités et les intentions des menaces – essentiellement la stratégie proactive Quand, où et comment ?

• Les informations stratégiques sont celles où les menaces sont associées à l'impact organisationnel, adoptant une vision
davantage basée sur les risques qui vous aide à aligner votre programme de sécurité sur la réalité de vos menaces. C'est à dire.
le proactif, Qui, Pourquoi et Où ?
Administrateur; 08/03/2023

A21 Sur le côté gauche, il y'a les aspects du renseignement liés aux personnes, aux processus et à la surveillance des risques
numériques (DRM). Voici le problème - en fin de compte, il existe deux principaux domaines de collecte en matière de
renseignement : interne et externe. Pour TI interne, vous collectez des informations sur ce qui s'est passé et pour l'externe, vous
collectez des informations sur ce qui POURRAIT se produire. De plus, pour l'interne, vous surveillez l'infrastructure sur laquelle
vous avez un commandement et un contrôle directs, tandis que pour l'externe, vous collectez pour des zones sur lesquelles
vous n'avez pas de commandement et de contrôle directs, mais pour lesquelles vous avez un "niveau de présence".

La surveillance des risques numériques est davantage liée aux niveaux stratégique et opérationnel des renseignements sur les
menaces. Dans leur forme actuelle, les DRM sont généralement commercialisés et suivis comme une capacité industrielle
distincte du renseignement sur les cybermenaces, bien que, à mesure que l'espace continue de mûrir, je pense qu'il s'agit d'une
forme de renseignement et je l'ai donc inclus dans la carte mentale.

La combinaison des renseignements sur les menaces et de la surveillance des risques numériques peut vous aider à
comprendre :

• Vos domaines de risque les plus critiques - du point de vue de la sécurité et des risques commerciaux,

• Comment les acteurs malveillants peuvent essayer de profiter de ces « opportunités » que vous leur avez présentées et ;

• Comment pouvez-vous minimiser ou éliminer ce risque ?

Différents consommateurs de renseignements au sein de votre organisation créent et consomment différents niveaux de
Diapositive 38 (suite)

renseignements sur les menaces pour prendre les mesures appropriées contre les risques identifiés. Les processus de création
et d'utilisation des différents niveaux d'informations sont à la fois proactifs et réactifs.

Dans les prochains articles, je ferai le tour de cette carte mentale en examinant chaque section plus en détail et comment elle
devrait être intégrée et utilisée dans votre programme de sécurité actuel.
Administrateur; 08/03/2023
A70

MITRE ATT&CK https://attack.mitre.org/

Diapositive 39

A70 MITRE ATT&CK ® est une base de connaissances accessible dans le monde entier sur les tactiques et techniques de
l'adversaire, basée sur des observations du monde réel. La base de connaissances ATT&CK est utilisée comme base pour le
développement de modèles et de méthodologies de menaces spécifiques dans le secteur privé, au gouvernement et dans la
communauté des produits et services de cybersécurité.

Avec la création d'ATT&CK, MITRE remplit sa mission de résoudre les problèmes pour un monde plus sûr - en rassemblant les
communautés pour développer une cybersécurité plus efficace. ATT&CK est ouvert et accessible gratuitement à toute personne
ou organisation.
Administrateur; 10/04/2023
A69

ISO 27001
Diapositive 40

A69 SO 27001 est une norme internationale qui définit les exigences pour un système de gestion de la sécurité de l'information
(SMSI). Elle fournit un cadre complet et systématique pour la gestion de la sécurité des informations dans une organisation.

La norme ISO 27001 énonce un ensemble de contrôles de sécurité de l'information qui peuvent être mis en œuvre pour
répondre aux exigences de sécurité des informations d'une organisation, en fonction de ses besoins spécifiques. Ces contrôles
de sécurité de l'information couvrent un large éventail de domaines, tels que la gestion des actifs, la gestion des risques, la
sécurité physique, la sécurité des réseaux et des systèmes, la gestion des incidents de sécurité, la conformité réglementaire, la
gestion des tiers, etc.

La mise en œuvre d'un SMSI conforme à la norme ISO 27001 permet à une organisation de :

Identifier les risques de sécurité de l'information et mettre en place des mesures pour les gérer efficacement.
Assurer la confidentialité, l'intégrité et la disponibilité des informations traitées par l'organisation.
Renforcer la confiance des parties prenantes dans la capacité de l'organisation à protéger ses informations.
Répondre aux exigences réglementaires et contractuelles en matière de sécurité de l'information.
La norme ISO 27001 est largement utilisée dans le monde entier et est considérée comme l'une des normes les plus complètes
et les plus rigoureuses en matière de sécurité de l'information.
Administrateur; 04/04/2023
 Processus d’Audit et d’Evaluation

 Les politiques et procédures de sécurité en place.

 La configuration du réseau et des systèmes.

 Les processus de gestion des identités et des accès.

 Les mécanismes de détection et de prévention d'attaques.

 Les sauvegardes et la continuité d'activité.

 La conformité réglementaire
 Processus d’Audit et d’Evaluation

Exemples:

Audit Guide d’Hygiène ANSSI ESDacademy

Audit-ISO27001-ESDacademy

Audit CIS 20 Critical Security Control

 Processus Test d’Intrusion

Questionnaire Test d’Intrusion

Suivi Test d’Intrusion

Rapport test d’Intrusion

A29
A30
A31
A32
A33
A35
Politiques de Sécurité
A36

 Politique de Sécurité Internet.

 Politique de Sécurité des Applications WEB.

 Politique de Sécurité Réseau.

 Politique de Sécurité Système d’Information.

 Politique de Sécurité patch Management.

Diapositive 44

A29 Une stratégie de sécurité réseau aide principalement à protéger un réseau informatique contre les menaces de sécurité du
réseau - internes et externes - de l'organisation ou du réseau. Il s'agit généralement d'un document large qui varie en fonction
de l'environnement sous-jacent, de l'organisation et / ou des exigences légales. Généralement, une politique de sécurité réseau
documente:
Administrateur; 08/03/2023

A30 Règles et procédures légales pour accéder au réseau et modifier ses caractéristiques.
Gouvernance et gestion sur accès Web / Internet
Mise en place de procédures de sécurité (contrôle d'accès) sur les nœuds et appareils du réseau
Politiques basées sur les rôles / privilèges, telles que l'identification des services / processus autorisés et non autorisés que tout
utilisateur peut effectuer sur le réseau
Administrateur; 08/03/2023

A31 Securité WEB Les applications web sont par nature des éléments très exposés du système d’information. Leur
sécurisation revêt une grande importance, et ce à plusieurs titres
liés aux vulnérabilités de sécurité des applications web), Cette politique défini les règles de
sécurité à mettre en place afin de protéger les applications web
Administrateur; 08/03/2023

A32 Les vulnérabilités des applications web peuvent être catégorisées en fonction de leur fréquence,
de leur exploitabilité, de leur détectabilité et de leurs impacts potentiels, et ce en se référant au
top 10 OWASP de la dernière version:
Administrateur; 08/03/2023

A33 A1 – Injection (SQL, XML, OS, LDAP etc…) ;

A2 – Violation de Gestion d’authentification et de Session ;
A3 – Cross-Site Scripting (XSS);
A4 – Références directes non sécurisées à un objet ;
A5 – Mauvaise configuration sécurité ;
A6 – Exposition de données sensibles
A7 – Manque de contrôle d’accès au niveau fonctionnel ;
A8 – Falsification de requête intersites (CSRF) ;
A9 – Utilisation de composants avec des vulnérabilités connues ;
A10 – Redirection et Renvois non validés.
Administrateur; 08/03/2023

A35 Le système d’information est au coeur des processus métiers de Cevital Pôle Industrie. L’information créée, traitée et transmise
représente un capital inestimable, c’est pourquoi des mesures adéquates doivent être prises pour protéger l’information des
menaces internes et externes.
Diapositive 44 (suite)

Ce document présente la politique de sécurité des systèmes d’information.

Il décrit les règles à respecter sur tout le système d’information de Cevital Pôle Industrie afin d’assurer les objectifs de la
sécurité, à savoir :
L’intégrité, la disponibilité, la non-répudiation, l’authentification, la traçabilité et la conformité.
Administrateur; 08/03/2023

A36 Les actifs concernés par cette politique appartiennent aux socles d’infrastructure qui englobent
les technologies suivantes :
 Systèmes d’exploitation serveurs (OS) : Serveurs Microsoft Windows, serveurs Linux.
 Applications appartenant au socle de composants standards de l’infrastructure pour
serveurs sous OS Microsoft (ex : Adobe Reader, Adobe Flash Player, Sun Java JRE,
Antivirus…).
 Equipements réseaux filtrants : Cisco, Fortinet, PaloAlto, BlueCoat,
 Technologies de Virtualisation: VMware, Hyper-V.
 Bases de données : Oracle, Microsoft SQL,
Administrateur; 08/03/2023
 Guide des Bonne Pratiques de Sécurité - ANSSI

Guide CPME – ANSSI

Outils du SOC

SOAR

Forensic
EDR
Tools

HoneyPot XDR

SIEM

SandBox NDR

Scanner
De
MDR
Vulnérabi
lité
A37
A38

Outils du SOC (SIEM)

Diapositive 47

A37 Les solutions de gestion des informations et des événements de sécurité (SIEM) aident les organisations à détecter, analyser et
réagir aux menaces liées à la sécurité avant qu’elles ne nuisent à leur activité professionnelle.

Les technologies SIEM (que l’on prononce « sim ») combinent la gestion des informations de sécurité (SIM) et la gestion des
événements de sécurité (SEM) au sein d’un même système de gestion de la sécurité. Un système SIEM collecte les données des
journaux d’événements à partir de sources diverses, identifie les activités qui s’écartent de la norme grâce à une analyse en
temps réel et applique les mesures appropriées.

En bref, une solution SIEM offre aux organisations une visibilité sur l’activité de leur réseau pour leur permettre de réagir
rapidement aux cyberattaques potentielles et de satisfaire aux exigences de conformité.

Au cours de la dernière décennie, les technologies SIEM ont évolué : grâce à l’intelligence artificielle, la détection des menaces
et la réponse aux incidents s’effectuent désormais plus intelligemment et plus rapidement.
Administrateur; 08/03/2023

A38 Le fonctionnement de base de SIEM comprend une gamme de suivi, de journalisation, de collecte et de gestion des données
de sécurité à des fins de conformité ou d'audit, y compris des capacités opérationnelles telles que la création de rapports,
l'agrégation de données, la surveillance de la sécurité et la surveillance de l'activité des utilisateurs.
Administrateur; 08/03/2023
A39
A40

Outils du SOC (EDR)

Diapositive 48

A39 Les plates-formes de détection et de réponse des terminaux aident les équipes de sécurité à détecter les activités suspectes des
terminaux afin d'éliminer rapidement les menaces et de minimiser l'impact d'une attaque.
Administrateur; 08/03/2023

A40 Les systèmes EDR fonctionnent par le biais d'agents installés dans des appareils locaux. Plusieurs agents sont connectés à un
hub centralisé, et chaque agent surveille en permanence l'environnement de son appareil local et collecte des données. Ces
données sont transmises au hub centralisé pour le traitement et l'analyse, souvent à l'aide de technologies sophistiquées telles
que l'intelligence artificielle (IA) et l'apprentissage automatique (ML). Les modèles statistiques créés par ce processus sont
utilisés pour analyser les données entrantes des terminaux en temps réel et repérer les menaces.

Les techniques de détection des menaces utilisées par les solutions EDR incluent :

Analyse des signatures : les signatures du trafic réseau sont vérifiées par rapport à une base de données de signatures de
logiciels malveillants connus pour trouver une correspondance.
Analyse comportementale : le seuil de comportement accepté du point de terminaison est étalonné pour identifier les instances
de comportement inhabituel, même si toutes les signatures de trafic sont valides.
Analyse sandbox : les fichiers potentiellement malveillants sont placés dans un environnement sûr appelé sandbox, puis
exécutés pour observer leur comportement sans risquer d'endommager le terminal.
Correspondance liste blanche/liste noire : les activités des terminaux sont vérifiées par rapport à une liste prédéterminée
d'adresses IP sur liste blanche et sur liste noire pour autoriser ou refuser le trafic réseau.
Si une menace, une anomalie ou une vulnérabilité est détectée, le système EDR déclenche une alerte et l'envoie aux parties
prenantes appropriées via la console utilisateur. EDR est également capable de répondre automatiquement à certaines
menaces. Par exemple, les types de fichiers inconnus ou suspects sont immédiatement mis en quarantaine, avant même qu'un
intervenant humain ne soit alerté.

Les parties prenantes telles que le responsable informatique ou l'équipe de cybersécurité peuvent agir sur les alertes en isolant
un fichier suspect, en le supprimant, en le plaçant dans un bac à sable pour une enquête plus approfondie, en isolant
l'ensemble du terminal, etc.

EDR est conçu pour protéger différents types de terminaux, notamment les ordinateurs de bureau, les ordinateurs portables,
les appareils mobiles, etc. En règle générale, le système est hébergé sur le cloud pour faciliter le relais des informations des
agents des terminaux vers le hub central. Le cloud fournit également des ressources de calcul évolutives pour le traitement des
données.
Administrateur; 08/03/2023
A41
A42
A43
Outils du SOC (XDR)
Diapositive 49

A41 La détection et la réponse étendues (XDR) sont définies comme une technologie de sécurité qui protège l'infrastructure
informatique en offrant une meilleure visibilité, une analyse rapide des menaces et une réponse plus rapide. Il agit comme un
outil de sécurité qui intègre plusieurs produits de sécurité dans une plate-forme de sécurité unifiée et renforce la capacité de
détection et de gestion des incidents de sécurité. Il offre une visibilité unifiée sur plusieurs vecteurs d'attaque et donne aux
organisations une vue complète du paysage des menaces dans l'ensemble de l'espace technologique
Administrateur; 08/03/2023

A42 XDR crée une histoire d'attaque unique avec des techniques avancées d'analyse et d'apprentissage automatique qui combinent
des données provenant de terminaux, de réseaux, de ressources cloud, de systèmes de messagerie et d'autres sources
pertinentes. Il simplifie le travail des analystes de sécurité et améliore la productivité globale des équipes de sécurité.
Administrateur; 08/03/2023

A43 Il fournit une interface unique où toutes les données liées à une attaque peuvent être visualisées et traitées de manière
appropriée. Ainsi, XDR réduit les tâches redondantes nécessaires pour enquêter et répondre aux incidents de sécurité, quel que
soit le système informatique ciblé. Il aide à découvrir les menaces difficiles à découvrir avec les solutions et produits de sécurité
en silo traditionnels.
Administrateur; 08/03/2023
A44
A45

Outils du SOC (SOAR)

Diapositive 50

A44 L’automatisation de la sécurité, ou SA, est l’exécution par une machine d’actions de sécurité ayant le pouvoir, par
programmation, de détecter, investiguer et prendre en charge les cybermenaces sans intervention humaine.

La SA fait l’essentiel du travail de votre personnel de sécurité, lui évitant de parcourir et traiter manuellement toutes les alertes
qui surviennent. L’automatisation de la sécurité peut :

Détecter les menaces dans votre environnement.

Trier les menaces potentielles en suivant les étapes, les instructions et le workflow décisionnel employé par les analystes de
sécurité pour enquêter sur un événement et déterminer s’il s’agit bien d’un incident.
Déterminer s’il faut agir en réponse à l’incident.
Contenir et résoudre le problème.
Tout cela peut se faire en quelques secondes, sans aucune implication de personnel humain. Les analystes de sécurité sont
libérés de ces actions répétitives et chronophages, ce qui leur permet de se concentrer sur des tâches plus importantes et à
plus grande valeur ajoutée.
Administrateur; 08/03/2023

A45 L’orchestration de sécurité, ou SO, est la coordination, par des machines, d’une série d’actions de sécurité interdépendantes sur
une infrastructure complexe. Elle veille à ce que tous les outils de sécurité – mais aussi des outils d’autres types – fonctionnent
de façon coordonnée, tout en automatisant les tâches sur de multiples produits et workflows.

La SO coordonne l’investigation, la réponse et la résolution des incidents. De plus, elle évite aux analystes de sécurité d’avoir à
naviguer entre différents écrans et systèmes, compilant toutes les informations en un même lieu pour les afficher sur un
tableau de bord global.

L’orchestration de sécurité peut :

Apporter du contexte sur les incidents de sécurité. Un outil d’orchestration de sécurité agrège les données de différentes
sources pour délivrer des renseignements plus approfondis. Vous obtenez ainsi une vision complète de tout votre
environnement.
Permettre des investigations plus approfondies et plus pertinentes. Les analystes de sécurité peuvent arrêter de gérer les
alertes et commencer à enquêter sur les causes profondes des incidents. De plus, les outils d’orchestration de sécurité
s’accompagnent généralement de tableaux de bord, de graphiques et de chronologies hautement interactifs et intuitifs, et ces
visualisations peuvent s’avérer extrêmement utiles au cours du processus d’investigation.
Améliorer la collaboration. L’implication d’acteurs externes – analystes de niveaux différents, responsables, directeur technique
et autres dirigeants, équipes juridiques et RH – peut également être nécessaire dans certains types d’incidents de sécurité.
L’orchestration de sécurité peut mettre toutes les données requises à la portée de tous les intervenants, pour plus d’efficacité
Diapositive 50 (suite)

dans la collaboration et la résolution des problèmes.

Administrateur; 08/03/2023
A46

Outils du SOC (Sandbox)

Diapositive 51

A46 e sandboxing est une procédure de cybersécurité dans laquelle vous exécutez du code, l'analysez et codez dans un
environnement sécurisé et clos sur un système qui ressemble aux environnements de travail des utilisateurs finaux. Il est
destiné à empêcher la menace potentielle d'entrer dans le réseau et est couramment utilisé pour examiner le code inconnu ou
non sécurisé.

Le sandboxing confine le script à un environnement de test, l'empêchant d'infecter ou de nuire au périphérique hôte ou au
système d'exploitation. Comme son nom l'indique, cet environnement de test confiné fonctionne comme une sorte de «bac à
sable», dans lequel vous pouvez expérimenter diverses variables pour voir comment le système fonctionne. C'est également un
environnement sécurisé où tout ce qui ne va pas ne peut pas directement nuire à vos machines hôtes.

Les experts en cybersécurité utilisent couramment des bacs à sable pour tester du code présumé malveillant. Sans sandboxing,
les applications ou les logiciels pourraient avoir un accès illimité à toutes les informations utilisateur et aux fournitures du
système réseau.
Administrateur; 08/03/2023
A47

Outils du SOC (HoneyPot)

Diapositive 52

A47 Un pot de miel est un atout conçu pour capturer des informations sur les tentatives d'accès et d'exploitation. Les pots de miel
sont le piège à intrus le plus couramment utilisé dans l'industrie de la sécurité, car ils ont été traditionnellement utilisés sur
l'Internet ouvert pour capturer le comportement des attaquants face au public.

Dans le monde d'aujourd'hui, il y a tellement d'activités, d'analyses et de tentatives d'exploitation sur l'Internet ouvert qu'il faut
une équipe de recherche pour comprendre toutes les données qu'un pot de miel accessible au public peut capturer. Par
exemple, voir le projet Heisenberg Cloud de Rapid7 .
Administrateur; 08/03/2023
 Collaboration et Intégration NOC & SOC

"L'intégration des deux groupes (sécurité et réseau) en

première ligne de la défense dans de nombreuses
organisations pourrait potentiellement être le meilleur moyen
de réduire les coûts, d'augmenter l'efficacité et d'optimiser
les ressources."
A13

Collaboration et Intégration NOC & SOC

Diapositive 54

A13 Les gains d'efficacité les plus significatifs via la création d'un NOC/SOC intégré sont généralement ressentis dans les opérations
de niveau 1. Et cela est amplifié lorsque l'automatisation est stratégiquement appliquée à des processus hautement répétitifs.
Les responsables informatiques pourraient s'en servir pour hiérarchiser le processus de convergence.

Les organisations et les responsables informatiques doivent reconnaître que la réorganisation du NOC et du SOC en une seule
entité n'est pas la solution miracle pour gérer une opération informatique sécurisée et fiable, ni un exercice trivial. Des limites
de sécurité et de réseau doivent être établies pour éviter de créer de nouveaux chevauchements ou d'introduire de nouveaux
angles morts qui ne sont pas surveillés par l'une ou l'autre des équipes.
Administrateur; 07/03/2023
 Certifications en Sécurité

https://pauljerimy.com/security-certification-roadmap/
CONCLUSION ET DEBAT