Opérations de sécurité modernes 

Bonnes pratiques et
enseignements tirés
du Microsoft Cyber
Defense Operations
Center
Opérations de sécurité modernes 2

Contenu
1. Présentation des opérations de sécurité 3

Rôle des opérations de sécurité

Relations commerciales
Fonctions typiques des opérations de sécurité

2. Moderniser les opérations de sécurité 13

De la réactivité à la proactivité
Visibilité accrue
Réduire la surface d’attaque
Zero Trust et opérations de sécurité modernes
Protection contre les menaces internes

3. Bonnes pratiques relatives aux opérations de sécurité 28

4. Recommandations finales 39
Opérations de sécurité modernes 3

Présentation des
opérations de sécurité

En tant que professionnel de la sécurité, sophistiqué qui a déjà enfreint un périmètre,

vous savez que les menaces qui pèsent et si l’attaque de ransomware et d’extorsion
sur votre environnement évoluent et réussit, les deux parties en profitent.

se multiplient.
À mesure que les pirates informatiques
continuent à innover, les équipes de sécurité
De nos jours, les cyberattaques sont l’œuvre de
doivent impérativement moderniser leurs
criminels organisés. Les cybercriminels partagent
opérations en permanence pour contrer leurs
des informations sur ce qui fonctionne et sur les
adversaires.
vulnérabilités. Ils font évoluer leurs techniques
à mesure que la technologie évolue.
Vous devez donc optimiser votre pile
technologique pour garantir une protection
Les cyberattaques ne sont pas seulement une
et une visibilité sur tous les vecteurs d’attaque.
menace technologique en constante évolution.
Vous devez également évaluer les processus
Les tendances comme le rachat en tant que
de votre équipe : est-elle capable de protéger,
service (RaaS) font partie d’une économie de
de détecter et de répondre aux menaces
plus en plus industrialisée et sophistiquée, où les
réelles de manière rapide et précise, ou est-elle
attaquants qui ne disposent pas des compétences
submergée par les nombreux signaux et les
ou des moyens techniques nécessaires pour
faux positifs ?
développer leurs propres outils peuvent
désormais gérer des tests de pénétration prêts
Nous avons créé ce guide pour vous aider
à l’emploi et des outils sysadmin pour réaliser
à affiner et à concentrer vos efforts afin de
des attaques. Ces criminels de niveau inférieur
moderniser vos opérations de sécurité et de
peuvent également acheter en toute simplicité
protéger votre organisation dans un contexte
l’accès au réseau auprès d’un groupe criminel plus
de menaces en constante évolution.

1. Présentation des opérations de sécurité 2 3 4

Opérations de sécurité modernes 4

Enseignements tirés
du Microsoft SOC

Les enseignements et les bonnes pratiques
présentées ici proviennent de conversations
tenues avec les clients Microsoft et de notre
propre expérience de développement et
de maturation des pratiques appliquées
aux opérations de sécurité chez Microsoft.
Bien que cela puisse sembler surprenant pour
certains, le Microsoft Corporate IT SOC protège
un environnement multiplateforme compatible
avec Windows, Linux et Mac exécutant des logiciels
appartenant à Microsoft ou non. Auparavant, ce
SOC était utilisé pour exploiter un modèle SOC
traditionnel similaire à celui détenu par la plupart
des organisations, et nous avons affronté les
mêmes défis inhérents à ce modèle :
● Volume d’événements : le volume et la
croissance élevés (20 milliards d’événements
par jour actuellement) ont dépassé la capacité
de la solution SIEM locale qui ne parvient pas
à les gérer.
● Surcharge des analystes : les règles
statiques ont généré des quantités excessives
d’alertes de faux positifs qui ont conduit
à un sentiment de lassitude face aux alertes.
● Charges de travail médiocres relatives
aux enquêtes : les enquêtes menées sur
les événements à l’aide de la solution SIEM
locale traditionnelle étaient peu efficaces
et nécessitaient des requêtes manuelles et
une commutation manuelle entre différents
outils.
Notre équipe connaît vos difficultés car
elle les a elle-même affrontées. Tout au long
de ce guide, nous allons vous communiquer
les bonnes pratiques et les principaux
enseignements que nous avons tirés de
notre propre initiative de modernisation des
opérations de sécurité Microsoft, pour nous-
mêmes et nos clients.

Le Microsoft Corporate IT SOC protège un environnement

multiplateforme compatible avec Windows, Linux et Mac
exécutant des logiciels appartenant à Microsoft ou non.

1. Présentation des opérations de sécurité 2 3 4

Opérations de sécurité modernes 5

Rôle des opérations

de sécurité
Les opérations de sécurité maintiennent et
restaurent les garanties de sécurité du système,
à mesure que les adversaires l’attaquent.
Leurs principales fonctions sont décrites dans
le cadre de cybersécurité NIST et incluent les
éléments suivants :

● Détecter

● Répondre

● Récupérer

1. Présentation des opérations de sécurité 2 3 4

Opérations de sécurité modernes
● Détecter : les opérations de sécurité doivent
détecter la présence d’adversaires dans le
système, lesquels s’efforcent de rester cachés
dans la plupart des cas, car cela leur permet
d’atteindre leurs objectifs sans encombre.
Il peut s’agir de réagir à une alerte d’activité
suspecte ou de rechercher de manière
proactive les événements anormaux dans
les journaux d’activité de l’entreprise.
● Répondre : lors de la détection d’une
action ou d’une campagne ennemie
potentielle, les équipes chargées des
opérations de sécurité doivent enquêter
rapidement pour déterminer s’il s’agit d’une
attaque réelle (vrais positifs) ou d’une fausse
alerte (faux positifs), puis identifier le champ
d’action et l’objectif des opérations de
l’adversaire.
● Récupérer : l’objectif des opérations de
sécurité est de préserver ou de restaurer
les garanties de sécurité (confidentialité,
intégrité, disponibilité) des services de
l’entreprise pendant et après une attaque.
1. Présentation des opérations de sécurité
6
L’efficacité dans ces domaines réduit les
risques en limitant le temps et l’accès des
attaquants au sein de l’organisation. L’objectif
visé consiste à augmenter les coûts des
pirates informatiques, tout en réduisant leurs
profits, en vue de diminuer leur retour sur
investissement et leur motivation. En outre,
les équipes des opérations de sécurité mettent
en place une maturité de sécurité globale.
Toutes les initiatives de vos opérations de
sécurité doivent être orientées vers la restriction
du temps et de l’accès dont bénéficient les
pirates informatiques au niveau des ressources
de l’entreprise lors d’une attaque pour atténuer
les risques de cette dernière.
Les équipes chargées des opérations de sécurité
militent également souvent pour augmenter
la maturité de la sécurité dans l’ensemble de
l’entreprise. En effet, toutes les faiblesses des
conditions de sécurité risquent de provoquer
des incidents qui devront ensuite être gérés
par ces équipes.
2 3 4
Opérations de sécurité modernes 7

Relations commerciales
La création et la préservation des relations
avec le côté commercial de l’entreprise
améliorent l’efficacité de l’équipe de sécurité.
Il s’agit notamment de faire un effort pour
comprendre les stratégies commerciales et
impliquer les dirigeants de manière à les aider
à comprendre ce que fait votre équipe pour
prévenir et atténuer les attaques.

Chez Microsoft, nous nous concentrons

sur quatre points d’intégration
fonctionnelle principaux avec l’entreprise :

● Contexte professionnel

● Exercices de pratique conjointe

● Communication des dernières

informations sur les incidents majeurs

● Business Intelligence

1. Présentation des opérations de sécurité 2 3 4

Opérations de sécurité modernes 8

● Contexte professionnel : les équipes ● Communication des dernières

chargées des opérations de sécurité doivent
identifier les priorités de l’entreprise, afin
d’appliquer ce contexte aux situations de
sécurité en temps réel. Qu’est-ce qui aurait
le plus d’impact négatif sur l’entreprise ?
Temps d’arrêt des systèmes critiques ?
Une atteinte à la réputation et la perte
de confiance des clients ? Divulgation de
données sensibles ? Falsification de données
ou de systèmes critiques ? Nous avons
appris qu’il est essentiel que les principaux
responsables et collaborateurs chargés des
opérations de sécurité comprennent ce
contexte lorsqu’ils surveillent le flot continu
d’informations et trient les incidents afin
de hiérarchiser leur temps, leur attention
et leurs efforts.
informations sur les incidents majeurs :
lorsque les dernières informations sont
communiquées aux parties prenantes
de l’entreprise en cas d’incidents majeurs
à mesure qu’ils se produisent, les dirigeants
de l’entreprise peuvent comprendre le
risque et de prendre des mesures proactives
et réactives afin de gérer celui-ci.
● Business Intelligence : le partage des
découvertes de cibles inattendues avec
les chefs d’entreprise peut déclencher
des informations telles que la prise
de conscience externe d’une initiative
commerciale secrète ou la valeur relative
d’un DataSet oublié.

● Exercices pratiques conjoints :

la préparation conjointe à la réaction
à adopter face aux incidents majeurs
renforce la mémoire musculaire et les
relations qui sont essentielles pour accélérer
et optimiser la prise de décisions malgré
la forte pression exercée lorsqu’un incident
survient, en réduisant ainsi les risques
organisationnels. Cette pratique réduit
également les risques en exposant les
lacunes et les hypothèses du processus,
qui peuvent alors être corrigés avant
qu’un incident ne survienne.

1. Présentation des opérations de sécurité 2 3 4

Opérations de sécurité modernes
Comment les opérations
de sécurité fonctionnent-elles
avec les autres équipes de
l’organisation, en particulier
les commerciaux ?
Votre équipe doit être consciente des
principales priorités de l’entreprise afin de
pouvoir identifier les actifs critiques et définir
les priorités de sécurité en conséquence.
Ainsi, vous pouvez vous concentrer sur les
ressources les plus critiques et mettre en place
les systèmes de défense, les stratégies et les
enquêtes automatisées nécessaires, afin de
répondre aux besoins de l’équipe commerciale.
Lorsqu’elle connaît les principales parties
prenantes et qu’elle peut les informer
immédiatement, l’entreprise est à même
de réagir, notamment :
● Opérations de sécurité
● Opérations
● Logistique
● Relations publiques/communications
● Équipe de direction
1. Présentation des opérations de sécurité
9
C’est en s’entraînant à intervenir en cas
d’incident à l’aide d’exercices de simulation
que l’équipe pourra nouer les relations
nécessaires avec l’entreprise. Les exercices de
simulation comprennent la participation des
équipes de direction, ainsi que les intervenants
en cas d’incident. Ces exercices permettent alors
aux équipes de sécurité et aux parties prenantes
de tisser des relations. Ces deux fonctions
apprendront à mieux travailler ensemble. Ainsi,
lorsqu’un incident se produira, chacun sait
à qui il aura affaire, comment s’impliquer et
les mesures qu’il faudra prendre pour remédier
à l’urgence.
2 3 4
Opérations de sécurité modernes 10

Fonctions typiques des

opérations de sécurité
L’enquête et la réponse aux incidents
constituent les composants les plus courants
des opérations de sécurité. C’est à ce stade que
la plupart des équipes chargées des opérations
de sécurité entameront leur développement.
Les fonctions classiques sont les suivantes.

● Enquête et réponse aux incidents :

examiner les alertes provenant des outils
de sécurité (par exemple, SIEM, XDR, EDR),
enquête et correction. Dans les grandes
organisations, tous les aspects de la réponse
aux incidents sont susceptibles d’être
gérés en interne. Toutefois, dans les petites
entreprises, ou celles dont les opérations
de sécurité sont moins développées,
ces fonctions sont parfois entièrement
externalisées et confiées à un fournisseur
de services de sécurité gérés (MSSP). Dans
d’autres cas, un modèle hybride sera établi
avec le triage et la correction à grande
vitesse externalisées vers le MSSP, tandis
que les enquêtes avancées seront réalisées
en interne.

1. Présentation des opérations de sécurité 2 3 4

Opérations de sécurité modernes
● Renseignements tactiques sur les menaces :
très souvent présents dans les grandes
organisations, les renseignements tactiques
sur les menaces se concentrent sur des
aspects techniques tels que les indicateurs de
compromis (IOC), les adresses IP malveillantes,
les noms DNS incorrects et les hachages
de fichiers. Dans certains cas, l’organisation
utilisera les informations provenant d’un
service de renseignements sur les menaces
pour assurer cette fonction, tandis que d’autres
organisations produiront leurs propres
données et effectueront leurs recherches. Les
renseignements tactiques sur les menaces sont
une fonction d’appui de la réponse aux enquêtes
et traitent les alertes et les enquêtes en cours.
● Gestion des incidents/crises : lorsqu’un
incident majeur ou une crise importante met
l’entreprise en danger, les entreprises peuvent
faire appel au rôle spécialisé de gestionnaire
d’incidents ou de gestionnaire de crise. Cette
personne est apte à gérer les interventions en
cas de crise, à évaluer les effets réglementaires
ou de conformité des incidents et à maintenir
la communication avec les chefs d’entreprise
tout au long de l’incident. Il est probable
qu’un gestionnaire d’incidents soit embauché
Les renseignements tactiques sur les menaces sont une
fonction d’appui de la réponse aux enquêtes et traitent
les alertes et les enquêtes en cours.
1. Présentation des opérations de sécurité 2 3
11
à temps plein dans les grandes entreprises,
tandis que les petites organisations peuvent
faire appel à ce rôle de façon temporaire,
lorsque cela est nécessaire. Ce rôle nécessite
un ensemble de compétences spécialisées,
différents des compétences techniques
d’enquête ou de celles d’autres analystes.
● Gestion de l’infrastructure SIEM dédiée :
les organisations qui utilisent des solutions
SIEM locales et gourmandes en infrastructure
peuvent constituer une équipe interne dont
le rôle est d’entretenir l’infrastructure SIEM.
L’infrastructure des solutions SIEM locales
existantes peut devenir très importante
et complexe. Dans ces cas, du personnel
supplémentaire peut être nécessaire pour
aider les équipes d’analystes à effectuer
des requêtes avancées et traquer les
pirates informatiques. À mesure que les
organisations migrent vers des solutions
SIEM basées dans le Cloud, comme Microsoft
Sentinel, nous nous attendons à ce que
cette fonction soit éliminée ou redirigée vers
d’autres besoins en infrastructure. En effet,
une solution SIEM basée dans le Cloud ne
nécessite aucune gestion d’infrastructure.
4
Opérations de sécurité modernes 12

Pour les équipes chargées

des opérations de sécurité
plus avancées :
● La traque proactive : un adversaire talentueux De manière réaliste, à l’heure actuelle, les
et déterminé peut parfois esquiver vos analystes de la sécurité font face à une pénurie
détections. Une fois à l’intérieur, les adversaires de talents. Toutes les entreprises qui disposent
se cachent dans le bruit afin d’être traités comme d’une équipe chargée des opérations en
un élément de moindre priorité. Ils évitent ainsi interne doivent principalement axer le travail
les processus normaux. Le secteur reconnaît de cette dernière sur l’enquête et la réponse
que les chasseurs proactifs doivent rechercher aux incidents. À mesure que ce besoin
les adversaires afin d’éliminer ceux qui sont fondamental est satisfait et que l’équipe mûrit
parvenus à esquiver les défenses primaires. Nous et se développe, les fonctions de l’équipe
parlerons plus en détail de la traque proactive peuvent également croître et évoluer vers
dans la section sur les bonnes pratiques. une traque proactive et des renseignements
stratégiques sur les menaces. Si vous ne
● Renseignements stratégiques sur les disposez toutefois que d’une petite équipe,
menaces : cette fonction de renseignements vous devez vous concentrer sur l’identification
sur les menaces est distincte de celle dédiée et la réponse aux incidents.
aux renseignements tactiques sur les menaces
que nous avons abordée précédemment
et qui fournit les indicateurs techniques de
compromis. Les renseignements stratégiques
sur les menaces sont prospectifs et fournissent
des conseils stratégiques, des renseignements
et des recherches sur les types de menaces et
d’attaques auxquels l’entreprise peut faire face.
Cette fonction traite également l’examen des
risques et des conséquences pour l’entreprise
si ces attaques surviennent. Le personnel chargé
des renseignements stratégiques sur les menaces
doit conseiller les DSI ou les chefs d’entreprise
afin qu’ils comprennent le paysage actuel des
menaces, comment interpréter les différentes
situations du point de vue de la cybersécurité
et les ajouter à leur planification stratégique.

1. Présentation des opérations de sécurité 2 3 4

Opérations de sécurité modernes 13

Moderniser
les opérations
de sécurité
Pour moderniser vos opérations de
sécurité, vous devez développer vos
outils et processus afin de pouvoir passer
d’une approche réactive à une démarche
proactive et d’un modèle de périmètre
de réseau à un modèle de sécurité qui
utilise l’identité comme plan de contrôle
principal pour la sécurité.

De la réactivité à la proactivité

Visibilité accrue

Les outils et l’automatisation sophistiqués

fournissent à vos analystes la visibilité et le gain
de temps nécessaires pour pouvoir passer des
réponses purement réactives à la préparation et
à la recherche proactives des adversaires. Ce type
d’outil est souvent appelé détection et réponse
étendue (XDR) et vise à fournir des détections
de haute qualité et d’autres fonctionnalités

1 2. Moderniser les opérations de sécurité 3 4

Opérations de sécurité modernes
dédiées à des ressources spécifiques, telles
que les points de terminaison, les identités,
les comptes de stockage dans le Cloud, etc.
De nombreuses organisations continuent d’utiliser
des solutions SIEM locales et hérités, ainsi qu’un
processus d’analyse axée sur les journaux. Il
est néanmoins important de se rappeler que
« la collecte et la détection sont deux choses
différentes ». Le fait de simplement collecter
les journaux ne s’avérera pas utile si vos analystes
sont submergés par une quantité excessive de
données. Vous manquerez les signaux en vous
perdant dans le bruit, tout en faisant perdre
un temps précieux à vos analystes, qui seront
occupés à chasser les faux positifs, alors que
les menaces réelles ne seront pas détectées.
Les entreprises doivent délaisser l’approche basée
sur une solution SIEM héritée et axée sur les
journaux pour évoluer vers un modèle fondé sur
une solution SIEM basée dans le Cloud, comme
Microsoft Sentinel. Elles doivent également
adopter des outils de pointe, tels que la détection
et la réponse des points de terminaison (EDR)
et d’autres outils de détection spécialisés.
Lorsque ces outils de détection sont intégrés
à une solution SIEM basée dans le Cloud, capable
d’appliquer le Machine Learning, l’analyse des
comportements et la technologie de réponse,
automatisation et orchestration de la sécurité
(SOAR) aux alertes entrantes, trois choses se
produisent :
1 2. Moderniser les opérations de sécurité 3 4
14
1. De nombreuses alertes sont gérées via
l’automatisation sans nécessiter la participation
d’un analyste.
2. La qualité des alertes qui constituent les files
d’attente de vos analystes augmente de façon
spectaculaire, tandis que ceux-ci obtiennent
une visibilité précise sur les situations et les
emplacements où ils doivent intervenir.
3. À mesure que la technologie automatise
de plus en plus les fonctions réactives des
opérations de sécurité, les analystes peuvent
se concentrer davantage sur la traque
proactive de la sécurité, en recherchant
les anomalies et les adversaires dans leur
environnement.
Ce type d’évolution, qu’il s’agisse de passer des
approches réactives aux démarches proactives,
et d’une solution SIEM locale à des outils
basés dans le Cloud, n’est pas toujours linéaire.
Mais c’est généralement la trajectoire de
maturité. Nous prévoyons qu’elle augmentera
à l’avenir, et nous recommandons ce modèle
aux organisations qui souhaitent prendre des
mesures productives pour moderniser leurs
opérations de sécurité.
Opérations de sécurité modernes 15

La réduction de la surface d’attaque est une Voici les étapes d’une chaîne
autre mesure proactive que vous pouvez
prendre. La plupart des attaques contre une
de destruction typique :
organisation suivent la structure de ce que l’on
1. Reconnaissance : des criminels conçoivent
appelle la chaîne de destruction cybernétique.
des moyens d’exploiter une organisation ou
La chaîne de destruction nous aide à comprendre
un utilisateur au sein d’une organisation. Cela
comment fonctionne une attaque typique et
peut inclure des recherches pour découvrir des
quelles technologies peuvent aider à atténuer
informations pouvant être utilisées dans le cadre
les menaces dans chaque section de la chaîne.
d’une campagne de harponnage, des activités
En comprenant la chaîne, les organisations
sur le Dark Web où les criminels achètent des
peuvent placer des « ruptures » dans chaque
informations sur les vulnérabilités au sein d’une
maillon de la chaîne afin d’arrêter une attaque
organisation, ou font de la reconnaissance pour
ou d’empêcher sa propagation.
découvrir les points faibles de l’infrastructure
ou de la base d’utilisateurs d’une entreprise.

2. Exploitation d’une vulnérabilité : les

cyberattaquants lancent alors une attaque.
Il peut s’agir d’une campagne d’hameçonnage
commune ou d’une technique plus sophistiquée
conçue pour implanter du code malveillant dans
les systèmes d’une entreprise.

3. Mouvement latéral : une fois à l’intérieur,

les criminels utilisent leur accès pour se frayer
un chemin, souvent sans être détectés, dans
les systèmes d’une organisation afin de localiser
des données clés. Ils peuvent prendre des
mesures pour effacer leurs traces ou ajouter
d’autres points d’entrée si la brèche initiale
est découverte.

4. Exfiltration des données : une fois qu’ils

ont trouvé les données qu’ils recherchent,
qu’il s’agisse d’informations personnelles,
financières, de propriété intellectuelle ou d’autres
informations sensibles, les criminels peuvent les
voler ou les chiffrer dans le cadre d’une attaque
de ransomware.

1 2. Moderniser les opérations de sécurité 3 4

Opérations de sécurité modernes 16

Un manque d’organisation entre vos outils peut
imposer une charge supplémentaire aux analystes
de la sécurité pour déchiffrer les menaces
manuellement, ce qui ralentit les réponses lorsque
le temps est compté.
Une stratégie traditionnelle de défense du
périmètre ne suffit plus pour atténuer les
attaques contre une organisation. Les techniques
d’attaque modernes telles que l’hameçonnage
et la pulvérisation de mots de passe sont conçues
pour vaincre les défenses du périmètre. En outre,
une quantité croissante de données existent
dans le cloud et sur les appareils mobiles en
dehors du réseau de l’entreprise. En réponse, les
responsables de la sécurité doivent abandonner
les protections basées sur le périmètre, qui
sont conçues simplement pour éloigner les
cyberattaquants, pour adopter une approche
de protection/détection/réponse conçue pour
le monde actuel de « présomption d’infraction ».
Toutefois, cette approche multicouche
est souvent mise en œuvre par des solutions
ponctuelles déployées au coup par coup
pour traiter des sections spécifiques de
la chaîne de destruction. Elle n’élimine
pas la vulnérabilité des organisations, car
les outils sont souvent cloisonnés et doivent
être gérés séparément. Cela permet de
combler les lacunes critiques en matière
de visibilité et de couverture, des lacunes
que les cyberattaquants peuvent exploiter.
Une approche globale de l’atténuation des
risques dans le contexte actuel d’évolution
des menaces nécessite une plateforme
qui puisse offrir aux DSI et à leurs équipes
une intégration et une visibilité dans toute
l’entreprise. Cette approche intégrée
comble vos lacunes pour réduire la surface
d’attaque. Cette approche est possible grâce
à l’intégration d’un système SIEM natif du
cloud, qui s’étend à toutes les plateformes
avec des solutions de détection et de réponse
étendues (XDR). Celles-ci assurent une
protection renforcée contre les menaces
sur l’ensemble des domaines afin d’aider les
défenseurs à relier des alertes apparemment
disparates et à devancer les cyberattaquants.

Les techniques d’attaque modernes, comme le hameçonnage

et la pulvérisation de mots de passe, contournent le périmètre.
En outre, les ressources résident de plus en plus dans le Cloud
et sur les appareils mobiles en dehors du réseau de l’entreprise.

1 2. Moderniser les opérations de sécurité 3 4

Opérations de sécurité modernes 17

L’approche de Microsoft

Le Microsoft SOC offre cette visibilité étendue et approfondie avec les fonctionnalités de SIEM + XDR
intégrées de Microsoft Sentinel, de Microsoft 365 Defender et de Microsoft Defender pour le Cloud.

Microsoft Sentinel
SIEM natif du cloud, fournissant des analyses de sécurité intelligentes à l’échelle de l’entreprise

Ingérer des données Détecter Enquêter Repérer Automatiser

de l’ensemble avec une sur l’ensemble avec les charges de
de votre corrélation entre de vos solutions l’ensemble de travail avec tous
environnement les signaux de sécurité vos données vos outils

Incidents partagés
avec une synchronisation
bi-directionnelle

Signaux
XDR supplémentaires
Microsoft 365 Defender Microsoft Defender
pour le Cloud
Sécurisez vos utilisateurs en leur
Sécurisez vos charges de travail
proposant une protection pour : multi-cloud et de cloud hybride
• Points de • Applications avec une protection pour :
terminaison • Données • Serveurs • Conteneurs
• Bases de • Applications
• E-mails • IoT données Cloud
• Identités • Stockage

1 2. M
 oderniser les opérations de sécurité 3 4
Opérations de sécurité modernes 18

● Microsoft Sentinel, notre solution SIEM de Opérations de sécurité

pointe native du Cloud, collecte tout type de
données, quelle que soit la source ou l’entité.
Sentinel effectue des analyses de sécurité
intelligentes et fournit des renseignements
sur les menaces dans l’ensemble de l’entreprise,
en assurant une détection des alertes, une
visibilité des menaces, une traque proactive
et une réponse orchestrée contre les menaces
grâce à une technologie SOAR intégrée.
● Microsoft 365 Defender assure une détection
et une réponse étendues (XDR) entre les
identités, les points de terminaison, les
applications et les e-mails.
● Microsoft Defender pour le cloud assure
une protection multi-cloud complète pour
l’Internet des objets, l’infrastructure, les
ressources cloud et les charges de travail.
Architecture de référence Microsoft
Notre vision technique des opérations de
sécurité repose sur les personnes (analystes
et chasseurs). Nos technologies de sécurité
SIEM + XDR intégrées sont appliquées pour
aider les analystes et les chasseurs à accomplir
leur travail, en leur fournissant des informations
détaillées sur les alertes de haute qualité qui
intègrent à la fois la profondeur des signaux
via XDR et la variété des signaux grâce à notre
solution SIEM, Microsoft Sentinel, native
du cloud. Notre protection XDR couvre les
produits et services Microsoft et s’étend à tout
le reste de l’environnement. La détection et la
réponse coordonnées permettent de trouver
et de supprimer les chaînes d’attaque les plus
sophistiquées pour empêcher les adversaires de
se déplacer dans l’environnement s’ils y accèdent.

En savoir plus sur la protection intégrée

Microsoft contre les menaces avec SIEM
et XDR.

Nos technologies de sécurité SIEM + XDR intégrées sont

appliquées pour aider les analystes et les chasseurs à accomplir
leur travail, en leur fournissant des informations détaillées sur
les alertes de haute qualité.

1 2. Moderniser les opérations de sécurité 3 4

Opérations de sécurité modernes 19

Zero Trust et opérations

de sécurité modernes
À ce jour, la plupart des organisations
instaurent des défenses efficaces pour contrer
les attaques basées sur le réseau. Sachant cela,
les pirates informatiques ont modifié leurs
tactiques pour lancer des attaques ciblant
l’identité et les applications, où les défenses
sont plus faibles. En outre, les appareils et
les applications quittent maintenant le réseau,
ce qui élimine le périmètre comme point
de contrôle.

Pour vous moderniser, vous devez faire

évoluer vos tactiques de défense en fonction
des tactiques de vos adversaires. C’est
pourquoi nous vous conseillons vivement
d’adopter un modèle de sécurité Zero Trust,
car celui-ci est un modèle axé sur l’identité.
N’entendez pas, par cela, que vous deviez
ignorer les réseaux, mais simplement que
vous devez prêter attention aux techniques
d’attaque basées sur les identités. Nous vous
conseillons d’en faire votre priorité absolue
lors du développement de compétences et
de capacités en matière de sécurité d’identité.

Au lieu de mettre en place des mesures

de sécurité stricte sur le réseau et de supposer
que tout ce qui se trouve derrière le pare-feu
de l’entreprise est sécurisé, le modèle Zero
Trust suppose une violation de sécurité et
vérifie chaque requête comme si elle provenait
d’un réseau non contrôlé. Le modèle Zero Trust
n’accorde sa confiance à aucun réseau, chaque
réseau est considéré comme hostile.

1 2. Moderniser les opérations de sécurité 3 4

Opérations de sécurité modernes 20

1. Vérification explicite : les opérations
d’authentification et d’autorisation sont
systématiquement effectuées en fonction de
l’intégralité des points de données disponibles,
notamment l’identité de l’utilisateur, son
emplacement, l’intégrité de l’appareil utilisé,
le service ou la charge de travail, la classification
des données et les anomalies.
2. Accès basé sur les privilèges minimum : les
utilisateurs se voient accorder des droits d’accès
strictement nécessaire et juste-à-temps (JIT/JEA).
Il convient d’appliquer des stratégies adaptées
aux risques potentiels, mais aussi de prendre
des mesures visant à protéger les données
et la productivité.
Une approche Zero Trust doit s’étendre
à l’ensemble du domaine numérique
et être appliquée en tant que philosophie
de sécurité intégrée et stratégie end-to-
end. Pour ce faire, il faut mettre en œuvre
des contrôles et des technologies Zero
Trust sur six éléments fondamentaux :
identités, points de terminaison, applications,
données, infrastructure et réseaux. Chacun
de ces six éléments fondamentaux est une
source de signal, un plan de contrôle pour
l’application de stratégies et une ressource
primordiale à défendre. Chacun constitue
donc un domaine important pour cibler les
investissements, en commençant par l’identité.

3. Anticipation des violations : grâce à la

segmentation de l’accès par réseau, utilisateur,
appareil et application, les répercussions
d’une violation potentielle sont réduites, et les
mouvements latéraux évités. Toutes les sessions
sont chiffrées end-to-end. Vous pouvez analyser
les données pour gagner en visibilité, assurer la
détection des menaces et renforcer vos défenses.

Chacun de ces six éléments fondamentaux est une

source de signal, un plan de contrôle pour l’application
de stratégies et une ressource primordiale à défendre.

1 2. Moderniser les opérations de sécurité 3 4

Opérations de sécurité modernes 21

Identités Points de
Humaines terminaison
Non humaines D’entreprise
Personnels
Authentification Conformité
forte des appareils

Amélioration Évaluation
des demandes des risques

Optimisation Protection contre

des stratégies Stratégie les menaces
Gouvernance
Conformité
Zero Trust Évaluation continue
Renseignement sur les menaces
Évaluation des conditions Évaluation
Analyses
de sécurité Application
Optimisation Automatisation des
de la productivité interventions

Filtrage et segmentation du trafic

Réseau
Public Privé

Classer, étiqueter, chiffrer Accès adaptatifs Contrôle de l’exécution

Don- Appli-
nées Infrastructure
cations
E-mails et documents Applications SaaS IaaS – PaaS – Conteneurs de
sites internes – Sans serveur
Données structurées Applications sur site
Juste à temps (JIT) et
contrôle des versions

Télémétrie/analyse/évaluation

1 2. Moderniser les opérations de sécurité 3 4

Opérations de sécurité modernes 22

Le rôle de l’orchestration
dans Zero Trust
L’orchestration est le processus d’intégration
des applications et d’automatisation
d’un workflow. Comme nous l’avons déjà
mentionné, Zero Trust est l’approche la plus
efficace lorsqu’elle est pleinement intégrée
dans une stratégie de bout en bout. Mais la
réalisation de cette intégration d’une manière
qui favorise la conformité et l’efficacité
opérationnelle nécessite une orchestration
minutieuse.

Cela signifie que vous devez appliquer des

stratégies Zero Trust claires et une évaluation
continue de l’efficacité de ces stratégies afin
que les ajustements puissent être effectués
selon les besoins. L’évaluation continue est
essentielle pour optimiser la gouvernance,
la conformité et la productivité tout en
conservant des conditions de sécurité solides.
L’intégration d’un flux de renseignements
sur les menaces facilite l’ajustement des
stratégies en fonction des dernières menaces,
et l’automatisation des réactions permet
de répondre aux attaques en temps réel
et de stimuler l’efficacité.

Voici la feuille de route relative à la

modernisation Zero Trust que nous vous
recommandons pour planifier et mettre
en œuvre l’adoption d’un modèle Zero Trust.

1 2. Moderniser les opérations de sécurité 3 4

Opérations de sécurité modernes 23

Adapter la stratégie de
Conclure la stratégie
segmentation aux équipes

● Unifier l’identité, les appareils, les applications,
les données, l’infrastructure et les réseaux
en une seule stratégie de segmentation
d’entreprise. Tout le monde doit être sur
la même longueur d’onde et poursuivre
la même stratégie, avec les mêmes priorités,
en parlant le même langage.
Établir un périmètre moderne
et basé sur les identités
● Établir le chemin critique à l’aide des
assurances des utilisateurs et des appareils.
Utilisateur : l’authentification sans mot
de passe ou l’authentification multifacteur
(MFA) est nécessaire pour accéder aux
applications modernes.
Appareil : l’intégrité de l’appareil
est nécessaire pour obtenir l’accès.
Nous vous conseillons de déployer votre
chemin critique vers les administrateurs
IT en premier lieu.
● Moderniser les applications et de solides
assurances sur les ressources locales héritées
via proxy d’application.
● Augmenter les niveaux de protection des
données sensibles (CASB, contrôle d’accès
CA, AIP).
● Supprimer les protocoles d’authentification
hérités.
Affiner la segmentation
et le périmètre du réseau
● Segmenter les ressources ayant un
impact stratégique, vital/de sécurité
et opérationnel/physique.
● Ajouter la microsegmentation pour réduire
davantage les risques.
● Retirer et isoler les plateformes de calcul
héritées, notamment celles qui sont dotées
d’un système d’exploitation et d’applications
non pris en charge.

Les administrateurs IT peuvent vous transmettre

des commentaires techniques afin de vous
aider à effectuer des améliorations avant de
procéder au déploiement étendu. Toutefois,
les administrateurs IT sont ciblés par les
pirates et une violation de leurs comptes peut
s’avérer dévastatrice. Commencez par sécuriser
les administrateurs IT avant de protéger
les utilisateurs réguliers.

1 2. Moderniser les opérations de sécurité 3 4

Opérations de sécurité modernes
Premiers pas avec
le modèle Zero Trust
Le Zero Trust est un modèle de sécurité et
non une technologie spécifique. L’adoption
du modèle Zero Trust est un parcours
et non un interrupteur marche-arrêt. Dans
les environne-ments de travail mobiles,
distants et hybrides d’aujourd’hui, vous
ne pouvez plus compter sur le périmètre
du réseau pour garantir la sécurité, étant
donné que celui-ci a disparu. Les équipes
chargées des opérations de sécurité doivent
s’aligner sur la protection basée sur les
identités pour jeter les bases d’un modèle
Zero Trust. Les utilisateurs peuvent disposer
de plusieurs appareils et accéder à des
ressources d’entreprise à partir d’une variété
de réseaux et d’applications. La quasi-
totalité de ces ressources nécessitent une
authentification, ce qui fait de l’identité
un dénominateur commun pour toutes les
demandes d’accès, qu’il s’agisse d’un appareil
personnel sur un réseau Wi-Fi public ou
d’un appareil d’entreprise à l’intérieur du
périmètre du réseau. En utilisant l’identité
comme plan de contrôle, vous pouvez traiter
chaque demande d’accès comme non fiable
jusqu’à ce que l’utilisateur, l’appareil et d’autres
facteurs aient été entièrement vérifiés.
1 2. Moderniser les opérations de sécurité
24
La première phase de la mise en œuvre
d’un modèle de sécurité Zero Trust consiste
à connecter toutes vos applications à une
solution d’identité Cloud unique, comme
Microsoft Azure Active Directory. En procédant
ainsi, vous pouvez établir une sécurité basée
sur les identités et appliquer des stratégies
personnalisées dans l’ensemble de votre
environnement afin de contrôler l’accès
à chaque application. Une fois cette étape
terminée, vous pouvez mettre en œuvre
l’authentification multifacteur (MFA) pour
toutes vos applications. La MFA est une
stratégie de sécurité cohérente et solide,
capable de bloquer jusqu’à 99,9 % des
attaques de compromis de compte.
Pour évaluer la situation de sécurité de
votre organisation en ce qui concerne la
stratégie Zero Trust, effectuez l’évaluation
de la maturité Zero Trust.
Azure Active Directory, qui fait partie de
Microsoft Entra, est la solution d’identité
recommandée par Microsoft pour le modèle
Zero Trust. Pour découvrir comment vous
pouvez commencer votre parcours Zero
Trust avec la gestion des identités et des
accès, lisez Sécuriser l’identité avec ZeroTrust.
3 4
Opérations de sécurité modernes 25

Protection contre
les menaces internes
Grâce à un modèle de sécurité Zero Trust
et une suite de sécurité intégrée, les équipes
chargées des opérations de sécurité sont plus
à même de protéger l’organisation contre
les menaces externes. Toutefois, vous devez
également vous prémunir contre les menaces
internes grâce à des outils et des processus
qui protègent les informations, les utilisateurs
et les appareils.

Les données vont désormais bien au-delà de

l’infrastructure locale dans les environnements
multi-cloud et cloud hybride, étendant ainsi
vos responsabilités à l’intégralité du cycle
de vie des données (entre le moment de leur
création et celui de leur retrait ou de leur
suppression).

Pour garantir la sécurité de votre organisation,

vous devez impérativement de connaître les
données que vous possédez, les personnes
qui y accèdent, et comment elles les utilisent.
Toutefois, à l’image de la rationalisation
de la sécurité d’identité, ces initiatives
s’articulent autour d’un élément clé : réduire
les risques sans compromettre la productivité
des utilisateurs dans cet environnement
informatique étendu.

1 2. Moderniser les opérations de sécurité 3 4

Opérations de sécurité modernes 26

Les organisations disposent de divers outils et Nous vous conseillons de concentrer vos
technologies pour gérer et protéger les données initiatives de protection contre les menaces
à différentes étapes du cycle de vie. Bien que internes end-to-end autour de trois étapes
ces outils offrent une certaine flexibilité, ils clés :
engendrent également une grande complexité.
● Identification des données
Une étude récente de l’IDG a révélé que les
entreprises utilisent en moyenne près de cinq
● Classification des données
systèmes de gestion des données différents
pour des activités telles que la classification,
● Déploiement d’outils et de stratégies
la découverte électronique et la gestion des
visant à protéger vos données
dossiers. Les solutions de sécurité intégrées
peuvent également contrer les menaces internes
L’objectif visé est la protection de toutes les
en comblant les lacunes critiques qui conduisent
informations, peu importe comment et où elles
à des fuites de données et en vous donnant une
sont utilisées.
visibilité end-to-end tout au long du cycle de vie
des données.

Pour garantir la sécurité de votre organisation, vous devez

impérativement de connaître les données que vous possédez,
les personnes qui y accèdent, et comment elles les utilisent.

1 2. Moderniser les opérations de sécurité 3 4

Opérations de sécurité modernes
Différenciation entre les risques
intentionnels et involontaires
Les menaces internes sont inhérentes à chaque
entreprise et parfois, les données sont mises
en péril même dans le cours normal du travail
légitime. Réfléchissez au nombre de personnes
qui accèdent aux ressources, au cycle naturel
des personnes qui vont et viennent au sein d’une
entreprise. Avec les processus, les capacités et
les contrôles appropriés, vous pouvez assurer
la surveillance des données et conserver la
confiance des utilisateurs sans compromettre
la productivité.
Voici l’une des capacités essentielles à appliquer :
différencier les risques intentionnels des risques
involontaires de la part de vos utilisateurs. Un
utilisateur malveillant peut tenter de commettre
des actions qui vont à l’encontre des stratégies
d’entreprise, en désactivant les contrôles de
sécurité, par exemple, ou en installant des logiciels
malveillants.
Souvent, le but visé consiste à provoquer une
fuite ou un vol de données à des fins personnelles
ou pour des raisons malveillantes.
L’équipe chargée des opérations de sécurité
doit être préparée à ces événements et doit être
à même de prévenir, de détecter et de contenir
ces types de menaces.
1 2. Moderniser les opérations de sécurité
27
Il existe toutefois d’autres catégories
de menaces dans lesquelles l’utilisateur
ne sait même pas qu’il enfreint la politique
de l’entreprise. Un utilisateur peut être
passionné par un projet et peut par exemple
partager des informations à son sujet en
dehors de son travail. Ce faisant, il commet
une fuite de données sans se rendre compte
qu’il transmet des informations sensibles.
Les outils permettant d’arrêter cette fuite
de données involontaire avant qu’elle ne se
produise et/ou pour procéder à une enquête
et l’examiner en temps réel, dans son contexte,
vous permettent de déterminer l’intention et
l’impact associés, puis de décider s’il s’agit d’un
acte de négligence isolé ou d’une partie d’une
initiative plus importante et potentiellement
malveillante.
À mesure que vous identifiez les risques, vous
devez veiller à accorder la priorité aux activités
véritablement suspectes, afin de ne pas nuire
aux utilisateurs ou de submerger les analystes
d’alertes avec des faux positifs.
En savoir plus sur la gestion des risques
internes dans Microsoft Purview.
3 4
Opérations de sécurité modernes 28

Bonnes pratiques relatives

aux opérations de sécurité

Comme nous l’avons mentionné
plus tôt, les personnes constituent
le cœur du centre des opérations
de sécurité, en particulier les analystes
de la sécurité.
Vos objectifs doivent être de permettre à vos
collaborateurs de progresser dans la boucle
OODA le plus rapidement possible, en leur
transmettant des informations optimales, afin
qu’ils puissent prendre les bonnes décisions
et les mesures les plus efficaces.

À mesure que vos analystes accomplissent leur

Pour accélérer la prise de décisions éclairées,
travail, ils progresseront de manière formelle
concentrez-vous sur l’optimisation de la
ou non à travers ce que l’on appelle une
visibilité, en réduisant les étapes manuelles
boucle OODA :
et en augmentant l’impact humain.

● Observer

● Orienter

● Décider

● Agir

1 2 3. Bonnes pratiques relatives aux opérations de sécurité 4

Opérations de sécurité modernes 29

Optimiser la visibilité Nous sommes convaincus que l’automatisation

et la technologie ont le pouvoir de réduire
● Interne : réduisez les angles morts internes
le labeur humain. Toutefois, les attaquants
en veillant à appliquer une bonne couverture
auxquels vous faites face sont des opérateurs
(près de 100 %, autant que ce que vous
humains. Le jugement humain est donc un
pouvez gérer), tout en englobant différents
élément essentiel du processus de défense
types de ressources (notamment les identités,
contre les menaces.
les points de terminaison, les e-mails, les
applications Cloud, les datacenters sur site,
L’efficacité de l’automatisation n’a pas pour
les datacenters Cloud et les données des
vocation d’éliminer les humains du processus,
applications SaaS et PaaS dans le Cloud).
mais plutôt d’optimiser le travail de ceux-
ci. Réfléchissez à la façon dont vous pouvez
● Externe : veillez à disposer d’une diversité
automatiser les tâches répétitives des analystes,
de menaces provenant de sources externes
afin qu’ils puissent se concentrer sur les
qui vous donnent un aperçu et le contexte
problèmes complexes, dont la résolution
de l’environnement externe des logiciels
ne peut être effectuée que par des personnes.
malveillants, des attaques par e-mail, des sites
Web d’attaques, des mots de passe/identités
L’automatisation permet aux humains
compromis(es), etc. Optimisez l’actualisation
d’optimiser leur travail en accélérant les
et la fidélité (détails appropriés) des sources
réponses et en copiant l’expertise humaine. Elle
de menaces externes que vous utilisez.
réduit la charge et l’ennui des tâches répétitives,
ce qui permet aux analystes de consacrer du
Réduire les étapes manuelles (et les erreurs) temps et de la créativité à de nouveaux défis
et menaces.
Automatisez et intégrez autant de processus
manuels que possible pour éliminer les
actions humaines inutiles qui entraînent des
ralentissements et des erreurs humaines
potentielles.

Pour extraire rapidement les signaux

(détections réelles) du bruit (faux positifs), vous
devez investir tant dans les humains que dans
l’automatisation.

1 2 3. Bonnes pratiques relatives aux opérations de sécurité 4

Opérations de sécurité modernes 30

Optimiser l’impact humain

Pour les étapes du processus où il est judicieux
d’inclure une interaction humaine (choix
difficiles, nouvelles décisions, etc.), vous devez
vous assurer que vos analystes ont accès à une
expertise et une intelligence approfondies pour
améliorer ces décisions.
En outre, vous devez vous assurer que
l’apprentissage est intégré tout au long
du processus, jusqu’à la prise en compte
du moment où vous assistez au déroulement
d’une attaque pour connaître son objectif
(valeur à long terme) jusqu’à son blocage
(valeur à court terme).

Accélérer la prise de décisions éclairées

Optimiser la visibilité Interne : exhaustivité et diversité de la couverture

des capteurs
Externe : diversité et fidélité des menaces

Réduire les étapes Automatiser : tâches de détection et de réponse

manuelles (et les erreurs) Intégrer : outils d’enquête

Optimiser l’impact humain Offrez aux analystes une expertise et une intelligence
approfondies Apprentissage continu : observez les
attaques et intégrez les enseignements à vos tactiques
de défense

Détecter Répondre Récupérer

Observer Orienter Décider Agir

1 2 3. Bonnes pratiques relatives aux opérations de sécurité 4

Opérations de sécurité modernes
Culture des opérations de sécurité
La culture guide chaque jour d’innombrables
décisions en définissant les bonnes réponses dans
des situations ambiguës, lesquelles ne manquent
pas dans les opérations de sécurité.
En axant les éléments culturels sur les personnes,
le travail d’équipe et l’apprentissage continu,
vous veillez à ce que votre équipe puisse évoluer
continuellement au rythme des menaces contre
lesquelles elle doit lutter :
● Utiliser votre talent humain avec sagesse :
nos collaborateurs sont nos ressources les
plus précieuses. Nous ne pouvons pas nous
permettre de perdre leur temps sur des tâches
répétitives et barbantes qui peuvent être
automatisées. Pour lutter contre les menaces
humaines auxquelles nous sommes confrontés,
nous avons besoin d’êtres humains compétents
et bien équipés, capables de démontrer
leurs connaissances, leur jugement et leur
pensée créative. Ce facteur humain affecte
presque tous les aspects des opérations de
sécurité, y compris le rôle des outils et de
l’automatisation pour permettre aux humains
d’en faire plus (et non pas de les remplacer)
et de réduire le labeur de nos analystes.
1 2 3. Bonnes pratiques relatives aux opérations de sécurité
31
● Travail d’équipe : nous vous conseillons
de ne pas tolérer la mentalité de « héros
solitaire » au sein de l’équipe chargée des
opérations de sécurité. L’intelligence d’une
seule personne ne peut rivaliser avec celle
de toute une équipe. Le travail d’équipe est
un environnement de travail à haute pression,
qui est beaucoup plus amusant, agréable et
productif quand chacun sait qu’il appartient
à une équipe et bénéficie du soutien de tous
ses membres. Le centre des opérations de
sécurité Microsoft conçoit ses processus et
ses outils pour diviser les tâches en spécialités
et encourager les collaborateurs à partager
des informations, à collaborer et à vérifier
le travail de chacun, tout en apprenant
constamment les uns des autres.
● Changement de mentalité vers la gauche :
pour devancer les cybercriminels et les
pirates qui perfectionnent constamment
leurs techniques, les équipes chargées
des opérations de sécurité doivent
continuellement améliorer et déplacer leurs
activités « à gauche » dans la chronologie
des attaques. En se concentrant sur la rapidité
et l’efficacité, l’équipe peut « dépasser la
vitesse d’attaque » en déterminant comment
détecter les attaques plus tôt et réagir plus
rapidement. Ce principe est effectivement
une application d’une mentalité de croissance
basée sur l’apprentissage continu, qui
maintient l’équipe concentrée sur la réduction
des risques pour l’entreprise et les clients.
4
Opérations de sécurité modernes 32

Séparer les comptes disposant

de privilèges élevés

Les attaques fructueuses engendrent des attaquants, etc.). Nous considérons les écarts
dommages différents. Les comptes de haut niveau principalement comme une opportunité
(membres du conseil d’administration, PDG, d’apprentissage pour améliorer les processus
directeur financier, par exemple) et les comptes ou les outils et non comme l’échec du SOC
d’administrateur présentent le plus grand risque à atteindre un objectif.
en cas de compromis. Par conséquent, vous
devez accorder une attention particulière à ces
comptes et les protéger proactivement en les
séparant dans des environnements informatiques
dédiés à l’aide de stations de travail à accès
privilégié (PAW). Celles-ci protègent ces comptes
importants contre les attaques Internet et autres
vecteurs de menaces.

Métriques : évaluer la réussite

Les métriques traduisent la culture en objectifs

clairs et mesurables et ont une influence
considérable sur le comportement des personnes.
Il est essentiel de tenir compte des éléments
mesurés, ainsi que de l’accent mis sur ces mesures
et de la façon dont vous les appliquez. Chez
Microsoft, nous mesurons plusieurs indicateurs
de réussite dans le centre des opérations de
sécurité (SOC). Nous reconnaissons toujours
néanmoins que le travail de ce dernier consiste
à gérer des variables importantes qui ne relèvent
pas directement de notre contrôle (attaques,

1 2 3. Bonnes pratiques relatives aux opérations de sécurité 4

Opérations de sécurité modernes
Voici les métriques que nous suivons,
sur lesquelles nous basons les tendances
et les rapports :
● Temps moyen de reconnaissance (MTTA) :
la réactivité est l’un des rares éléments sur
lesquels le SOC exerce un contrôle direct. Nous
mesurons le temps entre le déclenchement
d’une alerte et la réception de celle-ci par
un analyste, qui commence alors son enquête.
Pour améliorer cette réactivité, les analystes
ne doivent pas perdre de temps à enquêter
sur les faux positifs si une alerte de vrai positif
doit être traitée. Pour y parvenir, nous devons
procéder à une hiérarchisation implacable.
Toute alerte nécessitant la réponse d’un
analyste doit présenter un bilan de 90 %
de vrais positifs.
● Temps moyen de correction (MTTR) :
comme beaucoup de SOC, nous suivons le
temps nécessaire pour remédier à un incident
afin de nous assurer que nous limitons le
temps passé par les pirates au sein de notre
environnement, en vue d’optimiser l’efficacité
des processus et des outils de notre SOC.
1 2 3. Bonnes pratiques relatives aux opérations de sécurité
33
● Incidents corrigés (manuellement
par rapport à l’automatisation) : nous
mesurons le nombre d’incidents qui sont
corrigés manuellement et ceux qui sont
résolus via l’automatisation. Ainsi, nous
garantissons une dotation en personnel
appropriée et mesurons l’efficacité de notre
technologie d’automatisation.
● Remontées d’informations entre chaque
niveau : nous suivons le nombre d’incidents
qui sont remontés entre les différents
niveaux d’analystes pour nous assurer
que nous capturons précisément la charge
de travail de chaque niveau. Nous devons
par exemple nous assurer que le travail
de niveau 1 d’un incident remonté n’est
pas entièrement attribué au niveau 2.
4
Opérations de sécurité modernes 34

Maintenir une hygiène critique

Les méthodes, les défenses et les conséquences
peuvent varier, mais pour expliquer les choses
simplement, les attaquants exploitent les
vulnérabilités. Cela facilite votre travail en tant
que professionnel de la sécurité : vous devez
donc éliminer vos vulnérabilités.
Chaque équipe doit mettre à jour son
environnement : c’est ce que nous appelons
une « dette technique ». Vous devez effectuer
des sauvegardes, ou mettre à jour les
autorisations de fichiers. Il peut également s’agir
d’appliquer des correctifs ou de supprimer de
vieux protocoles. Il s’agit de toutes les bonnes
pratiques connues.
À mesure que les cybercriminels trouvent
de nouvelles façons de concevoir un modèle
métier ou une technique d’attaque, ils
exploitent souvent les anciennes vulnérabilités
de manière innovante. Dans certains cas, ils
peuvent exploiter des vulnérabilités dont vous
ignoriez l’existence auparavant. Ainsi, bien
que les techniques des cybercriminels puissent
évoluer, l’impératif d’une bonne hygiène
technique à l’ancienne reste le même. Vous
devez donc maintenir votre environnement
à jour comme vous le faites depuis longtemps
et découvrir les autres mesures essentielles pour
contrer les pirates informatiques, en fonction
de leur comportement pour protéger votre
organisation des attaques, et cela vaut aussi
pour les types d’attaques les plus récents.

À mesure que les cybercriminels trouvent de nouvelles façons

de concevoir un modèle métier ou une technique d’attaque,
ils exploitent souvent les anciennes vulnérabilités de manière
innovante.

1 2 3. Bonnes pratiques relatives aux opérations de sécurité 4

Opérations de sécurité modernes 35

Hygiène critique = remédier à la dette technique

Même si le Cloud peut accélérer la cadence, le travail à effectuer reste important

Élément Priorité renforcée Priorité renforcée Priorité renforcée

« nouveau » • Sauvegardes • Installation • Sécurité des
• Vol d’informations • Autorisations de correctifs applications Web
d’identification de fichiers • Supprimer les • Surveillance des
anciens protocoles performances

Auditeurs Vol de Ransomware Destruction Cryptomineurs

(et hameçonnage, données (cyberattaques
SPAM, botnet) ciblées rapides)

De nouveaux modèles de monétisation remanient simplement

les priorités de l’ancienne dette d’hygiène :

1. Examinez régulièrement vos 3. Consultez souvent votre liste de

besoins d’hygiène critiques. bonnes pratiques et de priorités
pour garantir qu’elle correspond
2. Établissez vos priorités en aux conditions actuelles.
fonction de la situation actuelle.
4. Travaillez continuellement pour
éliminer votre « dette technique ».

1 2 3. Bonnes pratiques relatives aux opérations de sécurité 4

Opérations de sécurité modernes
Traque proactive
La chasse aux menaces est un puissant outil dont
disposent les équipes pour réduire les risques
organisationnels. Elle est toutefois communément
représentée comme une forme d’art complexe
et mystérieuse, uniquement réservée aux experts,
et cette idée peut être contreproductive. Le
terme « chasse aux menaces » fait simplement
référence au processus d’analystes expérimentés
qui recherchent de manière proactive et itérative
des opérations malveillantes qui ont échappé
à d’autres détections.
La chasse est un complément aux processus,
alertes et détections réactifs, et vous permet
d’anticiper de manière proactive les attaques.
Ce qui distingue la chasse des activités réactives,
c’est sa nature proactive. En effet, les chasseurs
consacrent beaucoup de temps à réfléchir
à des questions, à identifier les tendances et les
modèles, et à obtenir une vue d’ensemble plus
exhaustive. Un programme de chasse fructueux
n’est pas purement proactif cependant, car il
nécessite un équilibre continu entre les efforts
réactifs et les efforts proactifs.
Les chasseurs de menaces devront toujours
entretenir leurs tactiques réactives et conserver
des compétences pointues, tout en demeurant
attentifs aux tendances émergeant dans les files
d’attente des alertes.
1 2 3. Bonnes pratiques relatives aux opérations de sécurité
36
Le SOC Microsoft aborde la chasse
aux menaces en attribuant aux analystes
différents types de tâches de chasse
aux menaces :
1. Recherche proactive de l’adversaire
et chasse aux menaces. C’est ce à quoi
la plupart de nos chasseurs de menaces
consacrent la majeure partie de leur temps.
L’équipe effectue une recherche auprès de
diverses sources, notamment les alertes, les
indicateurs externes de compromis et d’autres
sources. L’équipe s’efforce principalement
de concevoir et d’affiner les hypothèses
structurées des éventuelles attaques en
fonction des renseignements sur les menaces
(TI), des observations inhabituelles dans
l’environnement et de leur propre expérience.
En pratique, ce type de chasse aux menaces
comprend les éléments suivants :
● Recherche proactive à travers les données
(requêtes ou contrôle manuel).
● Développement proactif des hypothèses
basées sur les renseignements sur les
menaces et d’autres sources. (Voir Mise
en œuvre de la base de connaissances
MITRE ATT&CK.)
4
Opérations de sécurité modernes
2. Des équipes rouges et violettes. Certains
de nos chasseurs de menaces, affectés à l’équipe
bleue, protègent l’environnement et collaborent
avec l’équipe rouge qui simulent des attaques
ou qui effectue des tests de pénétration
autorisés contre notre environnement. Il s’agit
d’une rotation de service pour nos chasseurs
de menaces et implique généralement la
participation d’une équipe violette. Les équipes
rouge et bleue travaillent en apprenant l’une
de l’autre. Chaque activité est suivie par des
évaluations entièrement transparentes qui
relatent les enseignements tirés, lesquels sont
partagés dans tout le SOC, avec les équipes
d’ingénierie produit et d’autres équipes de
sécurité de l’entreprise.
3. Incidents et remontées d’informations.
Les chasseurs proactifs ne sont pas isolés quelque
part loin de toute supervision. Ils partagent leur
espace de travail avec des analystes réactifs
et sont souvent en contact les uns avec les
autres, partagent leur projet de travail, les
conclusions ou observations intéressantes,
et sont généralement au courant des opérations
en cours. Les chasseurs de menaces ne sont
pas nécessairement affectés à cette tâche
à temps plein. Leur travail peut être flexible
et leur permettre de participer aux projets
qui nécessitent leur intervention.
Leur rôle n’est pas isolé : les membres de
ces équipes travaillent dans les mêmes locaux
et se rencontrent fréquemment.
1 2 3. Bonnes pratiques relatives aux opérations de sécurité
37
Mise en œuvre de la base de
connaissances MITRE ATT&CK
Même si la base de connaissances MITRE
ATT&CK est une mine d’informations, la
quantité des données disponibles peut être
intimidante. Heureusement, les produits
technologiques vous permettent d’exploiter
au mieux MITRE ATT&CK et ce, plus facilement.
De nos jours, de nombreux outils, y compris
les solutions de sécurité de Microsoft, ont
déjà établi beaucoup de correspondances
avec la base de connaissances. En fait, le
projet de recherche Mappages des piles
de sécurité pour Azure a récemment lancé
une bibliothèque de mappages reliant les
contrôles de sécurité Azure intégrés aux
techniques MITRE ATT&CK qu’ils atténuent.
Gardez à l’esprit, toutefois, que les mappages
ne sont pas complets en règle générale.
Votre organisation doit évaluer où les outils
vous couvrent par défaut, tout en identifiant
les lacunes restantes.
Pour combler ces lacunes, vous pouvez
personnaliser le mappage des outils et des
technologies existants dans les domaines
de la base de connaissances MITRE ATT&CK
qui s’appliquent le mieux à votre entreprise
pour garantir votre couverture. En outre,
vous n’avez probablement pas besoin de toute
la base de connaissances MITRE ATT&CK.
Examinez la base de connaissances du point
de vue des pirates informatiques : tous les
cybercriminels du monde ne souhaitent pas
cibler votre organisation ou votre entreprise.
4
Opérations de sécurité modernes
Réduisez le volume d’informations dans la
base de connaissances que vous devez suivre
en examinant les adversaires qui ciblent les
entreprises comme la vôtre et en identifiant
les techniques utilisées lors de leurs attaques.
Vous pouvez concevoir vos détections en fonction
des cybercriminels et des techniques les plus
susceptibles de cibler votre organisation.
De cette façon, la base de connaissances MITRE
ATT&CK devient un outil que vous pouvez utiliser
pour conceptualiser les attaques éventuelles
des cybercriminels s’ils tentent de cibler votre
organisation. Vous pourrez ainsi concevoir
des détections proactives autour de ces modèles
d’attaque potentiels.
Instaurer de bons rapports
avec l’équipe informatique
Dans de nombreuses organisations, les opérations
de sécurité ne contrôlent pas l’environnement
technologique. Les outils de l’environnement sont
souvent sélectionnés par l’équipe informatique.
Les options de réponse et de correction dont
vous disposez sont souvent tributaires des choix
technologiques pris par l’équipe informatique
elle-même. Il peut être utile d’établir des relations
et une prise de conscience interfonctionnelle
avec l’équipe informatique. Si chaque groupe
connaît les projets de l’autre équipe, ainsi que
les défis et les limites auxquels elle est confrontée
pour parvenir à protéger l’organisation, il peut
accélérer la modernisation et renforcer la sécurité.
En outre, nombreuses sont les situations où
l’équipe informatique devra intervenir pour
1 2 3. Bonnes pratiques relatives aux opérations de sécurité
38
remédier à un problème. C’est en entretenant
de bonnes relations et en comprenant bien
les rôles, les responsabilités et les compétences
des membres de l’équipe informatique
que vous pourrez contacter la personne
compétente plus rapidement en cas d’incident.
Amélioration continue
Une fois qu’une attaque a été résolue, vous
devez partir du principe que les cybercriminels
tireront des enseignements de cette situation
et effectueront une nouvelle tentative basée
sur de nouveaux outils et idées. Vos analystes
doivent également se concentrer sur les
enseignements tirés de chaque incident afin
d’améliorer leurs compétences, leurs processus
et leurs outils. Cette amélioration continue peut
être réalisée grâce à de nombreux processus
officieux et formels, qu’il s’agisse des études de
cas formels ou des conversations occasionnelles
où les analystes racontent les témoignages
d’incidents et font part d’observations
intéressantes.
Si la charge de travail le permet, l’équipe
chargée des enquêtes peut également traquer
les cybercriminels de manière proactive, afin
de rester vigilante et de perfectionner ses
compétences. Enfin, les exercices de l’équipe
violette doivent être notamment axés sur
l’amélioration continue. Tirez parti des
tentatives fructueuses de l’équipe rouge lorsque
celle-ci parvient à échapper à la détection des
défenseurs au cours des exercices, afin que tout
le monde puisse apprendre et s’améliorer.
4
Opérations de sécurité modernes
Recommandations
finales
La modernisation de vos opérations
de sécurité est une initiative de grande
envergure. Vous devrez impliquer
les parties prenantes de l’ensemble
de l’organisation en sachant que ce
processus ne s’effectue pas en une
seule étape. Voici ce que vous pouvez
faire dès maintenant pour réduire vos
vulnérabilités : augmenter la visibilité
et améliorer l’efficacité de votre défense
contre les cybercriminels avancés :
1 2 3 4. Recommandations finales
39
1. Adopter la sécurité Zero Trust  : le
modèle Zero Trust consiste à procéder
à une vérification explicite, à utiliser le concept
d’accès basé sur les privilèges minimum
et à adopter une attitude de « présomption
d’atteinte à la sécurité ». Commencez votre
parcours vers la sécurité Zero Trust en
déplaçant le plan de contrôle de la sécurité
des périmètres de votre réseau vers l’identité.
2. Isoler les comptes à privilèges élevés :
identifiez les comptes de votre organisation
les plus ciblés par les cybercriminels,
isolez-les à l’aide de stations de travail
à accès privilégié (PAW) et sécurisez vos
comptes d’administrateur. Ces comptes sont
susceptibles d’entraîner les dommages les
plus importants s’ils sont compromis. C’est
donc ceux-ci que vous devez commencer
par protéger.
Opérations de sécurité modernes
3. Renforcer votre chaîne
d’approvisionnement : cela s’inscrit dans la
mentalité « décaler à gauche » que nous avons
abordée dans la section sur les meilleures
pratiques de ce guide. C’est en infusant du code
ou des composants malveillant aux produits
logiciels que vous considérez comme fiables
et recevez des fournisseurs que les pirates
tentent d’échapper à vos défenses. Reportez
votre attention en haut de la chaîne d’attaque
en identifiant les mesures de sécurité de vos
fournisseurs, en déterminant les produits utilisés
et leur emplacement, et en continuant à investir
dans une meilleure gestion des ressources.
1 2 3 4. Recommandations finales
40
4. Investir dans les tests de pénétration :
anticipez les attaques des cybercriminels.
Utilisez le test de pénétration pour identifier
vos vulnérabilités avant qu’elles ne soient
exploitées. Ne considérez pas les résultats
des tests de pénétration en tant que rapport
d’évaluation, mais intégrez-les au processus
d’amélioration continue.
5. Veiller à disposer de capacités d’enquêtes
exhaustives : assurez-vous de pouvoir
réaliser des enquêtes sur l’ensemble de votre
environnement. Faites en sorte d’obtenir
une visibilité complète selon différentes
perspectives, du point de terminaison
à l’identité, des données à l’Internet des objets
et sur l’ensemble des Clouds. Vous pourrez
ainsi procéder rapidement aux enquêtes
et à la détection précoce qui sont essentielles
pour garantir votre sécurité.
6. Intégrer les outils dédiés aux opérations
de sécurité : éliminez les silos et les lacunes
en matière de couverture en adoptant une
approche intégrée. Dotez vos analystes de
l’étendue et de la profondeur de couverture
nécessaires à l’aide de solutions SIEM et XDR
intégrées et natives du Cloud.
 41

En savoir plus sur la façon dont les solutions

de sécurité intégrées de Microsoft peuvent
vous aider à moderniser vos opérations
de sécurité et fournir la visibilité dont vous
avez besoin pour protéger votre organisation.

SIEM et XDR : votre allié contre Une approche intégrée pour une
les ransomwares > efficacité SOC accrue >

©2022 Microsoft Corporation. Tous droits réservés. Le présent document est fourni « tel quel ». Les
informations et les points de vue exprimés dans le document, y compris les URL et autres références à des
sites web, sont susceptibles d’être modifiés sans préavis. Vous assumez les éventuels risques associés à leur
utilisation. Le présent document ne vous donne pas les droits juridiques propres à la propriété intellectuelle
de tout produit Microsoft. Vous pouvez photocopier et utiliser ce document à titre de référence interne.