Académique Documents
Professionnel Documents
Culture Documents
Dans ce chapitre nous allons voir les équipements ou les outils que les entreprises
utilisent afin de non seulement assurer la sécurité de l'entreprise, la gestion des incidents ou
des alertes de sécurité mais aussi la façon dont les équipes de sécurité les utilisent. Nous
allons aussi étudier et traiter quelques exemples réels d'incidents de sécurité (la création d'un
incident, les recommandations, le suivi de bout en bout du traitement, etc.).
Avant d'entrer dans le vif du sujet nous allons tout d'abord voir comment est la
structure interne d'une entreprise, comment les équipes de sécurité sont divisées et la façon
dont elles travaillent ensemble.
A noter que chaque entreprise a sa propre organisation et cette dernière repose sur la
taille de l'entreprise.
Le CERT est composé d'une équipe d'experts en sécurité informatique dans différents
domaines (malwares, test d’intrusion, veille, lutte contre la cybercriminalité, forensics, etc.).
Les experts sont chargés de réagir et de prendre en main les incidents de sécurité majeurs. Ils
sont aussi chargés de procéder au "reverse engineering" des codes malicieux afin d'identifier
et de corriger les failles de sécurité en entreprise ainsi que de développer les solutions
adéquates pour éradiquer le risque.
Le CERT assure une veille de sécurité, ce qui signifie qu'ils sont à jours en terme de
nouvelles attaques, nouveaux logiciels malveillants, les dernière vulnérabilités et les
technologies touchées par ces vulnérabilités, ils communiquent ensuite les informations en
interne et/ou en externe avec d'autres entreprises (mise en garde) et avec la communauté de
sécurité informatique en général.
Le CERT peut être une équipe interne au sein de l'entreprise ou une équipe externe
(prestataire) dont l'entreprise peut faire appel pour ses services (offres de veille, réponse à
incidents, forensics, etc.).
Des plateformes existent et permettent aux différentes équipes CERT d'échanger leurs
expériences, de partager de l'information et des bonnes pratiques (exemple de plateforme ou
organisme: TF-CSIRT, FIRST).
a. L'équipe SIEM:
Elle est composée de deux sous équipes : RUN et BUILD qui ont des rôles différents
dans le cycle de vie du système SIEM:
2. Phase de cycle de vie : L'équipe BUILD est impliquée dans la phase initiale de
mise en œuvre du SIEM, tandis que l'équipe RUN intervient après le déploiement du système
pour en assurer le bon fonctionnement et la gestion quotidienne.
6. Évolution des rôles : Une fois le système construit et déployé, l'équipe BUILD peut
passer à d'autres projets, tandis que l'équipe RUN continue à gérer et à maintenir le système à
long terme, en s'adaptant aux nouvelles menaces, aux changements technologiques et à
l'évolution des besoins de l'entreprise.
Le rôle de l'équipe d'analystes en cybersécurité est crucial pour protéger les systèmes,
les réseaux et les données d'une organisation contre les cybermenaces et pour garantir la
posture de sécurité globale. Les analystes sécurité sont chargés non seulement de surveiller et
de détecter les incidents de sécurité, mais aussi de les traiter et d'y répondre correctement et
efficacement. Ils sont chargés de détecter les anomalies et les violations et de définir les
réponses appropriées aux alertes.
Les analystes utilisent le SIEM pour collecter, corréler et analyser les journaux
d'événements (logs) de sécurité provenant de différentes sources. En fonction des besoins de
l'entreprise, ils peuvent être répartis en trois niveaux : N1, N2 et N3. Voici un exemple des
tâches assignées à chaque équipe d'analystes de sécurité :
Cette équipe n'est pas chargée de la sécurité de l'outil mais travaille en étroite
collaboration avec les analystes afin de leur facilité la création et le traitement des incidents de
sécurité. Ils sont donc responsables de l'outil permettant la gestion et le traçage des incidents.
Nous avons vu dans les cours précédents les différents outils ou solutions utilisé(e)s en
entreprise pour la prévention des menaces de sécurité et la protection contre les attaques.
Nous avons également vu comment on peut filtrer des adresses IPs niveau FW et des
signatures niveau IPS. Ci-après un exemple d'outils permettant la détection des menaces:
Dans cette partie nous allons voir les outils permettant le déclenchement des alertes , la
gestion, la réaction et le traitement des incidents de sécurité. Mais avant d'aller plus loin, il
faut tout d'abord comprendre une notion importante : les logs.
Anatomie d'un log: Un log contient au minimum les informations sur le temps dont
une action a été réalisée sur un système informatique appelé "Timestamp", les informations
sur l'utilisateur ou la machine (nom de l'utilisateur ou l'adresse IP de la machine) et l'action
entreprise par le système/utilisateur en question.
Tout dépend du système qui génère des logs, d'autres informations peuvent être
incluses dans le fichier log. Le proxy peut par exemple fournir d'autres logs comme: le site
web visité, le domaine du site web, le UserAgent, l'IP de destination, le port de destination,
l'action du proxy en question, etc. Exemple de log antivirus:
des
activités liées à un serveur spécifique au cours d'une période donnée.
système d'exploitation. Il comprend les activités du système telles que les modifications du
système, les arrêts inattendus, les erreurs et les avertissements, ainsi que d'autres processus
importants. Windows, Linux et macOS génèrent tous des syslogs.
application ou à un fichier.
incidents de sécurité. Ils comprennent les logs des pare-feu, IPS/IDS, AV et autres outils de
sécurité. Ces journaux permettent de détecter et d'enquêter sur les menaces et les violations
potentielles.
eau,
telles que le flux de trafic, les connexions et les erreurs. Ces logs peuvent aider à
troubleshooter les problèmes de réseau, à détecter les comportements suspects et à surveiller
l'utilisation de la bande passante.
Nous avons parlé d'une centralisation de logs sur un seul outil afin de faciliter
l'investigation des analystes, cet outil est le plus indispensable pour le traitement des
incidents, on parle de SIEM.
Définition: Il s'agit d'une plateforme utilisée pour centraliser les journaux (logs) et
générer des alertes. Elle recueille, analyse et met en corrélation les données relatives aux
événements de sécurité provenant de diverses sources au sein d'un environnement
informatique afin de fournir aux organisations une vue centralisée de leur situation en matière
de sécurité. Le SIEM est la plateforme qui génère le plus d'alertes.
Les composants SIEM les plus importants pour la gestion des logs:
a) La phase de collecte des logs: dans cette phase nous devons mettre en place une
infrastructure capable de collecter les différentes technologies générant des logs. Nous
pouvons les collecter à partir des AVs, FWs, SEs, équipements réseau, IPS/IDS, etc. à partir
de n'importe quel système générant des logs (ou événements) en centralisant les différents
systèmes dans le SIEM. C'est dans cette phase que nous effectuons la normalisation, la
standardisation, l'agrégation, le filtrage, et parfois même la compression.
b) Après cette phase vient la phase du "correlation engine" où on définit les UsesCase
selon les besoins de l'entreprise. Par exemple ce qu'elle veut couvrir comme risque qui n'a pas
encore été pris en compte. Nous définissons donc une ou plusieurs UsesCases pour ne plus
être aveugle à un risque bien défini. Nous procédons également aux Tuning des règles de
sécurité au cours de cette phase pour éviter les incidents de type FP (faux positif) ou flood.
b) le filtrage des événements pour choisir uniquement les événements qui nous
intéressent au niveau la technologie générant les logs et de transférer cet événement au SIEM.
Sans filtrage, nous collectons tous les logs, même ceux qui ne doivent pas être utilisés, ce qui
d) L'agrégation : la fonctionnalité principale ici est quand nous avons les mêmes
événements qui se répètent et qui arrivent dans une fenêtre de temps spécifique. Au lieu
d'envoyer le même événement plusieurs fois, nous allons envoyer une seule fois l'événement
avec le nombre d'occurrence de ce dernier, ce qui permettra de réduire la taille de stockage et
l'utilisation de la bande passante.
Les logs centralisés dans le SIEM peuvent constituer la première ligne de défense pour
déterminer la portée d'une attaque ou identifier une anomalie.
Cet outil est utilisé non seulement par les analystes sécurité et le CERT mais aussi par
le support IT. Dans cette partie du cours nous allons nous concentrer sur son utilisation pour
la réponse aux incidents de sécurité de façon générale.
Un système de ticketing est un logiciel d'assistance (ou une interface) utilisé pour créer
des incidents de sécurité, les traiter, les gérer et suivre leur résolution de bout en bout de
manière efficace. Cela permet de s'assurer que les incidents sont correctement traités et que
rien ne passe à travers les mailles du filet.
Il est également utilisé par les analystes de la sécurité non seulement pour
communiquer entre eux en laissant des notes, des commentaires et des mises à jour dans le
ticket, ce qui permet le partage des connaissances, mais aussi pour communiquer avec les
utilisateurs impliqués dans l'incident de sécurité (l'utilisateur pour lequel l'alerte a été
déclenchée). Cela permet de garantir la traçabilité de toutes les communications et de la
résolution de l'incident.
En centralisant tous les incidents dans un seul outil, les analystes de sécurité peuvent
gagner du temps, avoir une visibilité sur ce qui se passe dans l'entreprise et fournir des
indicateurs de sécurité de manière efficace et correcte.
Le SOAR est un "add-on" qui peut être ajouté au SIEM, qui va répondre aux besoins
les plus classiques du SOC et qui va vous permettre d’automatiser l’investigation et la
réaction sans assistance humaine.
On prend un exemple parmi les cas les plus basique qui est le cas des mails de
phishing. Ces derniers sont généralement traités manuellement. Où l'analyste passait
beaucoup de temps à analyser l’adresse source de ce mail, chaque lien, chaque pdf, les liens
cachés dans un pdf où derrière une image. Ensuite l'analyste devrait regrouper toutes ces
informations et essaie de formuler une réponse unique pour chaque utilisateur.
Le but avec une solution SOAR c’est d’automatiser toutes ces étapes, avec la
possibilité de faire des actions à distance sur ces mails de phishing. Par exemple: supprimer
tous les mails avec une pièce jointe malicieuse attachée reçus dans le parc informatique de
l'entreprise, interdire l’accès au site malveillant reçu par mail et éventuellement supprimer un
fichier malveillant présent dans toutes les stations de travail. Toutes ces actions peuvent être
effectuées à l’aide de la conception de playbook, et bien sûr avec l’accord en amont du client
final.
Donc pour l'exemple de mails de phishing on est non seulement sur l’automatisation
de la réponse mais aussi sur l’automatisation de l'investigation. Cette investigation est définit
par les analystes sécurité en mettant en place des Playbook.
Un playbook est l'ensemble de processus par lesquels un incident douteux doit passer
pour confirmer sa légitimité ou pas. Il définit les étapes à suivre depuis la réception de
l'incident jusqu'à son traitement.
Mettre en place des playbook est un projet qui prend du temps. Avant de mettre en
place une solution SOAR il faut d’abord commencer par la détection car sans cette dernière ça
sert à rien d'avoir la partie réponse. Néanmoins, une solution SOAR vient souvent avec des
playbooks de base mais qui nécessite une personnalisation pour être efficace. Pour le
playbook de phishing par exemple ou pour les actions les plus basique comme bloquer un port
ou autre ça ne va pas prendre beaucoup de temps, par contre pour d’autres actions ça peut
prendre quelques jours (ça peut aller de quelques heures à quelques jours). Mais avant tout il
faut vraiment avoir une bonne maturité côté détection avant de se lancer dans un projet de
playbook. Exemples de solutions SOAR: Exabeam, Cortex, Phantom, Resilient, etc.
Avant la création des Usecases, les analystes sécurité ainsi que l'équipe intégration
(l'équipe RUN de l'outil SIEM) doivent mettre en place une réunion avec le métier demandant
la création des usecases.
Durant cette réunion, ils discutent de la faisabilité et des besoins du métier. Une fois
cette étape faite, l'équipe intégration se charge de récupérer les logs de la technologie en
question et de mettre en place la usecase. Cette dernière doit être implémentée sur la pré-
production du SIEM pendant environ 15 jours afin d'éviter les faux positifs et les bruits.
Pendant ces 15 jours c'est un analyste de sécurité qui suit et surveille les
déclenchements éventuels de la usecase et le bon fonctionnement de cette dernière. Une fois
les 15 jours passés et que la usecase est correctement opérationnelle, l'équipe intégration passe
la usecase en production sur le SIEM.
Une fois les conditions de la règle sont atteintes, une alerte se déclenche sur le SIEM
et l'analyste de sécurité devrait investiguer et traiter l'incident de sécurité.
Après avoir vu comment les analystes de sécurité peuvent créer les usescases sur le
SIEM et le passage en production, dans cette partie du cours nous allons voir comment les
analystes les traitent de bout en bout.