Les sociétés, privées ou publiques, quelle que soit leur taille, tentent de poursuivre leurs développements malgré un contexte économique mondial incertain et une généralisation des cyber-attaques.
Forcément impliquées dans la transition numérique, si la majorité des entreprises ont déjà initié des processus de cyber-protection, elles ne se sentent pas forcément équipées face aux menaces graves.
Dans un contexte mondial économique morose, les entreprises cherchent à concilier plusieurs contraintes afin d’atteindre leurs objectifs de croissance :
Pour réussir ces challenges, les sociétés doivent opérer des changements en profondeur et placer le numérique au centre de leur métier.
La transformation digitale se généralise à tous les types de structures. Elle implique des modifications conséquentes dans les procédures de travail ainsi que dans les relations avec les clients et les fournisseurs. Ces changements organisationnels s’accompagnent de la nécessité de recourir à de nouveaux outils et de développer les systèmes d’information. Les possibilités de télétravail s’accroissent, amenant de nouveaux besoins en matière d’accès aux applications internes par des collaborateurs de plus en plus mobiles.
En outre, le développement des technologies issues de l’internet, telle que l’IdO (Internet des Objets) révolutionne les habitudes des
consommateurs comme celles des entreprises. Le risque majeur inhérent à cette «explosion du numérique» est la multiplication des attaques informatiques à cause de l’accroissement exponentiel des points d’entrée reliés aux réseaux des sociétés.
Selon le baromètre de la cyber-sécurité des entreprises (vague 5, janvier 2020), établi par le CESIN (Club des Experts de la Sécurité
de l’Information et du Numérique), en collaboration avec Opinionway, 39 % des entreprises déclarent être protégées en cas
de cyber-attaque de grande ampleur.
Ces dernières considèrent qu’elles utilisent des solutions de protection adaptées, sont majoritairement engagées, ou en voie de le faire, dans des démarches de cyber-résilience et ont pour la plupart souscrit une cyber-assurance.
Cependant, malgré cette mobilisation autour de la cyber-sécurité,
la moitié des sociétés interrogées doutent de pouvoir faire face efficacement aux cyber-attaques.
Selon elles, les principaux enjeux sont :
Ces sociétés pensent que la pénurie de profils dans les métiers liés à la gestion des risques informatiques concerne principalement les fonctions de pilotage, organisation et gestion des risques (Correspondant Sécurité, RSSI Responsable de la Sécurité des Systèmes d’Information,…) ainsi que le support et la gestion des incidents (analyste SOC…).
Malgré un nombre croissant de sociétés engagées dans la cybersécurité, l’impact des cyber-attaques sur le business est toujours aussi important, entraînant notamment des perturbations des processus de production.
Selon ces sociétés, les principaux types d’attaques sont : le phishing, l’arnaque au Président, l’usurpation d’identité et l’infection par des malwares.
À l’origine de ces attaques, se trouve souvent une erreur humaine d’un collaborateur telle qu’une négligence, une manipulation
incorrecte ou une configuration inadaptée. Ainsi, pourtant sensibilisés aux cyber-attaques, les salariés manquent d’implication et ne respectent pas les recommandations de leur société. Côté infrastructure, les entreprises pensent que les plus gros risques se situent au niveau du Cloud.
2020 pourrait encore être une année difficile pour les entreprises, 67 % d’entreprises déclarant avoir été victimes de cyber-attaques en 2019.
Si toutes les sociétés sont touchées, la plus forte augmentation concerne les ETI (Entreprises de Taille Intermédiaire). Publiques ou privées, les structures n’échappent pas aux cyber-attaques
dont les conséquences sont parfois lourdes, pouvant aller jusqu’à la faillite.
C’est pourquoi il est crucial de placer la protection des données au cœur de la stratégie des entreprises et la mise en place d’un SOC est une réponse adéquate à ce type de problématique.
Composé d'équipes d'experts en sécurité informatique et d'outils spécifiques, le SOC est chargé de prévenir, détecter et évaluer les
menaces internes comme externes.
Lorsqu'un incident survient, il s'occupe de le régler et gère la récupération des données. Grâce à un SOC et à son principal outil
technique, le SIEM, les sociétés ont la possibilité d'optimiser le contrôle de leurs processus de surveillance, de répondre plus rapidement et efficacement aux attaques et de satisfaire à leurs obligations réglementaires. Interne, externe, virtuel, hybride… le SOC peut prendre de nombreuses formes tout en gardant les mêmes objectifs.
Le SOC (Security Operation Center) ou COS (Centre des Opérations de Sécurité) d'une société se compose de l'équipe dédiée à la supervision de la sécurité informatique et des équipements qui sont utilisés pour cette tâche. Il se base sur des outils chargés de collecter des informations, de corréler des événements et d'intervenir à distance en cas d'attaques supposées ou avérées.
Le but du SOC est que les systèmes d'information d'une entreprise soient efficacement protégés des cyberattaques. Dans le cas où un incident aurait tout de même eu lieu, le SOC a pour mission de le gérer et de réduire au maximum son influence négative sur le fonctionnement de la société.
Les principales missions du SOC sont :L'ensemble de l'infrastructure informatique est concernée par la surveillance du SOC : terminaux, serveurs, réseaux, applications, bases de données quel que soit leur lieu d'hébergement, sites internet, intranet, etc.
L'objectif ultime du SOC est de garantir à l'entreprise la continuité de service. En effet, indépendamment de la taille et du secteur
d'activité d'une société, elle dépend toujours fortement de son système informatique, qu'il s'agisse de communiquer, de faire fonctionner la production, de gérer les stocks, la finance, les RH, etc. Toute interruption, même courte, des systèmes d'information peut donc avoir des conséquences graves pour l'entreprise à court et long terme.
De plus, le SOC doit être capable d'évoluer pour tenir compte des modifications structurelles ou informatiques de la société.
Le SOC doit inclure, en plus des spécificités liées aux métiers, l'émergence de nouveaux types d'attaques et de risques liés par
exemple à l'hyper-connectivité.
Il doit arriver à combiner de manière optimale les dernières avancées technologiques en matière de gestion et d'analyse prédictive des données et l'expérience de spécialistes de la cybersécurité. En effet, même si les technologies évoluent sans cesse, il est impossible de faire l'impasse sur l'intervention humaine, notamment pour prévenir des attaques encore inconnues pour le moment.
Dans le SOC, les équipes se composent de plusieurs types de profils :
Le Security Information Event Management (SIEM) est le centre névralgique de la partie technique du SOC. Il représente véritablement le cœur de l'architecture du SOC de par ses multiples fonctionnalités.
Avec l'ensemble des données collectées au niveau des systèmes d'information, le SIEM réalise des tâches d'archivage, de regroupement, de corrélation et de reporting.
En mettant en place un système de surveillance tel que le SOC, les entreprises bénéficient ainsi :
Le SOC agit sur trois grands axes : le contrôle, la détection et la mise en conformité.
Avec un SOC, les sociétés ont une vue d'ensemble de leurs processus de surveillance et elles les contrôlent de manière plus
efficace. Le suivi continu des données et de leurs évolutions permet une meilleure détection des comportements suspects et
facilite aussi les investigations suite à un incident.
La conséquence directe d'un contrôle accru des processus de surveillance est la capacité de l'entreprise à être prête face à des attaques, qu'elles surviennent de l'intérieur ou de l'extérieur. Une fois qu'une attaque est avérée, le SOC permet une réponse rapide grâce aux procédures ciblées selon le type d'incident.
Les entreprises ont l'obligation d'être en conformité avec différentes législations qui peuvent dépendre ou pas de leur secteur d'activité. Parmi les réglementations non sectorielles, il y a :
Des organismes publics nationaux et internationaux comme l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) et le CIS (Center for Internet Security) encouragent les entreprises à créer un SOC pour améliorer leur sécurité informatique.
Il est possible de classifier les SOC en fonction de leur type d'implémentation technique et de leur localisation :
SOC INTERNE OU DÉDIÉ : installé dans les locaux de l'entreprise, il fonctionne grâce à des équipes d'exploitation et des ressources IT internes.
SOC EXTERNE : Localisé chez un prestataire de sécurité informatique (MSSP, Managed Security Service Provider), il est opéré grâce aux équipes informatiques de ce prestataire.
SOC VIRTUEL : Sans installation physique propre, il est constitué par une équipe dont les membres agissent dès lors qu'un incident survient ou qu'une alerte est déclenchée
SOC HYBRIDE : Certaines tâches sont prises en charge par l'entreprise comme le support de niveau 3, c'est-à-dire la gestion des incidents bloquants voire critiques qui pourraient éventuellement impacter la production. Les autres tâches sont gérées par des équipes externes notamment les analyses forensiques, réalisées après
des incidents, et les opérations liées à la cyberveille (ou Threat Intelligence).
SOC DANS LE NETWORK OPERATION CENTER (NOC) : Le NOC inclut les tâches du SOC tout en se chargeant aussi de maintenir le réseau, de stocker, virtualiser et sauvegarder les données, etc.
SOC ORIENTÉ CYBERVEILLE ET IA : Aux fonctionnalités classiques du SOC s'ajoutent la Threat Intelligence (cyberveille). Son but est de compiler des informations sur les cyber-attaques pour définir des tendances et créer des profils d'attaquants potentiels. Plusieurs outils interviennent dans la cyberveille parmi lesquels l'IA et l'apprentissage automatique.
Afin que le SOC fonctionne de manière optimale, il est obligatoire de combiner plusieurs outils aux fonctions complémentaires, qui peuvent être intégrés pour certains dans le SIEM (Security Information Event and Management), brique centrale du système de surveillance de la sécurité.
Ainsi, les autres outils souvent utilisés sont : la technologie de Machine Learning, la Threat Intelligence, le scanner de vulnérabilité ainsi que les outils de visualisation et d’alerte.
Parfois, des logiciels de protection « Endpoint » et des logiciels d’intrusion sont également employés.
Pour s’assurer de la mise en place d’un SOC performant, plusieurs étapes sont requises :
Qui sont-elles ?
Élément central du SOC, le SIEM se charge de collecter, surveiller, corréler et analyser les données générées par l’infrastructure informatique (les serveurs, les bases de données, les routeurs, les pare feux…). Il identifie les éventuels écarts par rapport à des normes ou des moyennes définies au préalable. Quand un problème est identifié, il crée une alerte qui va être analysée par des experts en sécurité. Ils vont s'assurer qu’il ne s'agisse pas d’un faux-positif ou d’une alerte redondante qui aurait pu passer au travers du paramétrage mis en place pour les éviter. Les vraies alertes sont ensuite transmises à d’autres outils de sécurité qui seront en charge d’arrêter la progression de ces menaces.
Le SIEM comprend parfois une fonctionnalité d’Analyse Comportementale des Utilisateurs et des Entités (UEBA, User and Entity Behaviour Analytics) qui surveille principalement les éventuelles actions suspectes des utilisateurs.
Si les analystes se basent forcément sur les informations fournies par le SIEM, il ne s’agit pas de leur unique source de données.
D’autres outils sont nécessaires afin que la sécurité des systèmes d’information soit assurée le mieux possible.
Cette technique, qui n’est pas forcément présente dans tous les SOC, est pourtant d’une importance cruciale. Elle permet en effet d’identifier des patterns (séquences ou événements répétitifs) et de réaliser des prédictions. Pour cela, elle se base sur le data
mining, les statistiques, les analyses prédictives et les patterns.
Composante essentielle dans la cyberdéfense,
elle permet de définir la nature des menaces les plus probables et dangereuses concernant une société donnée. Elle se base pour cela non seulement sur les données collectées mais aussi sur des informations externes provenant de sources aussi variées que des bases de connaissances internationales, le Darknet, les listes noires d’adresses IP…
Indispensable dans le SOC, il réalise des audits de manière automatisée et régulière. Les éventuelles vulnérabilités du réseau sont relevées et classées généralement en suivant le système de Notation Standard des Vulnérabilités (Common Vulnerability Standard Scoring, CVSS). Selon la criticité des failles découvertes, des mesures correctives sont alors prises.
Ils peuvent être inclus dans le SIEM ou déployés de manière indépendante. Leur objectif est la gestion des incidents et des alertes.
Le SIEM intègre souvent des logiciels de type
« dashboard » (tableaux de bord) qui permettent de centraliser les données et d’agréger les résultats sous la forme de tableaux ou de graphes. Ces logiciels sont largement personnalisables afin de générer des états répondant exactement aux attentes de chaque entreprise.
Il est souvent possible d’envoyer des informations directement dans des tablettes ou des smartphones. Il peut s’agir aussi bien de messages d’alerte que de données concernant la sécurité du système informatique de la société.
Optionnels, ces logiciels de sécurité gèrent la sécurité au niveau des terminaux tels que les ordinateurs et les appareils mobiles. Comme le nombre d’équipements connectés à un réseau, qu’ils soient dans ou hors des murs de la société, ne cesse d’augmenter, les portes d’entrées possibles pour les logiciels malveillants se multiplient également.
Les systèmes Endpoint permettent notamment d’authentifier les connexions et de prendre en charge le déploiement ainsi que la mise à jour à distance des logiciels. Ils peuvent aussi collecter des données utiles pour le SOC.
Également optionnels, les IDS (Intrusion Detection Systems) suivent l’évolution du trafic réseau au niveau du réseau lui-même (N-IDS : Network Based Intrusion Detection System) ou des hôtes (H-IDS : Host Based Intrusion Detection System). Ils repèrent les activités suspectes ou anormales et peuvent envoyer ces informations au SOC.
Afin de définir les contours et la portée du SOC, il faut débuter par analyser le contexte de la société, aussi bien en matière d’activité que d’organisation informatique. La nature des risques, menaces et impacts doit être définie. Les architectures techniques et fonctionnelles sont également à prendre en compte. En fonction de l’entreprise, voici des questions auxquelles une réponse doit être apportée :
Vu l’importance stratégique pour une société de la mise en place d’un SOC, ce projet doit réunir toutes les parties prenantes dans un même élan afin de réussir. L’implication de la direction générale est généralement acquise, vu que c’est souvent elle qui décide de lancer le projet.
Le département informatique est forcément en première ligne mais les équipes opérationnelles, les clients voire les fournisseurs peuvent également être associés à la mise en place du SOC. Pour cela, il est possible de communiquer avec eux via des tableaux de bord, des lettres d’information et en utilisant la méthode REX (Retour d’Expérience).
Le SOC est tenu de répondre aux réglementations correspondant au secteur d’activité de l’entreprise concernée, qu’il s’agisse de structures commerciales et industrielles classiques ou d’opérateurs d’importance vitale (OIV), qui sont des organisations dont les activités ont été reconnues comme dangereuses ou indispensables par le gouvernement.
Parmi les réglementations figurent le RGPD (Règlement Général de Protection des Données) et la LPM (Loi de Programmation Militaire). Ils imposent notamment de mettre en place des systèmes permettant une corrélation et une analyse des journaux informatiques. Le cadre réglementaire détaillé se trouve dans le référentiel d’exigences destiné aux PDIS (Prestataires de
Détection des Incidents de Sécurité) défini par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Ce cadre légal demande aussi d’informer les autorités très rapidement en cas d’incidents.
D’autres réglementations s’appliquent selon l’activité de la société : HDS (Hébergement des Données Sensibles), SOX (Sarbanes Oaxley) qui concerne les entreprises - américaines ou non - cotées sur un marché des États-Unis, norme PCI DSS (Payment Card Industry Data Security Standard) relative aux paiements par carte bancaire sur internet, accords de Bâle III concernant le
secteur bancaire …
Il s’agit de créer un document dans lequel sont définis le périmètre couvert, l’architecte choisi, les règles de détection, les processus de maintien… Grâce à ce document, il est possible de vérifier l’efficacité du SOC, de surveiller la conformité de son fonctionnement et d’anticiper sa montée en puissance.
En dépit de tous les efforts mis en place, il est évidemment impossible de garantir 100 % de la sécurité informatique. Il faut donc définir les risques majeurs et les distinguer de ceux qui restent acceptables c’est-à-dire ne créant pas de gêne critique pour le fonctionnement de l’entreprise.
Répondre aux questions suivantes permet d’effectuer des choix :
Grâce à l’établissement de scénarios de menace détaillés et au choix des risques majeurs à éviter, il est possible de définir les procédures de détection des incidents préjudiciables, l’architecture adaptée, les outils de reporting adéquats…
Afin de donner une visibilité maximale à la Direction de la société, un état des lieux journalier, bref mais précis, peut être mis en place.
La phase d’implémentation du SOC consiste à traduire la PSSI (Politique de Sécurité des Systèmes d’Information) et les orientations définies dans la politique de supervision en termes techniques. Il s’agit également de mettre en place l’ensemble des modèles organisationnels et des procédures pour mener à bien l’exploitation du SOC.
Afin d’assurer une mise à jour efficace des systèmes d’information, il est conseillé de prévoir une politique de gestion des correctifs (ou patch management) qui permet d’industrialiser les processus visant à détecter, analyser et déployer les mises à jour de sécurité logicielles.
Complémentaire du MCO (Maintien en Condition Opérationnelle), le MCS a pour but d’assurer un fonctionnement optimal du SOC, notamment par des actions de maintenance préventive et corrective ainsi que par l’analyse des impacts des attaques s’étant
réellement produites.
Afin de vérifier la bonne configuration globale du système et de prouver la fiabilité du SOC, des scripts de hard.
Avec un coût important dû non seulement au fonctionnement en continu mais aussi à la rareté des profils pointus dans le
domaine de la cybersécurité, le SOC en interne est souvent délaissé au profit d’une solution en externe. Un SOC externe est à la fois plus performant et moins onéreux, et permet à la société de bénéficier d’une mutualisation des savoirs et des ressources humaines. Avant de choisir un SOC externe, une évaluation est recommandée concernant les profils des experts ainsi que les méthodes employées. De plus, collaborer avec un prestataire proposant un SOC en mode « Follow the sun » avec des équipes françaises disséminées dans le globe peut être une solution des plus avantageuses.
Un des principaux points noirs de la mise en place d’un SOC en interne est évidemment son coût. Le budget est conséquent pour deux raisons.
Tout d’abord, le SOC doit être opérationnel 24 h/24 et 7j/7.
D’autre part, il faut constituer une équipe dédiée qui se compose de profils informatiques spécifiques. Comme ces experts sont très recherchés et peu nombreux, les recruter est à la fois difficile et coûteux. De plus, une fois embauchés, ces collaborateurs doivent être formés régulièrement afin de se tenir informés des dernières évolutions technologiques et il faut éviter à tout prix leur départ de l’entreprise.
Avant de choisir quel SOC externe est le mieux adapté à ses besoins, toute société se doit de l’évaluer non seulement en termes techniques et méthodologiques mais aussi par rapport à la composition de ses équipes.
Côté RH, il est important de connaître les profils précis des différents membres des équipes, le nombre de personnes travaillant en fonction du moment de la journée ou de la
nuit ainsi que le nombre d’experts pouvant être mobilisés dans le cas d’une attaque.
Pour la partie méthodologie, il est recommandé de s’informer sur les façons d’analyser les différents événements, sur les procédures applicables lors de la survenue d’un incident ou d’une attaque, sur le nombre et la qualité des rapports fournis en temps réel aux analystes, sur les modalités de communications entre les équipes du SOC et celles de l’entreprise, etc.
Quant à l’avancement technologique du SOC, la répartition entre processus manuels et automatisés est importante. D’une part, une grande partie d’opérations manuelles implique une quantité importante d’Équivalent Temps Partiel (ETP). D’autre part, un grand nombre de tâches automatisées peut amener une réduction trop grande des interventions manuelles, ce qui pourrait engendrer des défaillances de sécurité. Le juste milieu est à trouver pour optimiser la sécurité informatique.
Cette évaluation du SOC est une manière de choisir la proposition la plus adaptée à une entreprise donnée.
Elle peut être appliquée de manière régulière,
notamment pour s’assurer que le SOC remplit toujours ses fonctions même quand la structure de la société évolue.
Le SOC doit intégrer les éventuelles transformations de l’entreprise, qu’elles soient structurelles, relatives à une
modification du portefeuille d’activités ou à un changement important dans le domaine de production. En effet, pendant les périodes de changements dans une société, le risque d’attaques informatiques est plus important.
Les challenges d’un SOC en externe. Pour que le SOC externe fonctionne le mieux possible, il faut s’assurer d’une bonne communication entre les prestataires et les équipes informatiques internes.
Un temps suffisant doit être consacré à la compréhension des problématiques métiers de la société et de son organisation. Des procédures doivent être rédigées pour les différents cas de figure relatifs à la sécurité en
impliquant des interlocuteurs internes et externes. Il s’agit de combiner au mieux l’expertise des prestataires en sécurité et les connaissances des services informatiques internes.
Le SOC externe implique une analyse des données et parfois un stockage à l'extérieur des locaux de la société. Cela demande de bien réfléchir aux mesures de sécurité requises afin que cette externalisation ne pose pas de problème en matière d’accroissement des risques. Une procédure de conduite du changement peut éventuellement être nécessaire afin que les collaborateurs comprennent et ne freinent ce processus de délégation de la gestion de la sécurité.
La stratégie de surveillance internationale, également nommée « Follow the sun » (Suivre le soleil) s’appuie sur des équipes situées dans des zones géographiquement éloignées les unes des autres et qui gèrent la surveillance de la sécurité chacune à tour de rôle. Ce mode de gestion du SOC apporte plusieurs avantages par rapport à un SOC classique, installé dans une zone couverte par un seul fuseau horaire :
Dans le cas d’un SOC en mode « Follow the sun », le plus avantageux pour une entreprise française est de trouver un prestataire qui propose une surveillance internationale en se basant sur des équipes installées uniquement en France métropolitaine ainsi que dans les départements et territoires d’Outre-Mer comme par exemple la Martinique, la Guadeloupe, l’Île de La Réunion, la Nouvelle-Calédonie, etc. Pour en savoir plus rendez-vous sur notre page dédiée.
Dans l’optique de mettre en place des SOC toujours plus efficaces, de nouvelles orientations se dessinent.
Ainsi, la rapidité de résolution des incidents est accrue par une utilisation des sandbox à des fins d’analyses détaillées des menaces. La cyberveille joue aussi un rôle important, en incluant aussi bien les données internes que des informations payantes externes.
Enfin, le Machine Learning enrichit le SOC de ses fonctionnalités prédictives.
Pour différencier l’état de maturité d’un SOC, il est possible de comparer le pourcentage réel d’automatisation des processus par rapport au pourcentage idéal à atteindre.
Plus cette différence est faible, plus le SOC est mature. C’est ainsi que les SOC sont classés en niveaux : 0/1, 2, 3 et 4 avec comme différences respectives entre les pourcentages d’automatisation réels et idéaux d’environ 10%, 7 %, 5 % et 3%.
Dans les entreprises ayant des SOC avancés, les investigations sur les incidents sont clôturées plus rapidement qu’avec des SOC moins évolués.
De même, la cause d’une attaque est plus souvent identifiée et la performance globale est accrue par l’utilisation de sandbox. Plus le SOC a un niveau de maturité élevé, plus il se sert des sandbox afin de mener des investigations. Il utilise les sandbox d’une
manière différente d’un SOC moins évolué : il s’agit de passer au-delà de la simple identification de la menace pour vérifier la
réalité de celle-ci en s’intéressant au contenu des fichiers suspectés.
En plus d’une action d’automatisation et de consolidation des outils, la sandbox intervient pour permettre une analyse poussée de menaces complexes.
La cyberveille, également appelée Threat Intelligence, correspond à un ensemble de connaissances relatives à des menaces d’attaques informatiques qui sont étayées par des preuves telles que des indicateurs, des informations contextuelles, des mécanismes…
Il existe 4 types de cyberveille :
Opérationnelle : Elle donne des informations sur les attaques en cours et les cyberpirates
Technique : Elle sert principalement à classifier les malwares selon leurs caractéristiques
Tactique : Elle se concentre sur les modes opératoires (techniques, tactiques) des cyberpirates
Stratégique : Elle analyse les tendances du moment.
Dans les entreprises qui utilisent des SOC, la cyberveille a bien sûr une place importante mais la source des données varie selon le type de SOC.
Dans les SOC de type 0/1, les flux de cyberveille prédominants sont eux publics. Par contre, dans ceux de type 4, ce sont
des flux payants qui sont majoritairement utilisés.
Dans le cadre du SOC, le but du machine learning, ou apprentissage automatique, est de détecter les comportements qui s’écartent du modèle de normalité défini au préalable.
En se basant sur un grand nombre de données, le Machine Learning sert à découvrir des séquences répétitives (patterns) et à réaliser des prédictions.
Cette méthodologie intervient pour faire des cartographies préalables à des intrusions. Elle permet aussi de détecter des comportements suspects : exfiltration de données, propagation d’un malware, communications entre un malware et son centre de commande et de contrôle (C&C). Enfin, elle est également employée afin de détecter des actions suspectes réalisées par des utilisateurs : consultation inhabituelle de données (nature, volume, etc.), accès à des logiciels normalement non utilisés, usage de droits incompatibles avec les fonctions d’un collaborateur, etc.
Par exemple, pour détecter une évasion de données, il faut au préalable analyser les flux habituels d’informations de l’entreprise.
Après une phase de compréhension et de modélisation du trafic, des analyses encore plus poussées peuvent être réalisées : numéros de séquence, taille des paquets, nombre de paquets par secondes et par adresses IP, etc. Ensuite, tout flux sortant de la norme définie pourra être détecté. Il en va de même concernant la problématique des logiciels malveillants de type rogue, qui sont de faux antivirus affichant des détections fictives. Grâce à une cartographie du réseau, le Machine Learning est capable de les détecter.
Vous souhaitez emporter tous ces conseils avec vous ? Téléchargez gratuitement notre livre blanc : "Le SOC, nécessaire, utile ou sans intérêt ?"