1. Livres & vidéos
  2. Le Security Operations Center au cœur de la cybersécurité
  3. Bases de la cybersécurité et supervision
Extrait - Le Security Operations Center au cœur de la cybersécurité La nécessaire constante évolution du SOC
Extraits du livre
Le Security Operations Center au cœur de la cybersécurité La nécessaire constante évolution du SOC Revenir à la page d'achat du livre

Bases de la cybersécurité et supervision

La protection

Cet ouvrage s’adresse principalement à un public ayant déjà de solides bases en informatique, qu’il s’agisse d’étudiants ou de professionnels. Il a pour objectif de leur permettre de confirmer ou d’approfondir leurs connaissances en cybersécurité, et plus spécifiquement sur la dimension de supervision via un SOC (Security Operations Center - Centre opérationnel de sécurité). Ne vous inquiétez pas, on ne va pas ici rentrer dans les détails techniques sur ce qu’est un antivirus, un pare-feu, ou du durcissement, mais nous allons quand même évoquer différents aspects de protection informatique afin de poser un socle commun. Si vous êtes déjà à l’aise avec ces notions, alors vous serez probablement reconnaissant qu’on vous épargne un cours sur le sujet. Dans le cas contraire, ce premier chapitre vise à aligner les points de départ avant de plonger dans les mécanismes concrets de supervision.

Pour s’adresser à un public plus large, les bases seront revisitées avec des exemples simples. Lorsqu’on parle de cybersécurité, on peut souvent identifier deux aspects : la protection et la supervision d’un système d’information. On entend par système d’information un ensemble de ressources, généralement informatiques, au sein d’une organisation. Cela va concerner par exemple du matériel comme des serveurs, PC d’entreprise, smartphones, mais aussi des données, processus...

La supervision

Évidemment pour la supervision, vous avez déjà en tête les termes « alarmes » et « caméra de sécurité » si on veut reprendre la métaphore avec la maison. Et vous avez raison, mais ça ne s’arrête pas là. Vous pensez être protégé avec une surveillance en place, et pourtant un jour, vous découvrez qu’un objet a été volé chez vous. Vous essayez donc de comprendre comment cela a pu arriver, et en regardant les enregistrements, vous vous apercevez que c’est un proche qui vous l’a dérobé ! Eh oui, ce proche était autorisé à venir chez vous et interagir avec différents éléments lorsque vous l’avez invité, le système de protection en place n’a pas été défaillant.

Et c’est là tout l’intérêt de la supervision : mettre en place une bulle entourant le système d’information permettant de détecter des attaques informatiques et comportements anormaux en temps réel. Parce que malgré la protection en place, une attaque informatique peut toujours survenir. L’important va être de la détecter au plus vite pour dans le meilleur des cas la stopper, sinon en limiter l’impact. Ce sera...

Cas concret de mise en place de la supervision

1. Collecte de données

La journalisation informatique est le processus d’enregistrement systématique des événements, actions et transactions d’un système informatique dans des fichiers texte, généralement avec l’extension (.log), et appelés communément journaux d’événements, fichiers de logs, ou logs. Chaque entrée dans un fichier de logs contient des informations détaillées sur un événement spécifique, telles que la date, l’heure, le type d’événement, la source, et parfois des données contextuelles supplémentaires.

Ils ont différentes utilités :

  • Suivi des activités : les logs permettent de suivre toutes les actions effectuées sur un système, y compris les connexions utilisateur, les modifications de fichiers, les erreurs système, et les accès aux ressources.

  • Détection des anomalies : en analysant les logs, les administrateurs peuvent détecter des comportements anormaux ou des tentatives d’intrusion, ce qui est crucial pour la sécurité.

  • Résolution des problèmes : les logs fournissent des informations détaillées sur les erreurs et les échecs système, aidant ainsi à diagnostiquer et résoudre les problèmes techniques.

  • Audit et conformité : les logs sont souvent utilisés pour des audits de sécurité et pour s’assurer que les systèmes informatiques respectent les politiques de l’organisation et les réglementations légales.

De manière générale, on pense à une configuration type « Syslog » lorsqu’on évoque un log, mais ils peuvent aussi être enregistrés sous d’autres formats comme (.json) par exemple. Syslog est un protocole définissant un service de journaux d’événements d’un système informatique. Un journal au format Syslog comporte dans l’ordre les informations suivantes :

  • le niveau de priorité du log,

  • la date à laquelle a été émis le log,

  • le nom ou l’adresse IP de l’équipement ayant généré...

Différents types d’attaques informatiques

Nous avons déjà examiné le cas d’attaques de type « Man-in-the-Middle » et par « brute force ». Cependant, pour une compréhension complète des capacités d’un SOC et de son rôle dans la détection des menaces, il est important d’examiner un éventail élargi des attaques existantes. En approfondissant notre étude des différentes techniques utilisées par les attaquants, nous serons mieux préparés à identifier les signes d’une intrusion et à mettre en place des moyens de détection efficaces. Nous allons maintenant explorer en détail de nombreux autres scénarios d’attaque, chacun présentant des défis uniques pour la détection et la réponse.

1. Attaques par phishing

Le phishing est une des attaques les plus répandues et consiste à tromper les utilisateurs pour qu’ils fournissent volontairement des informations sensibles, telles que des identifiants, des mots de passe ou des informations bancaires. Les attaquants utilisent généralement des e-mails ou des messages qui imitent des communications légitimes provenant d’organisations de confiance, comme des banques ou des entreprises.

Caractéristiques communes :

  • Imitation d’une entité légitime : les e-mails ou pages web frauduleuses reprennent l’apparence d’organisations réelles.

  • Urgence artificielle : des messages pressant l’utilisateur d’agir rapidement, par exemple pour éviter un problème financier.

  • Liens malveillants : des liens qui redirigent les victimes vers des sites frauduleux où leurs données peuvent être volées.

Sous-catégorie : le Whaling, une forme spécialisée de phishing, cible les cadres supérieurs, comme les PDG ou les directeurs financiers. Ces attaques exploitent leur accès privilégié à des informations sensibles ou à des fonds. Les messages sont souvent très personnalisés pour sembler légitimes et inspirer confiance. Exemple concret : un attaquant envoie un e-mail frauduleux à un directeur financier, se faisant passer pour le PDG de l’entreprise...

Conclusion

Chaque type d’attaque présenté ici illustre la diversité des menaces auxquelles les organisations doivent faire face. Ces scénarios montrent l’importance d’une détection précoce et d’une réponse adaptée. Le SOC joue un rôle clé dans ce processus, en s’assurant que chaque menace est identifiée, analysée et contrée de manière efficace. En adoptant des approches proactives, les entreprises peuvent non seulement se défendre contre les menaces actuelles, mais aussi renforcer leur résilience face aux attaques futures.