Définition d’un SOC

Le Security Operations center, SOC, désigne dans une entreprise l’équipe en charge d’assurer la
sécurité de l’information.
Le SOC est une plateforme permettant la supervision et l’administration de la sécurité du système
d'information au travers d’outils de collecte, de corrélation d'événements et d'intervention à distance.
Le SIEM (Security Information Event Management) est l'outil principal du SOC puisqu'il permet de gérer
les évènements d'un SI.
L’objectif d’un SOC est de détecter, analyser et remédier aux incidents de cybersécurité à l’aide de
solutions technologiques et d’un ensemble de démarches. Ils surveillent et analysent l'activité sur les
réseaux, les serveurs, les terminaux, les bases de données, les applications, les sites Web et autres
systèmes, à la recherche de signaux faibles ou de comportements anormaux qui pourraient être le signe
d'un incident ou d'un compromis en matière de sécurité. Le SOC doit veiller à ce que les incidents de
sécurité potentiels soient correctement identifiés, analysés, défendus, enquêtés et signalés.
Oracle

Threat Intelligence
Est la collecte et l'analyse de données de cybersécurité multi-sources à l'aide
d'algorithmes analytiques avancés. En collectant de grandes quantités de données sur
les menaces et les tendances de cybersécurité actuelles et en effectuant des analyses
sur ces données, les fournisseurs de renseignements sur les menaces peuvent obtenir
des données et des informations utilisables qui aident leurs clients à mieux détecter et
se préparer aux cybermenaces.
L'objectif de l'intelligence sur les menaces est de créer et de partager des
connaissances sur l'état actuel du paysage en évolution rapide des cybermenaces, et
de fournir aux utilisateurs et aux solutions de cybersécurité les informations et le
contexte nécessaires pour identifier les menaces actuelles et prendre des décisions
stratégiques pour l'avenir.

Checkpoint

La protection des endpoints

Les endpoints ce sont nos appareils physiques : ordinateurs, tablettes,

téléphones portables… Comme les systèmes d’information (SI), ils sont la cible
des cybercriminels qui les piratent pour dérober des données et/ou s’en servir
comme points d’accès au SI d’une entreprise.
Pour protéger les endpoints, il existe des outils d’EDR (Endpoint Detection &
Response). Ils effectuent des analyses comportementales et monitorent les
actions d’un terminal. Les solutions d’EDR peuvent être utilisées pour détecter,
enquêter et remédier à une cyberattaque.
Selon l’éditeur de solutions Check Point Software Techonologies, 30% des
attaques ont visé les smartphones en 2019. Pourtant, il existe des solutions
simples pour protéger ces terminaux.
OrangeCyberDefense

Qu'est-ce que l'IDS?

Un système de détection d'intrusion est une solution de surveillance passive
permettant de détecter les menaces de cybersécurité pesant sur une organisation. Si
une intrusion potentielle est détectée, l'IDS génère une alerte qui informe le personnel
de sécurité d'enquêter sur l'incident et de prendre des mesures correctives.

Une solution IDS peut être classée de plusieurs manières. L'un d'eux est son
emplacement de déploiement. Un IDS peut être déployé sur un hôte particulier, lui
permettant de surveiller le trafic réseau de l'hôte, les processus en cours d'exécution,
les journaux, etc., ou au niveau du réseau, lui permettant d'identifier les menaces sur
l'ensemble du réseau. Le choix entre un système de détection d'intrusion basé sur
l'hôte (HIDS) et un IDS basé sur le réseau (NIDS) est un compromis entre la
profondeur de visibilité et l'étendue et le contexte qu'un système reçoit.

Les solutions IDS peuvent également être classées en fonction de la manière dont
elles identifient les menaces potentielles. Un IDS basé sur des signatures utilise une
bibliothèque de signatures de menaces connues pour les identifier. Un IDS basé sur
des anomalies construit un modèle de comportement «normal» du système protégé et
signale tout écart. Un système hybride utilise les deux méthodes pour identifier les
menaces potentielles.

Qu'est-ce que IPS?

Un système de prévention des intrusions (IPS) est un système de protection
active. Comme l'IDS, il tente d'identifier les menaces potentielles en fonction des
fonctionnalités de surveillance d'un hôte ou d'un réseau protégé et peut utiliser des
méthodes de détection de signature, d'anomalie ou hybrides. Contrairement à un IDS,
un IPS prend des mesures pour bloquer ou corriger une menace identifiée. Bien qu'un
IPS puisse déclencher une alerte, il aide également à empêcher l'intrusion de se
produire.

En fin de compte, la comparaison entre le système de prévention d'intrusion et le

système de détection d'intrusion se résume à l'action qu'ils entreprennent si une telle
intrusion est détectée. Un IDS est conçu pour fournir uniquement une alerte sur un
incident potentiel, ce qui permet à un analyste du centre des opérations de sécurité
(SOC) d'enquêter sur l'événement et de déterminer s'il nécessite une action
supplémentaire. Un IPS, en revanche, prend des mesures pour bloquer la tentative
d'intrusion ou remédier d'une autre manière à l'incident.
Checkpoint

Pourquoi la sécurité des applications est-elle

importante ?
Les attaquants ciblent les applications en exploitant des vulnérabilités et en abusant
la logique applicative pour accéder à des données sensibles, ou pour commettre une
fraude à grande échelle capable de perturber gravement les activités commerciales.
La protection de vos applications contre les 10 principales menaces existantes et
émergentes de l’OWASP nécessite une stratégie de protection des applications
de type « défense en profondeur ». F5 offre une protection contre les
vulnérabilités au niveau du code, comme les attaques par injection ou XSS, ainsi
que les vulnérabilités logicielles présentes dans les composants de presque toutes
les piles logicielles.

F5

Qu'est-ce que DPI?

L'inspection approfondie des paquets (DPI), également connue sous le nom de
reniflage de paquets, est une méthode d'examen du contenu des paquets de données
lorsqu'ils passent par un point de contrôle sur le réseau. Avec les types normaux
d'inspection de paquets avec état, le périphérique vérifie uniquement les informations
contenues dans l'en-tête du paquet, comme l'adresse IP (Internet Protocol) de
destination, l'adresse IP source et le numéro de port. DPI examine une plus grande
gamme de métadonnées et de données connectées à chaque paquet avec lequel le
périphérique s'interface. Dans ce sens DPI, le processus d'inspection comprend
l'examen à la fois de l'en-tête et des données que le paquet transporte.

En conséquence, DPI fournit un mécanisme plus efficace pour exécuter le filtrage de

paquets réseau. En plus des capacités d'inspection des technologies classiques de
reniflage de paquets, DPI peut trouver des menaces autrement cachées dans le flux
de données, telles que des tentatives d'exfiltration de données, des violations des
politiques de contenu, des logiciels malveillants, etc.
Comment fonctionne DPI
Non seulement DPI peut identifier l'existence de menaces mais, en utilisant le contenu
du paquet et son en-tête, il peut également déterminer d'où il vient. De cette manière,
DPI peut identifier l'application ou le service qui a lancé la menace.

Inspection approfondie des paquets par rapport au filtrage

de paquets conventionnel
Le filtrage de paquets conventionnel ne peut lire que ce qui se trouve à l'intérieur des
informations d'en-tête fournies avec chaque paquet de données. Il s'agit d'une
approche de base, moins sophistiquée, rendue nécessaire par les premières limites
technologiques. Étant donné que les pares-feux n'étaient pas capables de traiter
rapidement un grand nombre de données, ils se concentraient uniquement sur les
informations d'en-tête, car rien de plus nécessiterait plus de travail et de temps,
sacrifiant excessivement les performances du réseau.

Techniques d'inspection approfondie des paquets (DPI)

Les pares-feux dotés de fonctionnalités IDS et les systèmes IDS destinés à la
protection du réseau utilisent DPI. Les techniques qu'ils emploient comprennent les
anomalies de protocole, les solutions IPS et la correspondance de modèles ou de
signatures.
Anomalie de protocole

L'anomalie de protocole utilise une approche appelée «refus par défaut». Avec le refus
par défaut, le contenu est autorisé à passer selon des protocoles prédéfinis. Seul le
contenu qui correspond au profil acceptable peut être traité. Ceci est différent de
permettre le passage de tout ce qui n'est pas identifié comme malveillant, ce qui peut
encore permettre à des attaques inconnues de pénétrer sur le réseau.
Solutions IPS

Les solutions IPS peuvent bloquer les menaces en temps réel, et certaines d'entre
elles utilisent DPI. Un défi, cependant, est que les solutions IPS peuvent, à certains
moments, émettre des faux positifs. L'utilisation de politiques prudentes peut réduire
l'impact d'un IPS qui tend à indiquer des alertes faussement positives.
Correspondance de motif ou de signature

Avec la correspondance de modèles ou de signatures, le contenu d'un paquet de

données est analysé et comparé à une base de données de menaces identifiées
précédemment. Si le système est constamment mis à jour avec des informations sur
les menaces, cela peut être une défense très efficace contre les attaques. Cependant,
si l'attaque est nouvelle, le système peut la rater. Fortinet