Points clés
- Une supervision efficace des systèmes révèle non seulement les incidents en cours, mais aussi les dérives de configuration, les comportements anormaux des utilisateurs, les tentatives d'accès non autorisées et les signaux de compromission lente.
- La détection du mouvement latéral — progression d'un attaquant dans le système d'information après une compromission initiale — est l'un des cas d'usage les plus critiques de la supervision, car c'est là que l'attaquant cause le plus de dégâts.
- Mandiant (FireEye) documente un délai moyen de 204 jours entre la compromission initiale et sa détection — un délai pendant lequel l'attaquant explore et exfiltre sans être détecté. Une supervision efficace réduit significativement ce délai.
- NIST SP 800-137 (Information Security Continuous Monitoring) et ISO 27001:2022 A.8.16 définissent les exigences de supervision continue des systèmes d'information.
La supervision des systèmes d'information — monitoring continu des événements, détection des anomalies, alerte en temps réel — est l'une des capacités de sécurité les plus différenciantes entre les organisations qui détectent les incidents rapidement et celles qui ne les détectent que tardivement ou jamais. La qualité de la supervision détermine directement le délai de détection des incidents, et ce délai détermine directement leur coût et leur impact.
Une supervision efficace révèle ce qu'une organisation ne peut pas voir autrement : les tentatives d'accès non autorisées qui ne produisent pas d'incident visible, les comportements anormaux des utilisateurs légitimes qui peuvent indiquer une compromission de compte, les mouvements latéraux d'un attaquant qui explore le réseau, les exfiltrations de données qui se déroulent lentement sous les radars des volumes habituels.
Ce que la supervision révèle en temps réel
Les tentatives d'authentification répétées sur des comptes inexistants ou des comptes à privilèges (brute force, credential stuffing) sont l'un des signaux les plus immédiats d'une activité malveillante. Un SOC (Security Operations Center) supervisé détecte ces tentatives en quelques minutes et peut bloquer les adresses IP sources ou verrouiller les comptes ciblés avant qu'une compromission ne soit réalisée. Sans supervision, ces tentatives peuvent se poursuivre pendant des heures ou des jours.
Les connexions depuis des localisations géographiques inhabituelles ou impossibles (impossible travel — connexion depuis Paris et Tokyo dans un intervalle de 2 heures) sont un signal de compromission de compte. Les solutions de supervision basées sur le Machine Learning (UEBA — User and Entity Behavior Analytics) détectent ces anomalies comportementales et génèrent des alertes. Ces alertes sont impossibles à produire manuellement à partir de logs bruts non analysés.
Les transferts de données inhabituels — volume anormalement élevé vers une adresse externe, transfert de fichiers d'archives compressées vers un stockage cloud non autorisé, connexions vers des serveurs de command-and-control connus — sont des signaux d'exfiltration de données. La détection de ces transferts nécessite une supervision des flux réseau (NetFlow, DLP) en plus des logs système, avec des baselines comportementales qui définissent ce qu'est un comportement normal pour chaque système et chaque utilisateur.
La détection du mouvement latéral
Le mouvement latéral — la progression d'un attaquant d'un système compromis vers d'autres systèmes pour élargir son accès — est la phase la plus dangereuse d'une attaque avancée. C'est pendant cette phase que l'attaquant cartographie le réseau, compromet des comptes supplémentaires, installe des backdoors persistants et identifie les données à exfiltrer ou les systèmes à chiffrer (dans le cas d'un ransomware).
La détection du mouvement latéral nécessite une corrélation d'événements entre plusieurs systèmes : une connexion RDP (Remote Desktop Protocol) depuis un poste de travail vers un serveur de production qui n'avait jamais eu cette relation de connexion, une utilisation du protocole PsExec pour exécuter des commandes sur des systèmes distants, une élévation de privilèges sur un système qui n'avait pas d'historique d'élévation. Ces signaux, pris isolément, peuvent sembler anodins — leur corrélation en temps réel est ce qui révèle le mouvement latéral.
NotPetya (2017) s'est propagé avec une rapidité dévatatrice dans les réseaux de ses victimes en exploitant des techniques de mouvement latéral (EternalBlue, Mimikatz pour récupérer les identifiants en mémoire). Les organisations qui avaient des capacités de détection du mouvement latéral basées sur des règles de corrélation et des baselines comportementales ont pu isoler les systèmes affectés plus rapidement et limiter la propagation. Celles sans cette capacité ont vu le malware se propager sur l'ensemble de leurs réseaux en quelques heures.
Les outils de supervision modernes
Le SIEM (Security Information and Event Management) est l'infrastructure centrale de la supervision. Il collecte et corrèle les logs de l'ensemble des sources, applique des règles de détection, et génère des alertes. Les solutions SIEM modernes (Splunk, Microsoft Sentinel, IBM QRadar, Elastic Security) intègrent des capacités de Machine Learning pour détecter les anomalies comportementales qui ne correspondent pas à des règles prédéfinies.
Le XDR (Extended Detection and Response) est une évolution du SIEM qui intègre les signaux des endpoints (EDR), du réseau (NDR) et du cloud dans une plateforme unifiée, avec des capacités de réponse automatisée aux incidents. Le XDR réduit la fragmentation des données de supervision et améliore la corrélation entre les différentes couches du système d'information.
L'UEBA (User and Entity Behavior Analytics) complète le SIEM en appliquant des modèles statistiques et de Machine Learning aux comportements des utilisateurs et des entités (serveurs, applications) pour détecter des déviances par rapport aux baselines. L'UEBA est particulièrement efficace pour détecter les menaces internes et les comptes compromis utilisés de manière anormale.
FireEye, l'une des principales entreprises de cybersécurité au monde, a détecté elle-même en décembre 2020 une intrusion dans ses systèmes, plus tard attribuée à l'opération SolarWinds. FireEye a détecté l'intrusion grâce à ses capacités de supervision interne avancées : un attaquant tentait de s'authentifier depuis un nouvel appareil sur le compte d'un employé FireEye, déclenchant une alerte d'authentification anormale. FireEye a immédiatement lancé une investigation qui a conduit à la découverte de l'opération Sunburst. Cette détection rapide — quelques semaines contre plusieurs mois pour d'autres victimes — est attribuée à la maturité des capacités de supervision de FireEye.
Heineken a investi dans un SOC internalisé qui supervise en continu les systèmes de l'ensemble de ses opérations mondiales. Le SOC utilise un SIEM centralisé qui corrèle des millions d'événements par jour pour identifier les anomalies. En 2022, le SOC de Heineken a détecté une tentative de compromission ciblant ses systèmes de trésorerie via un mouvement latéral depuis un système de production. L'alerte a été générée 47 minutes après la première activité suspecte, permettant aux équipes d'isoler le système affecté avant que l'attaquant n'atteigne les systèmes financiers. Heineken présente ce cas dans ses publications de sécurité comme illustration du ROI de la supervision continue.
DBS Bank opère un SOC 24/7 qui supervise plusieurs millions d'événements de sécurité par jour. En 2021, le SOC a détecté via son UEBA une anomalie comportementale sur un compte d'accès aux systèmes de trésorerie : le compte était utilisé à des heures inhabituelles et effectuait des requêtes sur des données auxquelles il n'accédait pas habituellement. L'investigation a révélé une compromission de compte par credential stuffing. L'alerte a été générée et traitée en moins de deux heures, limitant l'accès de l'attaquant à une période de 4 heures. DBS estime que sans son système de supervision comportementale, la compromission aurait pu passer inaperçue pendant plusieurs semaines.