Points clés
- Gartner positionne la visibilité réseau (Network Visibility and Analytics) comme l'une des cinq capacités les plus critiques pour les SOC modernes — sans visibilité complète des flux réseau, la détection d'incidents avancés est structurellement impossible.
- FireEye (aujourd'hui Mandiant) a détecté la compromission de SolarWinds (États-Unis, 2020) en identifiant une anomalie de trafic réseau inhabituelle — une communication vers un domaine de C2 non connu générant un faible volume de trafic HTTPS qui n'aurait pas été détectée sans la visibilité réseau complète de Mandiant sur ses propres flux.
- L'ENISA (2023) estime que 40 % des incidents cyber dans les organisations européennes auraient pu être détectés 2 à 4 semaines plus tôt si une visibilité réseau complète avait été en place — réduisant considérablement l'impact potentiel avant détection.
La visibilité réseau — la capacité à observer en temps réel l'ensemble des communications sur le réseau et à détecter les comportements anormaux — est la condition nécessaire à toute détection efficace des incidents. Sans visibilité, les équipes sécurité sont aveugles : elles ne savent pas ce qui se passe sur leur réseau, ne peuvent pas distinguer le trafic malveillant du trafic légitime, et ne découvrent les incidents qu'après qu'ils ont produit leurs effets visibles (chiffrement de données, exfiltration massive).
Les composantes de la visibilité réseau
La visibilité réseau complète s'obtient par la combinaison de plusieurs sources d'information : (1) journaux de firewalls et équipements réseau — toutes les connexions autorisées et bloquées avec les métadonnées associées (source, destination, port, protocole, volume), (2) flux NetFlow/IPFIX — résumés de flux réseau générés par les équipements réseau et les serveurs, permettant une analyse des patterns de communication sans inspection du contenu, (3) logs DNS — toutes les requêtes et réponses DNS permettant de détecter les communications C2 via DNS, les domaines générés algorithmiquement (DGA) et les exfiltrations par DNS, (4) inspection TLS — déchiffrement et inspection des flux HTTPS dans les zones où cela est légalement et techniquement possible, (5) agents endpoint (EDR) — complément à la visibilité réseau en fournissant les connexions initiées par chaque processus sur chaque terminal.
Network Detection and Response (NDR)
Les solutions NDR (Network Detection and Response) analysent les flux réseau avec des modèles comportementaux et des signatures pour détecter automatiquement les anomalies : communications vers des adresses IP malveillantes connues, patterns de beaconing (communications régulières vers un C2), scans de reconnaissance internes (un hôte qui tente de se connecter à des centaines d'autres hôtes), mouvements latéraux (authentifications anormales entre systèmes qui ne communiquent pas habituellement), et exfiltrations (volumes de données anormaux vers des destinations externes).
Le NDR est complémentaire au SIEM et à l'EDR : il couvre la couche réseau que ces outils voient partiellement ou indirectement, permettant une détection plus précoce des attaques qui n'ont pas encore atteint les endpoints sous surveillance.
Visibilité réseau dans les environnements hybrides et cloud
L'extension des réseaux vers le cloud (AWS VPC, Azure Virtual Network, GCP VPC) et les environnements hybrides crée des angles morts dans la visibilité réseau traditionnelle : le trafic entre instances cloud ne passe pas par les firewalls physiques et n'est pas visible dans les flux NetFlow collectés sur les équipements on-premise. Les solutions de visibilité réseau cloud (VPC Flow Logs, Azure NSG Logs, GCP Firewall Rules Logs) doivent être intégrées dans la stratégie de visibilité globale.
Cas opérationnel : Détection de SolarWinds via anomalie de trafic réseau (États-Unis, 2020)
Mandiant (alors FireEye) a détecté en décembre 2020 la compromission de SolarWinds Orion en identifiant une tentative d'enregistrement d'un second appareil MFA associé à un compte utilisateur légitime — mais c'est une anomalie dans les flux réseau de leur propre infrastructure (trafic HTTPS vers un sous-domaine inhabituel de avsvmcloud.com) qui a conduit à l'investigation complète révélant la backdoor Sunburst. Sans la visibilité réseau complète que Mandiant maintient sur ses propres flux (en tant qu'entreprise de cybersécurité), cette anomalie de faible volume aurait pu passer inaperçue. L'incident a démontré que même des acteurs sophistiqués opèrent dans les réseaux des organisations sans être détectés pendant des mois (9 mois dans le cas SolarWinds) quand la visibilité réseau est insuffisante.
La NSA et le CISA ont publié en 2023 un guide de sécurité des infrastructures réseau recommandant une visibilité complète des flux comme composante fondamentale de tout programme de sécurité réseau. Le guide spécifie les sources de journaux à collecter, les durées de conservation recommandées et les cas d'usage de détection couverts par chaque source — un référentiel directement opérationnalisable pour les équipes sécurité.
Le rapport ENISA NIS Investments 2023 révèle que seulement 35 % des opérateurs d'importance vitale et des fournisseurs de services numériques européens avaient déployé des capacités NDR, malgré leur inclusion dans les recommandations de sécurité depuis plusieurs années. Ce chiffre illustre le gap entre les recommandations et la réalité des déploiements — et souligne la priorité que représente la visibilité réseau dans les investissements de sécurité des organisations européennes.
La Cyber Security Agency de Singapour a publié en 2023 des lignes directrices sur le déploiement des solutions NDR dans les entités d'infrastructure critique, incluant des spécifications techniques sur les sources de données à collecter, les intégrations SIEM recommandées et les cas d'usage de détection prioritaires. Ces guidelines sont devenues la référence régionale pour les programmes de visibilité réseau en Asie du Sud-Est.