Défense en Profondeur

Architecture de Cyberdéfense

Manuel de référence technique pour les architectures SOC modernes. Ce document couvre la collecte (SIEM), l'analyse, l'intelligence (CTI), l'externalisation (MSSP) et la réponse (SOAR).

1. Structures : CERT vs CSIRT

CSIRT

Computer Security Incident Response Team

Le terme opérationnel standard ("Les Pompiers").

  • Réactif : Réception des tickets, analyse forensique, confinement.
  • Portée : Interne (entreprise) ou Territoriale (Région).

CERT

Computer Emergency Response Team

Focalisé sur la veille, l'alerte et la coopération.

  • Préventif : Veille vulnérabilités, publication de CVE.
  • Exemple : CERT-FR (ANSSI) pour les OIV/OSE.

2. SOC Managé (MSSP)

Stratégie d'Externalisation

Construire un SOC interne coûte cher (H24 = minimum 12 analystes). Beaucoup d'entreprises se tournent vers des MSSP (Managed Security Service Providers).

Modèles de Service

  • 1. Fully Managed :
    Le prestataire fait tout. Le client reçoit juste un coup de fil en cas de crise majeure.
    Idéal pour : PME sans équipe IT sécu.
  • 2. Co-Managed / Hybride :
    Le MSSP gère la nuit/week-end (H24) et le "tout venant". L'équipe interne gère les alertes critiques avec le contexte métier.
    Idéal pour : ETI et Grands Groupes.

Intégration Technique

Comment le MSSP voit-il votre réseau ?

Option A (VPN) : Tunnel VPN Site-à-Site pour que le SIEM du MSSP tape dans vos serveurs.
Option B (Collectors) : Installation d'une "Black Box" (Collector) chez le client qui compresse et chiffre les logs vers le MSSP.
Option C (Cloud-to-Cloud) : Si vous êtes sur Office 365 / AWS, le MSSP se connecte via API.

Les SLA (Service Level Agreements)

C'est la partie contractuelle critique. Le MSSP s'engage sur des temps :

  • MTTD (Mean Time To Detect) : "Je détecte en < 1h"
  • MTTR (Mean Time To Respond) : "J'agis en < 4h"

3. SIEM Architecture

Le SIEM centralise, normalise et corrèle les logs pour détecter les anomalies.

[Image of SIEM data flow architecture]
Collecte
(Syslog, API)
Parsing
(Clé=Valeur)
Corrélation
(Règles SIEM)
Alerte
(Incident)

4. Focus Technique : SPLUNK

Architecture Splunk

1. Forwarders (Agents)

Universal Forwarder (UF) envoie les logs bruts. Heavy Forwarder (HF) peut les filtrer avant envoi.

2. Indexers (Stockage)

Reçoivent, parsent et stockent les données dans des "Buckets" (Hot/Warm/Cold).

3. Search Heads (GUI)

Distribuent les requêtes SPL aux indexers et agrègent les résultats pour l'analyste.

[Image of Splunk detailed architecture components]

Exemple SPL (Search Processing Language)

index=prod_firewall action=blocked
| stats count by src_ip
| where count > 100
| iplocation src_ip
| table src_ip, Country, count

5. Focus : La Stack ELK

BEATS

Agents de collecte (Filebeat, Winlogbeat).

LOGSTASH

ETL : Transforme et enrichit les logs.

ELASTICSEARCH

Base NoSQL (Moteur de recherche).

KIBANA

Interface de visualisation.

Différence clé : ELK structure à l'ingestion (Schema on Write), Splunk structure à la lecture (Schema on Read).

6. CTI (Cyber Threat Intelligence)

Anticipation

La CTI ne consiste pas juste à collecter des "listes noires". C'est l'analyse des capacités, de l'infrastructure et des intentions des attaquants.

Pyramid of Pain

Plus on monte, plus c'est douloureux pour l'attaquant de changer sa méthode.

TTPs (Comportements)
Tools (Outils)
Network / Host Artifacts
Domain Names
IP Addresses
Hash Values (MD5/SHA)

Les 3 Niveaux CTI

  • Stratégique : Pour les décideurs (ex: "APT28 cible l'énergie").
  • Opérationnelle : TTPs (Techniques, Tactics, Procedures).
  • Tactique : IoC (IPs, Hashs).

Standards & Outils

Protocole d'échange et plateformes.

STIX / TAXII

STIX est le format (JSON). TAXII est le protocole de transport.

MISP

(Malware Information Sharing Platform). Outil Open Source de référence pour partager les IoCs.

7. SOAR & Automatisation

Orchestration vs Auto

Orchestration : Connecte les outils entre eux via API (SIEM parle au Firewall).

Automatisation : Exécute des tâches répétitives sans humain.

Playbook : Phishing

  1. Utilisateur signale un mail.
  2. SOAR extrait URL & Pièces jointes.
  3. Analyse via VirusTotal (CTI).
  4. Si positif > Blocage Proxy.
  5. Ticket fermé, user notifié.

Outils SOAR

  • XSOAR (Palo Alto)
    Le leader du marché (payant).
  • Splunk SOAR
    Anciennement Phantom.
  • TheHive / Cortex
    La référence Open Source.

8. VOC (Vulnerability Operation Center)

Approche préventive. Scan régulier (Nessus, Qualys) pour trouver les failles avant les attaquants.

Scan
Identifier les ports/services ouverts.
Priorisation
Contextualiser selon le CVSS + Criticité Business.
Remédiation
Patching ou mesures compensatoires.

9. IDS / IPS / NDR

Type Position Action
IDS (Detection) Parallèle (Mirroring). Invisible. Alerte uniquement. Pas d'impact prod.
IPS (Prevention) En coupure (Inline). Bloque les paquets. Risque de Faux Positif.

NDR (Network Detection & Response) : Analyse comportementale (IA) du réseau pour trouver ce que les signatures ratent.

10. Glossaire Technique

EDR
Endpoint Detection & Response

Sonde intelligente sur les PC/Serveurs. Enregistre l'activité locale.

XDR
Extended Detection & Response

Unification propriétaire (EDR + NDR + Cloud + Identity).

MITRE ATT&CK
Base de connaissance

La "bible" des techniques d'attaques (TTPs) observées dans le monde.

IoC
Indicator of Compromise

Preuve technique d'une attaque (Hash fichier, IP C2, Nom de domaine).