Points clés
- Un dispositif de détection des anomalies efficace repose sur une architecture cohérente qui couvre les trois couches de l'infrastructure : endpoints, réseau et cloud.
- La détection efficace nécessite une combinaison de règles de corrélation (détection basée sur des patterns connus) et de détection comportementale (identification des déviances par rapport aux baselines).
- La structuration du dispositif commence par la définition des cas d'usage prioritaires — quels scénarios d'attaque veut-on détecter — et non par le choix des outils.
- Le MITRE ATT&CK framework est la référence pour structurer les cas d'usage de détection : il cartographie les techniques d'attaque documentées et permet d'évaluer la couverture de détection d'un dispositif.
Structurer un dispositif de détection des anomalies commence par une question stratégique : quels scénarios d'attaque l'organisation veut-elle détecter, et avec quels délais ? Cette question, souvent ignorée au profit du déploiement rapide d'outils, est indispensable pour construire un dispositif cohérent et efficace plutôt qu'une accumulation d'outils non intégrés.
La réponse à cette question s'appuie sur l'analyse des risques de l'organisation (quels vecteurs d'attaque sont pertinents pour mon secteur et mon profil ?), sur les techniques d'attaque documentées dans les frameworks comme MITRE ATT&CK, et sur les incidents passés de l'organisation et de son secteur. Cette analyse produit un ensemble de cas d'usage de détection qui guident la configuration du dispositif.
L'architecture du dispositif de détection
Un dispositif de détection mature couvre trois couches d'infrastructure. La couche endpoint (EDR — Endpoint Detection and Response) supervise les activités des postes de travail et des serveurs : exécutions de processus, modifications de fichiers, connexions réseau initiées depuis les endpoints, comportements suspects (injection de code, keylogging, dump de mémoire). L'EDR est la source de logs la plus granulaire et la plus efficace pour détecter les activités post-compromission sur les systèmes individuels.
La couche réseau (NDR — Network Detection and Response) supervise les communications entre les systèmes : volume des flux, protocoles utilisés, destinations des communications, contenus des flux (pour les communications non chiffrées). Le NDR est particulièrement efficace pour détecter les mouvements latéraux et les exfiltrations de données qui sont moins visibles au niveau endpoint.
La couche cloud (CDR — Cloud Detection and Response) supervise les activités dans les environnements cloud : accès aux ressources, modifications de configuration, création et suppression de ressources, comportements des identités cloud. Avec la migration croissante vers le cloud, la couverture de cette couche est devenue critique pour les organisations qui ont une présence cloud significative.
Les cas d'usage de détection prioritaires
Le MITRE ATT&CK framework cartographie 14 tactiques et plus de 200 techniques utilisées par les attaquants documentés. Pour un dispositif de détection, il s'agit de sélectionner les techniques les plus pertinentes pour l'organisation et de configurer des règles de détection pour chacune. Un exercice annuel d'évaluation de la couverture ATT&CK — quelles techniques sont couvertes par le dispositif actuel — révèle les angles morts et guide les investissements de détection.
Les cas d'usage prioritaires pour la plupart des organisations incluent : la détection des compromissions de compte (authentifications anormales, impossible travel, accès depuis des localisations inhabituelles), la détection du mouvement latéral (connexions entre systèmes inhabituellement reliés, utilisation de protocoles de gestion à distance), la détection des techniques de Living off the Land (utilisation de PowerShell, WMI, PsExec pour des activités inhabituelles), et la détection des exfiltrations de données (volumes de données sortantes anormaux, connexions vers des stockages cloud non autorisés).
Les cas d'usage sectoriels spécifiques doivent compléter les cas d'usage généraux : les établissements financiers doivent détecter les accès anormaux aux systèmes de paiement et aux transactions SWIFT, les établissements de santé doivent détecter les accès anormaux aux dossiers médicaux, les opérateurs d'infrastructures critiques doivent détecter les activités anormales sur les systèmes OT.
L'intégration des sources de threat intelligence
La threat intelligence — informations sur les menaces émergentes, les indicateurs de compromission (IoC) des attaques récentes, les techniques utilisées par des groupes APT spécifiques — enrichit le dispositif de détection en permettant d'identifier des activités correspondant à des campagnes d'attaque connues. Les IoC (adresses IP, domaines, hachages de fichiers malveillants) peuvent être intégrés directement dans le SIEM pour générer des alertes lorsqu'ils sont observés dans le trafic de l'organisation.
Les plateformes de threat intelligence (MISP, VirusTotal, ISAC sectoriels) permettent de partager les IoC entre organisations d'un même secteur, améliorant la détection collective. Les ISAC (Information Sharing and Analysis Centers) sectoriels — FS-ISAC pour la finance, H-ISAC pour la santé — jouent un rôle central dans ce partage de threat intelligence sectorielle.
MITRE ATT&CK, développé par MITRE Corporation, est devenu le framework de référence pour structurer les capacités de détection des organisations de sécurité mondiales. Plusieurs organisations américaines, dont des agences fédérales (NSA, CISA) et des entreprises du Fortune 500, publient leur couverture ATT&CK comme indicateur de maturité de leur dispositif de détection. La CISA utilise ATT&CK pour structurer ses alertes sur les techniques utilisées par des groupes APT spécifiques, permettant aux organisations de cibler leurs investissements de détection sur les techniques les plus pertinentes pour leur profil de risque. MITRE ATT&CK est aujourd'hui utilisé dans plus de 100 pays comme référentiel de structuration de la détection.
L'ENISA a publié en 2022 un guide sur la structuration des dispositifs de détection des menaces pour les entités essentielles et importantes sous NIS2. Ce guide recommande une approche en quatre étapes : inventaire des actifs à protéger, analyse des menaces pertinentes (utilisant ATT&CK), définition des cas d'usage de détection prioritaires, déploiement des outils de détection alignés sur ces cas d'usage. L'ENISA documente que les organisations qui suivent cette approche structurée présentent des taux de détection interne significativement plus élevés que celles qui déploient des outils sans cadre de cas d'usage. Ce guide est utilisé par les autorités nationales compétentes NIS2 pour évaluer la maturité des dispositifs de détection.
La Cyber Security Agency de Singapour a publié des guides de structuration des capacités de détection des menaces, incluant une cartographie des techniques ATT&CK les plus fréquemment utilisées contre les organisations singapouriennes. Ces guides recommandent une approche progressive : déployer d'abord les capacités de détection pour les techniques les plus fréquentes (phishing, compromission de compte, ransomware), puis étendre progressivement la couverture aux techniques plus avancées. La CSA organise annuellement des exercices de red team pour les organisations critiques qui permettent d'évaluer en conditions réelles l'efficacité des dispositifs de détection.