Points clés
- Une capacité de détection continue des menaces est le résultat d'un investissement programmatique multi-annuel, pas d'un projet ponctuel de déploiement d'un SIEM.
- La maturité de détection se construit par couches successives : couverture d'abord (journalisation de toutes les sources critiques), puis profondeur (granularité des événements journalisés), puis intelligence (corrélation et détection comportementale).
- Les exercices Red Team et les tests de pénétration sont les mécanismes les plus efficaces pour évaluer les capacités réelles de détection — et identifier les scénarios d'attaque qui passent inaperçus dans le dispositif actuel.
- NIST CSF 2.0 (fonction Detect) et ISO 27001:2022 A.8.16 définissent les exigences d'une surveillance continue des systèmes comme composante d'un programme de sécurité mature.
Construire une capacité de détection continue des menaces est l'aboutissement d'un programme de supervision mature. Cette capacité n'est pas un état figé — c'est un programme continu qui évolue avec les menaces, l'infrastructure et les référentiels de conformité. Elle nécessite un investissement à long terme en infrastructure, en compétences et en processus, avec des révisions régulières pour maintenir son efficacité face à des menaces en constante évolution.
Cette dernière article de la série sur la traçabilité et la supervision propose une synthèse des éléments constitutifs d'une capacité de détection continue — de la fondation architecturale à la maturité opérationnelle — en s'appuyant sur les référentiels internationaux et les pratiques documentées des organisations les plus avancées.
La progression par couches
La construction d'une capacité de détection continue suit logiquement une progression par couches. La première couche est la couverture : s'assurer que tous les systèmes critiques génèrent des logs et que ces logs sont centralisés dans un SIEM protégé. Sans cette couverture complète, les couches supérieures de sophistication sont inutiles — des angles morts subsisteront qui permettront aux attaquants d'opérer sans être détectés.
La deuxième couche est la profondeur : configurer les sources de logs pour journaliser les événements utiles à la détection (pas seulement les événements disponibles par défaut), ajouter des sources de logs supplémentaires (Sysmon, DNS logging, NetFlow), et améliorer la granularité des événements collectés. Cette couche est souvent la plus sous-investie — les organisations activent les logs par défaut sans se demander si ces logs sont suffisamment granulaires pour les cas d'usage de détection qu'elles veulent couvrir.
La troisième couche est l'intelligence : configurer des règles de corrélation pour les cas d'usage de détection prioritaires, déployer des capacités UEBA pour la détection comportementale, intégrer la threat intelligence externe, et établir des processus de triage et de réponse aux alertes. C'est la couche qui transforme la journalisation en capacité de détection active.
L'amélioration continue par les tests
Les exercices Red Team — des attaques simulées réalisées par des équipes internes ou des prestataires spécialisés, en mode "boîte noire" pour l'équipe de défense — sont le mécanisme le plus efficace pour évaluer les capacités réelles de détection. Lors d'un exercice Red Team, l'équipe d'attaque utilise les mêmes techniques que les vrais attaquants. L'équipe de défense (Blue Team ou SOC) cherche à les détecter. Les résultats révèlent précisément quels scénarios sont détectés, dans quels délais, et quels scénarios passent inaperçus.
Les exercices Purple Team — collaboration entre l'équipe d'attaque (Red) et l'équipe de défense (Blue) — permettent d'améliorer directement les règles de détection en testant et en affinant en temps réel les capacités de détection face à des techniques spécifiques. Ces exercices, moins coûteux que les Red Team classiques, sont particulièrement efficaces pour améliorer la couverture ATT&CK du dispositif de détection.
La BCE impose dans son cadre TIBER-EU des tests Red Team réalistes pour les institutions financières systémiques. Ces tests évaluent les capacités de détection et de réponse face à des techniques d'attaque avancées utilisées par des groupes APT réels. Les résultats TIBER produisent des plans de remédiation qui permettent aux institutions d'améliorer progressivement leurs capacités de détection.
La gouvernance du programme de détection
Un programme de détection continue nécessite une gouvernance formelle : un responsable (SOC Manager ou RSSI), un budget récurrent, des objectifs de performance documentés (MTTD cible, taux de couverture cible), des révisions annuelles alignées sur l'évolution des menaces et de l'infrastructure, et des mécanismes de reporting à la direction.
Le budget d'un programme de détection continue inclut : les coûts de licences des outils (SIEM, EDR, UEBA), les coûts d'infrastructure (stockage, compute pour l'analyse), les coûts des ressources humaines (analystes SOC, ingénieurs de détection), les coûts de threat intelligence, et les coûts des exercices de test (Red Team, Purple Team). Ces coûts doivent être mis en perspective avec le coût moyen d'un incident non détecté dans le secteur et l'organisation.
NIST CSF 2.0 dans sa fonction Detect, et ISO 27001:2022 A.8.16 dans son exigence de surveillance des activités, fournissent le cadre normatif qui guide la structuration et la gouvernance d'un programme de détection continue. Ces cadres permettent à l'organisation de démontrer aux régulateurs et aux auditeurs que son programme de détection est systématique, gouverné et en amélioration continue.
La CISA (Cybersecurity and Infrastructure Security Agency) a développé et déploie le programme CDM (Continuous Diagnostics and Mitigation) pour améliorer les capacités de détection continue des agences fédérales américaines. Ce programme, financé par le Department of Homeland Security, fournit aux agences des outils et des architectures standardisées de détection continue : inventaire des actifs, gestion des vulnérabilités, surveillance du réseau et détection des anomalies. CDM est souvent cité par la CISA et le NIST comme modèle de programme gouvernemental de détection continue. Les agences participant à CDM ont présenté des améliorations mesurables de leurs MTTD lors des inspections OIG (Office of Inspector General).
La Banque Centrale Européenne a mis en place TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) comme cadre de test des capacités de détection et de réponse des institutions financières systémiques européennes. Les exercices TIBER-EU, menés par des red teams spécialisés utilisant de vraie threat intelligence sectorielle, évaluent en conditions réelles la capacité du SOC de l'institution à détecter et à contenir des attaques avancées. Les résultats produisent des plans de remédiation spécifiques pour améliorer les capacités de détection. Depuis 2021, plusieurs pays européens ont adopté TIBER-EU (ou des variantes nationales comme TIBER-NL, TIBER-BE, TIBER-SE) comme cadre national de test pour leurs institutions financières systémiques.
La Monetary Authority of Singapore a développé l'Institutional Health and Landscape Tool (iHLT), un programme d'évaluation des capacités de détection des institutions financières supervisées. Ce programme évalue la maturité du dispositif de détection sur plusieurs dimensions : couverture des sources de logs, qualité des règles de corrélation, performances des métriques de détection (MTTD, MTTR), et résultats des tests de pénétration. Les institutions dont l'évaluation révèle des lacunes significatives reçoivent des exigences de remédiation formelles avec des délais. La MAS utilise les résultats agrégés de ces évaluations pour identifier les tendances sectorielles et adapter ses recommandations de supervision.