P.I.L.O.T.E

2 min de lecture

6.1 Surveillance continue (DE.CM)

Objectif de la catégorie

Cette catégorie permet de mettre en place une surveillance proactive des actifs, réseaux, systèmes, personnes et services pour détecter en temps utile les événements anormaux ou malveillants.

Info

Sans détection rapide, les attaques ont tout le temps de compromettre votre SI en profondeur.

DE.CM-01 : Surveillance des réseaux

  • Collecte et corrélation des événements réseau :
    • Connexions, ports, protocoles, trafic anormal
  • Déploiement de sondes NIDS/NIPS (ex : Suricata, Zeek)
  • Détection d’anomalies : trafic hors horaires, flux inhabituels

DE.CM-02 : Surveillance de l’environnement physique

  • Alarmes, badges, vidéosurveillance
  • Détection d’anomalies physiques :
    • Ouverture de baie non autorisée
    • Accès hors horaires
    • Intrusion dans une zone sensible

DE.CM-03 : Surveillance des activités utilisateurs

  • Journaux d’authentification et d’accès
  • Détection de comportements anormaux :
    • Tentatives multiples, connexions depuis pays étrangers
    • Activité inhabituelle sur des fichiers sensibles
  • Outils : SIEM, UEBA, DLP

DE.CM-06 : Surveillance des prestataires externes

  • Analyse des logs des outils exploités en mode SaaS/infogérance
  • Supervision des accès VPN tiers
  • Contrôles de conformité contractuelle

DE.CM-09 : Surveillance du hardware, des logiciels et des environnements

  • Intégrité logicielle :
    • Hash de fichiers critiques, détection de modification
  • Surveillance de l’état des systèmes :
    • Uptime, patching, services critiques
  • Outils : EDR, HIDS, antivirus centralisé

Journalisation et centralisation

  • Collecte des logs :
    • Authentification, pare-feu, antivirus, OS, applications
  • Centralisation dans un SIEM
  • Corrélation et alertes automatisées
  • Politique de rétention selon criticité et obligations légales

Synthèse opérationnelle

ÉlémentOutils / pratiques recommandées
RéseauIDS/IPS, Netflow, Suricata
UtilisateursSIEM, DLP, surveillance des comptes
FournisseursVPN logging, analyse des logs SaaS
CentralisationSIEM, journalisation normalisée
PhysiqueContrôle d’accès + alertes d’anomalie

Vue Graphique