P.I.L.O.T.E

2 min de lecture

6.2 Analyse des événements (DE.AE)

Objectif de la catégorie

Cette catégorie garantit que les événements détectés par la surveillance font l’objet d’une analyse rigoureuse, en temps utile, pour confirmer les incidents potentiels, les qualifier et déclencher les réponses appropriées.

Question

Collecter les logs ne suffit pas. Encore faut-il les analyser intelligemment.

DE.AE-01 : Intégration des sources de détection

  • Agrégation dans un SIEM ou un système équivalent :
    • Journaux réseau, antivirus, EDR, serveurs, applicatifs, AD…
  • Normalisation des logs
  • Application de règles de détection (corrélation, machine learning…)

DE.AE-02 : Analyse des événements de sécurité

  • Tri des événements : faux positifs, erreurs, activités suspectes
  • Qualification :
    • Catégorie (accès non autorisé, malware, phishing…)
    • Niveau de gravité
    • Impacts potentiels
  • Documentation : ticketing / journal d’analyse

DE.AE-03 : Attribution et contextualisation

  • Attribution du contexte :
    • Qui ? Quand ? Où ? Comment ?
    • Quelle machine, quel service, quel utilisateur ?
  • Recherche d’IoC (indicateurs de compromission)
  • Corrélation avec les règles internes / CTI (Cyber Threat Intelligence)

DE.AE-04 : Déclenchement de la réponse appropriée

  • Classification des incidents selon gravité
  • Notification automatique des parties concernées
  • Transmission au processus de réponse aux incidents
  • Exemples :
    • Détection brute → création de ticket
    • Incident critique → alerte SOC + escalation COMEX

DE.AE-05 : Partage des informations sur les menaces

  • Publication d’IoC à d’autres entités internes/externes
  • Participation à des plateformes de partage CTI :
    • MISP, ThreatConnect, ISAC sectoriel…
  • Bénéfices :
    • Enrichissement des détections
    • Meilleure préparation collective

Synthèse opérationnelle

ÉlémentPratiques recommandées
SourcesSIEM connecté à toutes les briques critiques
AnalyseSOC 24/7 ou MSSP, tri et qualification rapide
EscaladePlaybook avec niveaux de gravité
PartageContribution à des plateformes CTI
DocumentationTicketing centralisé + horodatage + rapport post-incident

Vue Graphique