Journalisation et détection des incidents

Sources d’alerte

SourceExemple
SIEMAnalyse de logs croisés
EDRComportement anormal sur un poste
NDRFlux suspects sur le réseau
UtilisateurSignalement via phishing ou comportement
HoneypotAttaques actives détectées
SOCCorrélation multi-source

Détection avancée

  • IOC (Indicator of Compromise) : fichier malveillant, IP malveillante, hash connu…
  • TTP (Tactics, Techniques, Procedures) : profil comportemental MITRE ATT&CK
  • MISP / OpenCTI : plateformes de partage de renseignement (CTI)

Bonnes pratiques

  • Journalisation activée sur tous les équipements critiques
  • Journaux centralisés, horodatés, intègres
  • Surveillance en temps réel ou en near-real-time
  • Rétention suffisante (6 mois minimum, souvent 1 an)

Danger

Aucun traitement efficace sans logs.
Pas de logs = pas de preuve, pas de forensique, pas de défense juridique.