Journalisation et détection des incidents
Sources d’alerte
| Source | Exemple |
|---|---|
| SIEM | Analyse de logs croisés |
| EDR | Comportement anormal sur un poste |
| NDR | Flux suspects sur le réseau |
| Utilisateur | Signalement via phishing ou comportement |
| Honeypot | Attaques actives détectées |
| SOC | Corrélation multi-source |
Détection avancée
- IOC (Indicator of Compromise) : fichier malveillant, IP malveillante, hash connu…
- TTP (Tactics, Techniques, Procedures) : profil comportemental MITRE ATT&CK
- MISP / OpenCTI : plateformes de partage de renseignement (CTI)
Bonnes pratiques
- Journalisation activée sur tous les équipements critiques
- Journaux centralisés, horodatés, intègres
- Surveillance en temps réel ou en near-real-time
- Rétention suffisante (6 mois minimum, souvent 1 an)
Danger
Aucun traitement efficace sans logs.
Pas de logs = pas de preuve, pas de forensique, pas de défense juridique.