Introduction à la supervision SSI
Définition
La supervision SSI désigne l’ensemble des outils, techniques et équipes chargés de :
- surveiller en temps réel l’activité du système d’information,
- détecter les comportements malveillants ou suspects,
- réagir ou escalader efficacement en cas d’incident.
Pourquoi superviser ?
- Réagir plus vite à une attaque (MTTD / MTTR)
- Répondre aux exigences des normes (ISO 27001, NIS2, DORA…)
- Avoir une vision consolidée des menaces
- Couvrir l’ensemble de l’infrastructure (endpoints, réseau, Cloud…)
Typologie des solutions
| Brique | Rôle |
|---|---|
| SIEM | Collecter, stocker, corréler les logs |
| EDR | Surveiller les postes / serveurs |
| NDR | Analyser le trafic réseau |
| SOC | Piloter la supervision (humains + outils) |
Tip
Ces briques sont complémentaires : un bon SOC les articule toutes.