Il n’est pas possible d’arrêter ce que l’on ne peut pas détecter dans toutes les phases d’une attaque.
Il est donc essentiel de mettre en place une bonne politique de centralisation des logs. C’est-à-dire de récolter et conserver les logs de vos serveurs, postes de travail, équipement (et autres) dans un endroit (ou plusieurs endroits) centralisé et sécurisé. Il peut s’agir d’un stockage en local, chez un prestataire externe ou vers un service Cloud.
L’objectif est de pouvoir avoir un accès facilité à ces informations même en cas d’attaque où de compromission.
Dans le cas où l’entreprise a les moyens, il est possible d’implémenter une surveillance des logs dans un SIEM et de créer des use-cases d’alerte, ainsi que de mettre en place un SOC pour obtenir une vision globale et centralisée de ce qu’il se passe sur une infrastructure IT.
Il s’agit généralement de la dernière étape d’un cheminement de sécurité, puisque ces outils ne sont pas les plus simples à mettre en place et les meilleurs marchés.
SIEM
Les Security Information & Event Management ou SIEM sont des solutions de détection et réponses à des événements ou incidents au sein d’un environnement IT. Ils collectent et regroupent les logs au niveau de l’ensemble de l’infrastructure IT et effectuent des analyses pour suivre et détecter des anomalies en temps réel.
SOC
Un SOC (Systems Operations Center) est un centre de contrôle informatique central qui surveille et gère les systèmes et les réseaux d’une entreprise. Il s’agit d’une plateforme qui permet de surveiller les performances des systèmes, détecter et résoudre les problèmes en temps réel et assurer la continuité des activités.
Il est important de rappeler que les SOC ou SIEM sont utiles pour autant que quelqu’un suive et réagisse aux alertes générées par ces outils.
—
Définition logs : le log, diminutif de logging, désigne un fichier qui consiste à stocker la documentation automatique des événements concernant un système ou logiciel. Il permet d’analyser l’activité interne d’un processus.
