false
Blogs Splunk
Blogs Splunk
Blogs Splunk
Learn
28 août 2023
 | 
15 min de lecture

Qu’est-ce que l’analyse de cybersécurité ?

Par Tyler York

L’analyse de sécurité est une approche proactive de la cybersécurité qui s’appuie sur des capacités de collecte, d’agrégation et d’analyse des données pour remplir des fonctions de sécurité stratégiques, dont la détection, l’analyse et l’atténuation des cybermenaces. On déploie des outils d’analyse de sécurité, comme la détection des menaces et la supervision de sécurité, pour identifier et investiguer divers types d’incidents de sécurité et de menaces : logiciels malveillants externes, attaques ciblées et malveillances internes. 

Lorsqu’ils peuvent détecter ces dangers de façon précoce, les professionnels de la sécurité ont l’opportunité de les arrêter avant que des criminels n’infiltrent l’infrastructure du réseau, ne compromettent des données et des actifs précieux ou ne provoquent d’autres formes de dommages.

Cet article aborde les fonctionnalités et les avantages d’une plateforme d’analyse de la sécurité, les menaces de sécurité les plus importantes pour votre entreprise, les différentes approches de sécurité et la manière dont l’analyse de la sécurité peut vous aider à prévenir les attaques et à protéger votre environnement.

Fonctionnalités et avantages des plateformes de sécurité

L’analyse de la sécurité consiste à appliquer l’analyse des données à la cybersécurité de votre entreprise.

Une plateforme d’analyse de sécurité (SA) est une combinaison d’outils qui fournit des fonctions de sécurité réseau proactives, dont la détection, la supervision et l’analyse de divers événements de sécurité, d’attaques et de modèles de menaces ; toutes se conjuguent au sein d’une même application et utilisant les mêmes structures de données sous-jacentes. Les plateformes d’analyse de sécurité sont également évolutives et savent s’adapter à des réseaux et un nombre d’utilisateurs toujours plus vastes au fil de la croissance de l’entreprise.

Les solutions d’analyse de la sécurité agrègent les données de nombreuses sources :

En combinant et en corrélant ces données, les entreprises obtiennent un ensemble de données principal auquel les professionnels de la sécurité peuvent appliquer des algorithmes adaptés et qu’ils peuvent interroger rapidement pour identifier les signes précoces d’une attaque. Ces indicateurs d’attaque, comme on les appelle, peuvent provenir d’un large éventail de sources. Les plateformes de sécurité offrent des outils pratiques pour collecter et cataloguer les données réseau les plus utiles.

Types d’outils d’analyse de sécurité

Si les palettes de fonctionnalités varient, de nombreuses plateformes d’analyse de la sécurité offrent les fonctionnalités suivantes :

  • analyse du comportement des entités et des utilisateurs (UEBA),
  • analyse automatisée ou à la demande du trafic réseau,
  • threat intelligence,
  • accès aux applications et analyse,
  • analyse DNS,
  • analyse des e-mails,
  • identités et personas sociaux,
  • accès aux fichiers,
  • géolocalisation, contexte IP.

Ces fonctions sont issues des différents outils qui composent la plateforme d’analyse de sécurité. Voici les outils classiques de l’arsenal d’analyse de sécurité :

  • Analyse comportementale : l’analyse comportementale examine les modèles et les tendances comportementales des utilisateurs, des applications et des appareils afin d’identifier les comportements anormaux et autres anomalies susceptibles d’indiquer une violation de sécurité ou une attaque.
  • Threat intelligence externe : une entreprise de services de sécurité externe peut proposer de la threat intelligence dans le cadre de son portefeuille. S’il ne s’agit pas d’analyses de sécurité en soi, les plateformes de threat intelligence complètent le processus analytique.
  • Investigation : les outils d’investigation sont utilisés pour analyser les attaques passées ou en cours, déterminer comment les attaquants ont infiltré et compromis les systèmes, et identifier les cybermenaces et les vulnérabilités de sécurité exposant l’entreprise à une attaque future.
  • Analyse et visibilité du réseau (NAV) : la NAV est un ensemble d’outils qui analysent le trafic des utilisateurs finaux et des applications lors de leur circulation sur le réseau. La NAV est parfois désignée supervision de sécurité du réseau (NSM).
  • Gestion des événements et des informations de sécurité (SIEM) : la gestion des événements et des informations de sécurité combine une série d’outils pour fournir une analyse en temps réel des alertes de sécurité produites par des dispositifs et des applications réseau.
  • Orchestration, automatisation et réponse de sécurité (SOAR) : l’orchestration, automatisation et réponse de sécurité (SOAR) est le centre qui rassemble les fonctions de collecte des données, l’analyse et la réponse aux menaces.

Une plateforme d’analyse de la sécurité peut réunir tous ces outils, et elle peut même être enrichie de technologies émergentes comme l’IA et le ML.

L’analyse unifiée au service des outils de sécurité

Le concept d’analyse de sécurité unifiée gagne en popularité parmi les professionnels de la cybersécurité.

L’analyse de sécurité unifiée est une approche qui incorpore le machine learning, la détection des anomalies et l’évaluation prédictive des risques ainsi que la data science, pour identifier les aberrations comportementales et les activités suspectes pouvant trahir la présence de menaces de sécurité. 

L’analyse de sécurité unifiée génère un score de risque dynamique consolidé pour chaque incident et chaque activité détectée. Les modèles sont préprogrammés pour prédire et détecter les menaces. Cette programmation peut être informée par :

  • le scénario d’utilisation,
  • le secteur d’activité de l’entreprise,
  • le framework des menaces, 
  • les exigences de conformité réglementaire.

Comme ces alertes contextuelles établissent des priorités en fonction du risque anticipé et détectent les menaces lorsqu’elles se produisent, l’analyse de sécurité unifiée est capable d’atténuer des menaces particulièrement graves avant que les cybercriminels ne puissent faire des dégâts.

Menaces de sécurité courantes

De nombreuses menaces de sécurité exposent les données d’une entreprise à des risques de compromission ou d’attaque. Bien que cette liste soit loin d’être exhaustive, voici une sélection des menaces les plus importantes que peuvent rencontrer les entreprises.

Ingénierie sociale

Les données quittent régulièrement les entreprises quand des adversaires manipulent des employés pour les pousser à communiquer leurs identifiants de connexion, ou qu’ils installent des programmes malveillants qui enregistrent les saisies au clavier. Les attaques de phishing et les escroqueries reposant sur l’ingénierie sociale ont une apparence de plus en plus authentique. Les entreprises doivent donc investir davantage dans les défenses de sécurité et la formation des employés pour éviter qu’un manque de jugement momentané ne fasse tomber un réseau.

Menaces internes

Certaines des cybermenaces les plus importantes sont le fait d’initiés qui disposent déjà d’un accès au réseau et d’une connaissance intime de la propriété intellectuelle, des modèles, des données précieuses et autres ressources de l’entreprise. Les entreprises doivent accorder une attention particulière à toute personne ayant accès à ses données d’entreprise : employés, partenaires et fournisseurs tiers, qui ont potentiellement les moyens d’utiliser un accès privilégié à mauvais escient et de perturber les opérations.

APT et malwares sophistiqués

Les auteurs de malwares font constamment évoluer leurs techniques, qui incluent désormais de nouvelles formes de ransomwares, de menaces persistantes avancées (APT), d’attaques de malwares sans fichier et de « stalkerware » (logiciel pisteur). Pour protéger leurs réseaux, les entreprises devront investir dans de nouveaux moyens d’anticiper de manière proactive les comportements des malwares, d’isoler les attaques et de détecter les menaces évasives qui dissimulent leur présence.

Attaques par déni de service distribué (DDos)

Les attaques DDoS, qui bombardent l’ordinateur ou le réseau d’une victime avec un pic de trafic factice, peuvent empêcher les organisations d’accéder à leurs données, ralentir leurs réseaux ou faire tomber entièrement leurs ressources web. Pour éviter de subir des dommages importants, les entreprises doivent investir dans l’analyse avancée du trafic réseau tout en créant des stratégies pour optimiser les défenses et assurer la continuité des opérations en cas d’attaque.

Vulnérabilités non corrigées

Les programmes qui ne sont pas régulièrement mis à jour sont un terreau fertile pour les cybercriminels qui cherchent à exploiter des vulnérabilités non corrigées ou inconnues. Ces menaces comptent pourtant parmi les plus faciles à prévenir si elles sont détectées et réparées rapidement.

Identifiants compromis ou faibles

L’un des principaux vecteurs d’attaque reste la compromission d’identifiants, en particulier lorsque les utilisateurs réutilisent les mêmes mots de passe pour plusieurs comptes. Des outils de défenses tels que l’authentification multifacteurs, les gestionnaires de mots de passe et une formation complète des utilisateurs aux bonnes pratiques de gestion de l’identité peuvent minimiser les intrusions via ce vecteur d’attaque.

Attaques contre l’IoT

Les appareils connectés de l’Internet des objets (IoT) (routeurs, webcams, équipements portables, appareils médicaux, équipements de fabrication ou automobiles) ne se contentent pas d’étendre considérablement la surface d’attaque : ils manquent souvent de mesures de sécurité adéquates, ce qui ouvre la porte à des cyberattaques destructrices. Une fois contrôlés par les pirates informatiques, les périphériques IoT peuvent faire des ravages sur les systèmes en surchargeant les réseaux ou en verrouillant une infrastructure critique. De plus en plus, les entreprises qui exploitent des technologies connectées vont devoir investir dans des outils qui supervisent les vulnérabilités de l’infrastructure qui les exposent.

Face à toutes ces menaces, les entreprises doivent impérativement adopter une approche offensive tout en assurant leurs défenses. Voyons maintenant quelles méthodes de sécurité proactives sont à la disposition des équipes.

Approches proactives de la sécurité

Une approche proactive de la cybersécurité cherche à identifier et corriger de manière préventive les menaces et les vulnérabilités de sécurité, avant qu’une attaque ne se produise. Cette approche peut inclure des frameworks établis, tels que la Cyber Kill Chain ou MITRE ATT&CK, qui aident les professionnels de la sécurité à garder une longueur d’avance sur les menaces en anticipant leurs comportements dans une grande variété de contextes.

Cyber kill chain

La cyber kill chain est une série d’étapes décrivant les différentes phases d’une cyberattaque, de la reconnaissance à l’exfiltration des données. Cette séquence permet aux analystes et aux professionnels de la sécurité de comprendre le comportement de l’adversaire et les modèles de menace. 

Conçue au départ comme un mécanisme de défense militaire par le fabricant d’armes Lockheed Martin, la Cyber Kill Chain est devenue un moyen d’anticiper et d’identifier un large éventail de menaces de sécurité telles que les programmes malveillants, l’ingénierie sociale, les APT, les ransomwares et les attaques d’initiés.

La cyber kill chain comprend huit étapes fondamentales qui suivent la chronologie spécifique des activités d’une cyberattaque :

MITRE ATT&CK 

Le framework MITRE ATT&CK est une base de connaissances accessible à l’échelle mondiale qui offre une représentation complète des comportements d’attaque basée sur des observations réelles. Le framework MITRE ATT&CK a été créé en 2013 par la MITRE Corporation, un organisme à but non lucratif qui travaille avec des organismes gouvernementaux et des institutions industrielles et universitaires. 

ATT&CK, qui signifie Tactiques adverses, techniques et connaissances communes, documente les tactiques, techniques et procédures (TTP) couramment employées par les cybercriminels lorsqu’ils attaquent des réseaux, mais n’indique pas de schéma d’attaque ni de mode opératoire spécifique. Le framework comprend les 14 tactiques suivantes :

  • accès initial,
  • exécution,
  • persistance,
  • acquisition de privilèges,
  • évitement des mécanismes de défense,
  • accès des identifiants,
  • découverte,
  • déplacement latéral,
  • collecte,
  • exfiltration.
  • commande et contrôle.

Ces cadres permettent de structurer des efforts de sécurité proactifs comme la recherche des menaces. Pour garder une longueur d’avance sur les pirates informatiques, les équipes de sécurité doivent rechercher de manière proactive les indicateurs de violation potentiels et d’autres menaces qui émergent dans l’infrastructure IT. 

S’il est de plus en plus important d’adopter une approche proactive dans l’environnement actuel des menaces, les équipes de sécurité doivent avant tout chercher à optimiser leurs efforts de détection et de réponse. Dès l’instant où une menace cible l’entreprise, les équipes de sécurité doivent être en mesure de localiser l’attaque et de réagir de façon adaptée, et l’analyse de sécurité peut être très utile dans cette démarche.

(Découvrez le contre-espionnage cyber, qui s’intéresse à la fois aux stratégies offensives et défensives.) 

L’analyse de la sécurité pour la détection et la réponse

Les outils et technologies d’analyse de la sécurité peuvent accélérer la détection et la réponse en raison de leur capacité à analyser un large éventail de données provenant de nombreuses sources distribuées, ce qui permet aux entreprises de faire facilement le lien entre diverses anomalies et incidents de sécurité pour reconnaître un comportement nuisible.

L’entreprise en tire plusieurs avantages :

  • meilleure intégration des données pertinentes de sources nombreuses et plus variées,
  • meilleure visibilité sur une infrastructure informatique de plus en plus complexe et un paysage de menaces en évolution rapide,
  • capacités renforcées de détection et d’investigation,
  • capacité renforcée à hiérarchiser les menaces les plus critiques pour prendre les mesures appropriées,
  • visibilité accrue et meilleure supervision du réseau interne,
  • meilleure visibilité sur votre environnement de conformité réglementaire (HIPAA, PCI DSS, etc.),
  • meilleur respect des règlements de conformité, des normes de l’industrie et des évolutions de politiques.

En maximisant l’efficacité des outils de détection et de réponse, les équipes de sécurité peuvent se concentrer sur des tâches clés : 

  • Détection des menaces internes : les initiés ayant souvent accès aux données et aux systèmes sensibles, ils peuvent représenter une menace plus importante encore que les acteurs externes pour les entreprises. L’analyse de sécurité vous permet de devancer les initiés malveillants en détectant les temps de connexion inhabituels, les requêtes de base de données non autorisées, l’utilisation anormale des e-mails et d’autres aberrations, tout en recherchant des indicateurs de vol de données.
  • Accès non autorisé aux données : tout mouvement non autorisé de données à destination ou en provenance de votre réseau peut indiquer une perte ou un vol de données. Les analyses de sécurité contribuent à empêcher les données de quitter votre entreprise, une activité qui peut souvent échapper aux solutions traditionnelles de prévention des pertes de données. Elle peut même détecter les pertes de données dans des communications chiffrées.
  • Supervision de la sécurité du cloud : si le cloud accélère les efforts de transformation numérique et rationalise les opérations, il crée également de nouveaux défis en matière de cybersécurité en élargissant rapidement la surface d’attaque et en laissant la place à une foule de nouvelles vulnérabilités. L’analyse de la sécurité effectue une supervision des applications cloud, recherche les menaces et protège les données stockées dans une infrastructure cloud.
  • Analyse de trafic réseau : le trafic réseau est à la fois très volumineux et dynamique, et les analystes de sécurité peinent à maintenir une visibilité sur chaque communication et chaque transaction. L’analyse de la sécurité ouvre une fenêtre sur l’ensemble de votre trafic : elle vous permet ainsi d’analyser et de détecter les anomalies du réseau, tout en collaborant avec les outils de supervision de la sécurité du cloud pour détecter les menaces dans votre environnement cloud.

L’analyse de sécurité vous permet de voir la situation dans son ensemble

Avec l’élargissement des surfaces d’attaque et la complexité croissante de l’environnement de menaces, les entreprises sont inévitablement confrontées à de nouveaux obstacles dans la gestion de leurs données, permettant aux pirates et aux menaces d’infiltrer le réseau sans être détectés. L’analyse de sécurité apporte une réponse à ce problème. En agrégeant, en corrélant et en analysant l’intégralité de vos données, l’analyse de la sécurité vous offre une fenêtre claire et complète sur votre environnement de menaces, pour vous permettre de voir et d’empêcher les attaques émergentes bien avant qu’elles ne compromettent vos données et nuisent à votre entreprise.


Une erreur à signaler ? Une suggestion à faire ? Contactez-nous à l’adresse ssg-blogs@splunk.com.


Cette publication ne représente pas nécessairement la position, les stratégies ou l’opinion de Splunk.
Tyler York Picture
Tyler York

Tyler York is a writer, tech nerd and part of the growth marketing team at Splunk. Armed with an English degree, and a lifetime appointment as his family's IT contact, Tyler is interested in all the ways tech can help us — and even frustrate us.

Articles connexes

Learn 11 min de lecture

L’importance des microservices
Dans cet article, nous nous penchons sur le rôle des architectures en microservices, sur ce qui les distingue des monolithes et de leur importance pour l’entreprise numérique moderne.
Learn 12 min de lecture

Qu’est-ce qu’une plateforme de données ?
Les plateformes de données sont incontournables pour toute entreprise désireuse d’être réellement axée sur les données. Découvrez ce qu’une plateforme de données moderne pourrait vous apporter.
Learn 7 min de lecture

Qu’est-ce que l’ITOps ? Plongée dans les opérations informatiques
Découvrez l’évolution du paysage des opérations informatiques (ITOps) à l’ère des technologies modernes. Découvrez comment s’articulent l’ITOps, le DevOps et l’AIOps pour garantir la stabilité et l’efficacité des écosystèmes informatiques qui fondent la réussite de l’entreprise.

À propos de Splunk

La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.

Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.
lire Light
En savoir plus sur Splunk
ENTREPRISE
ENTREPRISE
PRODUITS
PRODUITS
SITES SPLUNK
SITES SPLUNK
CONTACTER SPLUNK
CONTACTER SPLUNK
TÉLÉCHARGER SPLUNK MOBILE - App Store
TÉLÉCHARGER SPLUNK MOBILE - Google Play

© 2005 - 2025 Splunk LLC Tous droits réservés.

Domaine juridique
Confidentialité
Plan du site
Cookies
Conditions d'utilisation du site web

© 2005 - 2025 Splunk LLC Tous droits réservés.