📖Glossaire

Cette documentation constitue un glossaire regroupant les termes et concepts essentiels des outils et technologies utilisés afin détecter, prévenir et répondre aux menaces.

CTI (Cyber Threat Intelligence

CTI signifie "Cyber Threat Intelligence" (renseignement sur les menaces cybernétiques). Il s'agit de la collecte, de l'analyse et de la diffusion d'informations sur les menaces et les vulnérabilités qui pèsent sur les systèmes informatiques et les réseaux.

Le CTI permet aux entreprises et aux organisations de mieux comprendre les risques auxquels elles sont confrontées et de prendre des mesures préventives pour se protéger contre les cyberattaques.

MSSP (Managed Security Service Provider)

Un MSSP, ou Fournisseur de Services de Sécurité Gérés, est une entreprise spécialisée dans la fourniture de services de sécurité informatique externalisés à d'autres organisations. Les MSSP offrent une gamme de services, tels que la surveillance en temps réel des menaces, la gestion des incidents de sécurité, la surveillance des journaux, et la gestion des vulnérabilités.

SIEM (Security Information and Event Management)

Il combine deux aspects fondamentaux : la gestion des informations de sécurité () et la gestion des événements de sécurité ().

Un SIEM est une solution de sécurité qui a pour but d'identifier les comportements suspects, et de répondre rapidement aux incidents.

Pour faire cela, il collecte, agrège et analyse les données de sécurité provenant de diverses sources, telles que les journaux d'événements système, les pare-feu, les systèmes de détection d'intrusion et les applications de sécurité.

Après avoir collecter les données, le SIEM utilise des règles et des algorithmes prédéfinis pour détecter les menaces de sécurité et les activités anormales, et fournit une interface centralisée pour la gestion des incidents de sécurité.

Une fois qu'une menace est détectée, le SIEM facilite la gestion des incidents en générant des alertes et des notifications pour informer les équipes de sécurité. Il fournit également des outils pour enquêter sur les incidents, prendre des mesures correctives et documenter les événements pour les audits de conformité.

Siem open Source : ELK Stack (Elasticsearch, Logstash, Kibana) : Une suite d'outils qui comprend Elasticsearch pour le stockage et l'indexation des données, Logstash pour la collecte et l'analyse des logs, et Kibana pour la visualisation et l'exploration des données.

SOAR (Security Orchestration, Automation, and Response)

Un SOAR permet effectivement d'automatiser la collecte de données provenant de plusieurs outils de sécurité, tels que le SIEM, l'UEBA, l'EDR et le Threat Intelligence, et de fournir des playbooks (sénario) pour automatiser les tâches répétitives et les processus de réponse aux incidents de sécurité.

Les playbooks peuvent être personnalisés pour répondre à des types d'alertes spécifiques et effectuer des actions prédéfinies pour contenir et éliminer les menaces de sécurité.

🖥️ EDR (Endpoint Detection and Response)

Un EDR est une solution de sécurité qui se concentre sur la détection et la réponse aux menaces de sécurité sur les points de terminaison (endpoints), tels que les ordinateurs de bureau, les ordinateurs portables, les serveurs et les appareils mobiles.

L'EDR utilise des agents de sécurité installés sur les points de terminaison pour collecter des données de sécurité et détecter les activités suspectes.

En utilisant des algorithmes d'analyse avancés, l'EDR est capable de détecter les indicateurs de compromission et les schémas de comportement suspects. En cas de détection d'une menace, elle déclenche des alertes en temps réel et prend des mesures automatiques ou manuelles pour neutraliser la menace.

🔄 Réponse aux Incidents sur les Endpoints :

L'EDR fournit des capacités de réponse aux incidents telles que l'isolation des endpoints infectés, la suppression des logiciels malveillants, la restauration des fichiers compromis et la remédiation des vulnérabilités. Cela permet de limiter les dommages potentiels causés par une attaque et de restaurer rapidement l'intégrité du système.

💼 Intégration avec d'autres Solutions de Sécurité :

L'EDR peut être intégré à d'autres solutions de sécurité telles que les SIEM, les pare-feu et les systèmes de prévention des intrusions pour renforcer la posture de sécurité globale de l'organisation.

Voici quelques EDR :

  • SentinelOne

  • ESET

Différence avec le SIEM

  • portée : Les outils SIEM se concentrent sur la protection et la visibilité de l'ensemble du réseau d'une organisation, tandis que les outils EDR se concentrent sur les points finaux du système (terminaux utilisateur).

  • Capacités de réponse aux menaces : Les outils EDR peuvent prendre en charge la réponse aux incidents. En effet, certains outils EDR peuvent lancer une réponse automatique aux incidents basée sur des protocoles que vous pouvez prédéfinir au sein de la plateforme. Les plates-formes SIEM fonctionnent mieux pour l'identification des incidents, mais n'ont pas beaucoup de capacité de réponse.

XDR (Extended Detection and Response) :

XDR est une évolution des solutions EDR (Endpoint Detection and Response) qui étend la portée de la détection et de la réponse aux menaces au-delà des seuls endpoints (terminaux) pour inclure d'autres points de terminaison tels que les serveurs, les e-mails, les conteneurs et les applications cloud. XDR intègre et corrèle les données provenant de diverses sources de sécurité pour détecter et répondre aux menaces de manière plus holistique, offrant une visibilité accrue sur les activités malveillantes à travers l'ensemble de l'environnement informatique de l'entreprise.

Voici quelques XDR :

  • Palo Alto Networks Cortex XDR

  • Trend Micro XDR

  • Cisco SecureX

  • Fortinet FortiXDR

  • Sophos XDR

UEBA (User and Entity Behavior Analytics)

L’analyse du comportement des utilisateurs et des entités, ou UEBA de l’anglais User and Entity Behavior Analytics, est un outil qui détecte les comportements inhabituels en surveillant les schémas de comportement et en détectant les déviations par rapport aux modèles normaux.

l'UEBA analyse les actions des utilisateurs et des entités, telles que les ordinateurs, les applications et les périphériques, pour détecter les comportements suspects qui pourraient indiquer une tentative d'attaque ou une compromission de sécurité.

Exemple de détection : Un employé se connecte à son compte de messagerie à plusieurs reprises en dehors des heures de travail et commence à télécharger de nombreux fichiers volumineux.

Certains SIEM intègrent des fonctionnalités d'UEBA pour améliorer leur capacité à détecter les menaces en analysant le comportement des utilisateurs et des entités.

Voici un UEBA :

HIPS et HIDS (basé sur l'hote)

HIPS (Host-based Intrusion Prevention System) et HIDS (Host-based Intrusion Detection System) sont des systèmes de sécurité installés sur un ordinateur ou un serveur spécifique pour surveiller et protéger ce système contre les menaces de sécurité.

HIPS est conçu pour empêcher les attaques en bloquant ou en restreignant l'accès aux ressources du système.

HIDS est conçu pour détecter les signes d'une intrusion ou d'une compromission du système.

NIDS/NIPS (basé sur le reseau)

NIPS (Network-based Intrusion Prevention System) et NIDS (Network-based Intrusion Detection System) sont des systèmes de sécurité installés sur un réseau pour surveiller et protéger le trafic réseau contre les menaces de sécurité.

NIPS est conçu pour empêcher les attaques en bloquant ou en restreignant le trafic malveillant.

NIDS est conçu pour détecter les signes d'une intrusion ou d'une compromission du réseau.

un IDS basé sur la signatures reconnaît le trafic malveillant et considère tout le reste comme normal, tandis qu'un IDS àbasé sur les anomalies identifie le trafic habituel et repère les déviations comme étant potentiellement dangereuses. 🔐

🧱 Web Application Firewall (WAF)

Un WAF protège les applications web en filtrant et en surveillant le trafic HTTP entre une application web et l'Internet. Il se concentre sur la sécurité des couches applicatives (couche 7 du modèle OSI). Il est spécialement conçu pour protéger contre des attaques ciblant les applications web, comme les injections SQL, le cross-site scripting (XSS), et les inclusions de fichiers locaux et distants.

Le WAF est utilisé pour protéger les applications web, les API, et les sites web des vulnérabilités spécifiques à ces environnements.

🛡️ Intrusion Prevention System (IPS)

Un IPS surveille le trafic réseau pour détecter et prévenir des menaces connues et inconnues. Il analyse les paquets de données circulant sur le réseau en temps réel et prend des mesures pour empêcher les intrusions.

Il est conçu pour identifier et bloquer un large éventail de menaces, telles que les exploits de vulnérabilités, les attaques par déni de service (DoS), les vers, et autres activités malveillantes sur le réseau.

L'IPS est déployé au niveau du réseau et protège l'ensemble de l'infrastructure réseau contre les attaques qui pourraient compromettre les systèmes et les données.

📢 Résumé des différences clés

WAF : Conçu pour protéger les applications web et les services en ligne.

IPS : Conçu pour protéger l'ensemble du réseau contre diverses menaces.

Type d'attaques ciblées

WAF : Attaques ciblant les applications web (ex. : XSS, injections SQL).

IPS : Attaques réseau et systèmes (ex. : exploits, vers, DoS).

Niveau d'opération :

WAF : Fonctionne principalement à la couche 7 (couche application).

IPS : Fonctionne généralement à la couche 3 (réseau) et couche 4 (transport), bien qu'il puisse avoir des fonctionnalités qui s'étendent à d'autres couches.

CVE (🛑 Common Vulnerabilities and Exposures)

C'est une référence unique attribuée à une vulnérabilité informatique, facilitant son identification à l'échelle mondiale. Elle permet de centraliser l'information sur une faille pour que les experts en cybersécurité puissent réagir rapidement.

CVSS (📊 Common Vulnerability Scoring System) e

C'est un système qui évalue la gravité d'une vulnérabilité sur une échelle de 0 à 10.

  • Métriques de Base (Base Metrics) : Elles définissent la gravité d'une vulnérabilité, incluant des critères comme l'exploitabilité (complexité de l'attaque, nécessité d'authentification) et l'impact (confidentialité, intégrité, disponibilité).

  • Métriques Temporelles (Temporal Metrics) : Elles tiennent compte de l'évolution de la vulnérabilité dans le temps (ex : un correctif disponible ou un exploit publié).

  • Métriques Environnementales (Environmental Metrics) : L'impact spécifique sur l'organisation qui subit la faille (ex : si le système vulnérable est très critique).

CWE (🔍 Common Weakness Enumeration)

Décrit les faiblesses dans les logiciels, comme des erreurs de conception ou de codage, qui peuvent créer des vulnérabilités.

L'objectif est d'aider les développeurs et les experts en sécurité à comprendre les causes profondes des vulnérabilités pour mieux les éviter. Les CWE ne sont pas des vulnérabilités spécifiques (comme une CVE), mais décrivent plutôt les types de défauts qui peuvent rendre un logiciel vulnérable.

PreviousSécuriser ADNextoutils

Last updated