SOC : Stratégie de Détection
par Cédric Maurugeon et Alain Menelet (paru dans Misc no 120)

Ces dernières années ont été le témoin d'une recrudescence d'attaques informatiques avec des victimes de plus en plus nombreuses, et des impacts financiers tout aussi conséquents. Une chose est sûre, nos données valent de l'argent et il faut les protéger. Il est donc indispensable d’opter pour une stratégie de détection à la hauteur de leur valeur.

Le gouvernement français en a d’ailleurs pris conscience et a lancé en 2020 un vaste dispositif nommé « France Relance », comprenant un volet cybersécurité, dédié à aider les acteurs publics à renforcer le niveau de sécurité de leurs infrastructures, mais également à la création de CSIRT régionaux (pour porter assistance aux TPE/PME et aux particuliers) [1].

De nombreuses méthodes apportent un cadre de réflexion aux entreprises afin d’établir la stratégie de réflexion la mieux adaptée. Il s’agit de prendre en compte toutes les aspérités de nos systèmes d’information, qu’elles soient bonnes ou mauvaises, et les mettre sous surveillance. Parmi ces méthodes, nous pouvons citer :

• la cyber kill chain est une méthode de modélisation des procédés d'intrusion sur un réseau informatique proposée en 2011 par la société Lockheed Martin [2]. Elle permet de définir une stratégie de détection comprenant les moyens mis par une organisation pour répondre aux problématiques de chacune des 7 phases de cette méthodologie, dépendamment des vecteurs d'attaques identifiés. Chacune de ces phases correspond à l’objectif que l’attaquant doit réussir pour compléter son attaque ;
• l’unified kill chain datant de 2017, proposée par Paul Pols, apporte des améliorations significatives en prenant en compte un périmètre bien plus large (cf. image ci-dessous) ;
• le framework MITRE ATT&CK [3] sera détaillé dans la suite de l’article ;
• les analyses de risques (EBIOS RM…).

Lire l'article complet

Une introduction à la plateforme libre de renseignements MISP 
par Sami Mokaddem, Jean-Louis Huynen et Christian Studer (paru dans Misc no 119)

Recueillir et utiliser des informations liées aux menaces informatiques n'est pas chose aisée ; les standardiser et les partager est encore plus difficile. L'outil libre de renseignements sur les menaces MISP a été conçu afin de faciliter ces aspects complexes et pourtant si essentiels de nos jours. Dans cet article, nous explorons les principaux concepts et fonctionnalités qui ont fait la popularité de la plateforme auprès des analystes en cybersécurité.

La communauté informatique est confrontée à des incidents de toutes sortes et natures, de nouvelles menaces apparaissant quotidiennement. Combattre ces incidents de sécurité individuellement est presque devenu une tâche impossible. Le partage d’informations sur les menaces au sein de la communauté est devenu un élément clé dans la réponse aux incidents pour rester au niveau des attaquants. Des ressources d’information fiables, fournissant des informations crédibles, sont donc essentielles pour assurer une réponse sur incident adéquate au sein des entreprises et organisations.

Cet article présente la plateforme libre de partage d’informations et de renseignements sur les menaces en cybersécurité dénommée MISP. Le projet MISP a démarré il y a plus de dix ans. Son objectif initial était le partage d’indicateurs de compromission (IoC) pour aider à la détection et surtout éviter le travail redondant entre plusieurs équipes de CERT en Europe.

Ce petit projet open source est devenu au fil du temps un projet significatif avec plus de cinq cents contributeurs à travers le monde et plusieurs milliers d’utilisateurs. MISP est devenu un standard incontournable pour l’échange et la fusion d’informations des domaines de cybersécurité, de renseignements et de fraudes financières. La Commission européenne a plusieurs fois financé des développements dans MISP et continue à le faire pour Cerebrate [CEREBRATE], que nous présentons plus bas. Son schéma de licensing [1] et sa gouvernance [2] en font un projet pérenne pour lequel le risque de mauvaise surprise est minimal.

Cette pluralité d’usages favorise les contributions et MISP est aujourd’hui plus qu’une simple plateforme. MISP intègre désormais des librairies communes sur les menaces et adversaires [3], plus de deux cents taxonomies [4] pour aider à la classification de l’information et une pile de logiciels libres pour la structuration du renseignement et le partage d’informations...

Pour rappel, notre partenariat avec les Editions Diamond éditrices de MISC (le Magazine de la sécurité informatique multiplateforme), Linux Pratique, GNU Linux magazine et Hackable
magazine permet aux membres du Clusis de bénéficier d'un rabais de 5% pour tout
abonnement numérique à ces magazines.