{"id":2066,"date":"2022-09-05T07:56:19","date_gmt":"2022-09-05T07:56:19","guid":{"rendered":"https:\/\/exceltic.com\/?p=2066"},"modified":"2026-03-19T13:31:33","modified_gmt":"2026-03-19T12:31:33","slug":"soc-cybermenaces-ia","status":"publish","type":"post","link":"https:\/\/exceltic.serquo.com\/fr\/soc-cybermenaces-ia\/","title":{"rendered":"SOC : gestion et pr\u00e9vention des cybermenaces gr\u00e2ce \u00e0 l'IA"},"content":{"rendered":"

Selon Matt Ahlgre (2022, WSR<\/a>), le les ransomwares ou les attaques par d\u00e9tournement de donn\u00e9es <\/strong>se produisent toutes les 10 secondes et on estime que le co\u00fbt global des cybermenaces en 2025 sera de 10,5 billions d'euros.<\/p>\n\n\n\n

Cependant, en d\u00e9pit de ces donn\u00e9es, l'avenir de la cybers\u00e9curit\u00e9 <\/a>semble prometteuse. De nombreuses avanc\u00e9es en mati\u00e8re de d\u00e9tection et de r\u00e9ponse \u00e0 ces menaces, gr\u00e2ce \u00e0 des technologies telles que le l'apprentissage automatique ou l'apprentissage profond<\/strong>Ils sont capables de les d\u00e9tecter \u00e0 un stade pr\u00e9coce.<\/p>\n\n\n\n

En 2020, Garner <\/strong>\u00e9tablit \"PYRAMIDE DE SURVEILLANCE DE LA S\u00c9CURIT\u00c9<\/em>\"<\/strong> o \"triangle de la vertu<\/strong>couvrant la majeure partie du spectre de la cybers\u00e9curit\u00e9 gr\u00e2ce \u00e0 des solutions de d\u00e9tection, de pr\u00e9vention et de r\u00e9action aux menaces :<\/p>\n\n\n\n

\"Pyramide<\/figure>\n\n\n\n
EDR<\/mark><\/strong><\/td>EDR<\/strong>La d\u00e9tection et la r\u00e9action des points finaux (EPR) est un syst\u00e8me qui surveille les activit\u00e9s suspectes au niveau des points d'acc\u00e8s<\/strong> (ordinateurs connect\u00e9s \u00e0 un r\u00e9seau, et non le r\u00e9seau lui-m\u00eame).

Il permet de collecter et d'analyser des donn\u00e9es sur les risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 des terminaux, dans le but de d\u00e9tecter les failles de s\u00e9curit\u00e9 d\u00e8s qu'elles se produisent et de r\u00e9agir rapidement aux menaces identifi\u00e9es ou suspect\u00e9es. Les capacit\u00e9s et les d\u00e9tails d'un syst\u00e8me EDR peuvent varier consid\u00e9rablement en fonction de la mani\u00e8re dont il est mis en \u0153uvre.<\/td><\/tr>
NDR<\/mark><\/strong><\/td>La d\u00e9tection et la r\u00e9action du r\u00e9seau vous permettent de surveiller le trafic pour d\u00e9tecter les menaces et les comportements suspects qui pourraient entra\u00eener une violation de la s\u00e9curit\u00e9 \u00e0 l'avenir. 

Les m\u00e9thodes traditionnelles bas\u00e9es sur les signatures ne sont plus efficaces contre les menaces modernes, cr\u00e9ant une fausse illusion de s\u00e9curit\u00e9 pour de nombreuses entreprises. 

Une visibilit\u00e9 accrue et approfondie du r\u00e9seau offre aux entreprises une couche suppl\u00e9mentaire de s\u00e9curit\u00e9 et des capacit\u00e9s de pr\u00e9vention avanc\u00e9es.<\/td><\/tr>
SIEM<\/mark><\/strong><\/td>Gestion des informations et des \u00e9v\u00e9nements de s\u00e9curit\u00e9<\/strong>est le terme g\u00e9n\u00e9rique pour les services de logiciel <\/a>qui recueillent et examinent les comportements (suspects) dans leur infrastructure num\u00e9rique \u00e0 partir de nombreuses sources. 

La fonction principale du SIEM ? <\/strong>Collecter des informations sur la s\u00e9curit\u00e9 \u00e0 partir de bases de donn\u00e9es, de serveurs, de contr\u00f4leurs de domaine et de mat\u00e9riel de r\u00e9seau. Identifier les risques, les tendances, examiner les alarmes et localiser les vuln\u00e9rabilit\u00e9s du r\u00e9seau en appliquant des analyses \u00e0 ces donn\u00e9es.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Pourquoi utiliser un NDR ?<\/p>\n\n\n\n

Programmes SIEM<\/strong> peuvent g\u00e9n\u00e9rer des rapports complets sur les incidents et les \u00e9v\u00e9nements, y compris les logiciels malveillants et autres transgressions. Cependant, ils ne sont pas en mesure de s'adapter seuls et sont souvent incapables de Il est difficile d'interpr\u00e9ter de grandes quantit\u00e9s de donn\u00e9es. <\/strong><\/p>\n\n\n\n

Un NDR avanc\u00e9<\/strong>En revanche, elle peut d\u00e9crypter rapidement un grand nombre de protocoles afin d'identifier les attaques suspectes et les sch\u00e9mas de comportement avec suffisamment de contexte et de preuves pour que les analystes puissent agir en toute confiance. En outre, la NDR compl\u00e8te l'EDR en comblant les lacunes que l'EDR ne d\u00e9tecte pas.<\/p>\n\n\n\n

Chacun des SIEM, EDR et NDR<\/strong> a des avantages et des inconv\u00e9nients particuliers. Lorsque les trois sont combin\u00e9s, chaque \u00e9l\u00e9ment peut renforcer les autres.<\/strong><\/p>\n\n\n\n

COMMENT ARR\u00caTER LES RANSOMWARES<\/p>\n\n\n\n

Attaques par ransomware<\/strong> En effet, les nouvelles g\u00e9n\u00e9rations utilisent souvent des informations d'identification vol\u00e9es pour obtenir un acc\u00e8s privil\u00e9gi\u00e9.<\/p>\n\n\n\n

Le site intention de l'agresseur <\/strong>est d'obtenir un acc\u00e8s administrateur au contr\u00f4leur de domaine, car de cette position, il est facile d'acc\u00e9der \u00e0 la plupart des donn\u00e9es pr\u00e9cieuses. Il est \u00e9galement possible de d\u00e9ployer un ransomware tr\u00e8s rapidement, en utilisant des outils d'administration dot\u00e9s de GPO (Group Policy Objects).<\/p>\n\n\n\n

Les Les attaques RansomOps modernes ne d\u00e9ploient pas le code binaire jusqu'au bout.<\/strong>Par cons\u00e9quent, lorsque l'on constate l'attaque, il est trop tard. La d\u00e9tection pr\u00e9coce de la maladie, aux premiers stades, est vitale.<\/p>\n\n\n\n

C'est la raison pour laquelle, il est absolument essentiel<\/strong> surveiller l'utilisation de tous les comptes privil\u00e9gi\u00e9s. Nous avons observ\u00e9 qu'il s'agit certainement de l'un des signaux de d\u00e9tection d'attaque les plus pr\u00e9cieux.<\/p>\n\n\n\n

Recommandations :<\/p>\n\n\n\n

La pr\u00e9vention<\/strong>:<\/p>\n\n\n\n