Le PC sécurité des Arcades, allumé jour et nuit

Au sous-sol du centre commercial « Les Arcades », derrière une porte sans enseigne, une pièce reste éclairée en permanence. Un mur d'écrans y affiche les images des caméras réparties dans les galeries, les réserves, les parkings et les issues de secours. Devant ce mur, des agents de sécurité se relaient par roulement, vingt-quatre heures sur vingt-quatre.

Installer des caméras ne suffit pas. Une caméra qui filme un vol sans que personne ne regarde l'écran ne protège rien du tout. Ce qui protège réellement le centre, c'est la chaîne complète : capter les images, les rassembler au même endroit, repérer ce qui sort de l'ordinaire, et surtout déclencher une action quand quelque chose cloche.

Détecter et répondre sont deux choses distinctes. Une alerte que personne ne traite ne vaut pas mieux qu'une absence d'alerte. Le danger se déplace simplement de « on ne voit rien » vers « on voit mais on ne fait rien ».

Après avoir géré les identités et les accès à privilèges dans le billet précédent, le sujet du jour est la supervision. Trois termes reviennent sans cesse et se mélangent : le SOC, le SIEM et le SOAR. Ce billet les sépare proprement. Le SIEM, c'est la vidéosurveillance et le PC sécurité qui collectent et recoupent les images. Le SOC, ce sont les agents qui regardent les écrans en continu et décident quoi faire. Le SOAR, ce sont les procédures automatiques qui s'enclenchent quand un scénario connu se présente : déclencher l'alarme, fermer les rideaux, prévenir la police.


Le SOC : les humains derrière les écrans

Avant de parler d'outils, parlons des gens. Le SOC (Security Operations Center, centre des opérations de sécurité) est l'équipe et le processus qui surveillent la sécurité d'une organisation en continu. Aux Arcades, c'est l'équipe d'agents qui se relaie devant le mur d'écrans, qui connaît les habitudes du centre, et qui sait distinguer un client perdu d'un repérage suspect.

Un SOC n'est pas une pièce ni un logiciel, c'est une fonction. Sa mission tient en quelques verbes : surveiller, détecter, qualifier, et coordonner la réaction. Il tourne en 24/7 parce qu'une attaque ne respecte pas les heures d'ouverture. Le braquage se prépare souvent la nuit, quand on imagine la vigilance relâchée.

Le SOC est avant tout une affaire humaine et organisationnelle. Les outils l'amplifient, mais c'est le jugement d'un analyste qui transforme une alerte brute en décision.

Les niveaux d'analystes

Un SOC s'organise en général sur plusieurs niveaux, comme un service d'urgence trie ses patients. Tout le monde ne traite pas tout.

  • Niveau 1 (L1) : le premier filtre. L'analyste surveille le flux d'alertes, écarte le bruit évident, et qualifie ce qui mérite attention. Aux Arcades, c'est l'agent qui balaie les écrans et repère qu'un même individu repasse pour la troisième fois devant la bijouterie.
  • Niveau 2 (L2) : l'investigation. Quand une alerte tient debout, le L2 creuse, recoupe plusieurs sources, comprend l'enchaînement. C'est l'agent qui rembobine les enregistrements de plusieurs caméras pour reconstituer un trajet.
  • Niveau 3 (L3) : l'expertise et la chasse. Les analystes les plus aguerris traitent les incidents complexes, cherchent activement les menaces qui ont échappé aux règles automatiques (le threat hunting), et améliorent les détections. C'est le responsable sécurité qui anticipe un mode opératoire jamais vu au centre.

Mesurer ce qui compte

Pour savoir si un SOC fait son travail, deux indicateurs reviennent partout. Le MTTD (Mean Time To Detect, délai moyen de détection) mesure le temps entre le début d'un incident et le moment où on le repère. Le MTTR (Mean Time To Respond, délai moyen de réponse) mesure le temps entre la détection et la maîtrise de l'incident.

Aux Arcades, le MTTD c'est le délai entre l'instant où le voleur entre dans la réserve et celui où l'agent le remarque. Le MTTR c'est le délai entre ce repérage et le moment où la porte est verrouillée et la police prévenue. Plus ces deux durées sont courtes, moins l'attaquant a le temps d'agir. Tout le reste du billet sert à les réduire.


Le SIEM : tout voir au même endroit

Un SOC humain ne peut pas surveiller à l'œil nu des milliers d'événements par seconde répartis sur des centaines de machines. Il lui faut un outil qui rassemble les informations et fait remonter ce qui compte. C'est le SIEM (Security Information and Event Management, gestion des informations et des événements de sécurité).

Aux Arcades, le SIEM correspond à l'ensemble vidéosurveillance plus PC sécurité : tous les flux des caméras convergent vers un même mur d'écrans, où ils peuvent être comparés. Sans cette centralisation, chaque commerçant aurait sa petite caméra dans son coin et personne n'aurait de vue d'ensemble.

Un SIEM ne sécurise rien par lui-même. Il donne au SOC une vue unifiée et corrélée, pour que des signaux faibles, dispersés et anodins pris isolément, deviennent un signal fort une fois rapprochés.

Collecte, normalisation, corrélation

Le SIEM travaille en plusieurs temps. D'abord la collecte : il aspire les journaux (logs) de toutes les sources, pare-feu, serveurs, postes de travail, applications, annuaire d'identités. Chacune parle son propre dialecte.

Vient ensuite la normalisation : le SIEM traduit ces formats hétérogènes vers une structure commune, pour pouvoir comparer une ligne de pare-feu avec une ligne de serveur. Aux Arcades, c'est l'équivalent d'horodater toutes les caméras sur la même horloge, sinon impossible de reconstituer une chronologie.

Enfin la corrélation : le SIEM applique des règles de détection qui rapprochent des événements venant de sources différentes. Un échec d'authentification isolé n'est rien. Cinquante échecs en une minute depuis une adresse inconnue, suivis d'une connexion réussie, puis d'un accès à un partage sensible, dessinent une attaque. La règle de corrélation relie ces points que personne ne verrait séparément.

Le revers : le bruit et les faux positifs

Tout n'est pas magique. Une règle trop large génère des faux positifs, des alertes qui ressemblent à une attaque sans en être une. Aux Arcades, c'est l'agent qui sursaute à chaque livreur passant devant une caméra, jusqu'à ne plus prêter attention aux alertes.

C'est le piège classique de la supervision : trop d'alertes équivaut à pas d'alerte, parce que l'analyste finit par toutes les ignorer (la fatigue d'alerte). Régler un SIEM consiste autant à écrire des règles qu'à les affiner pour réduire le bruit sans rater la vraie menace.

Le tableau suivant montre quelques sources de logs courantes et ce qu'on cherche à y détecter.

Source de log Ce qu'on y détecte typiquement
Pare-feu / proxy Connexions vers des destinations suspectes, exfiltration, scans de ports
Serveur d'authentification (annuaire, IdP) Force brute, credential stuffing, connexions à des heures anormales
Postes de travail (endpoint / EDR) Exécution de logiciels malveillants, élévation de privilèges, processus suspects
Serveurs et applications Erreurs anormales, accès non autorisés, modifications de configuration
Serveur web / WAF Injections, tentatives d'exploitation, requêtes malformées
DNS Résolutions vers des domaines malveillants connus, tunnel DNS

Le SOAR : automatiser la réponse

Détecter ne suffit pas, il faut agir, et agir vite. Quand le SOC repère un incident, une partie des gestes de réponse sont toujours les mêmes et se répètent à l'identique. Les automatiser, c'est le rôle du SOAR (Security Orchestration, Automation and Response, orchestration, automatisation et réponse de sécurité).

Aux Arcades, le SOAR ce sont les procédures qui s'enclenchent dès qu'un scénario connu se présente. Intrusion détectée dans la salle des coffres après la fermeture ? La séquence se déroule sans hésitation : déclencher l'alarme, fermer automatiquement les rideaux de fer du secteur concerné, verrouiller les issues, prévenir le commissariat. Personne n'a besoin de réfléchir à l'ordre des gestes, ils sont écrits à l'avance.

Le SOAR ne remplace pas l'analyste, il lui retire les tâches répétitives pour qu'il se concentre sur le jugement. La machine exécute le connu, l'humain tranche l'inconnu.

Playbooks et orchestration

Le cœur du SOAR, c'est le playbook : une procédure de réponse écrite à l'avance, une suite d'étapes déclenchées par un type d'incident. Face à un poste infecté, un playbook peut isoler la machine du réseau, désactiver le compte concerné, collecter les preuves et ouvrir un ticket, en quelques secondes au lieu de plusieurs minutes manuelles.

L'orchestration désigne la capacité du SOAR à faire dialoguer les outils entre eux : demander au pare-feu de bloquer une adresse, à l'annuaire de suspendre un compte, à l'EDR d'isoler un poste, le tout depuis un point central. Plutôt que de jongler entre dix consoles, l'analyste valide une décision et le SOAR exécute la chaîne.

L'automatisation se dose. Les actions réversibles et à faible risque (enrichir une alerte, ouvrir un ticket) peuvent être entièrement automatiques. Les actions à fort impact (couper un accès en production) gardent souvent un humain dans la boucle, qui valide avant exécution. Aux Arcades, fermer un rideau de fer se fait tout seul, mais évacuer tout le centre reste une décision humaine.

Le flux complet, de bout en bout

Le schéma ci-dessous relie les trois briques : les sources émettent des logs, le SIEM les corrèle et lève une alerte, le SOC trie, et le SOAR exécute le playbook adapté.

flowchart TD L["Sources de logs (pare-feu, serveurs, postes, IdP)"] --> SIEM["SIEM : collecte, normalisation, corrélation"] SIEM --> AL{"Alerte levée ?"} AL -->|"Non"| L AL -->|"Oui"| SOC["SOC : triage et qualification (L1/L2)"] SOC --> FP{"Faux positif ?"} FP -->|"Oui"| CL["Clôture et ajustement des règles"] FP -->|"Non"| SOAR["SOAR : exécution du playbook"] SOAR --> A1["Isoler le poste"] SOAR --> A2["Bloquer l'adresse au pare-feu"] SOAR --> A3["Suspendre le compte"] SOAR --> A4["Ouvrir un ticket d'incident"] classDef src fill:#ede9e1,stroke:#b5651d,color:#1a1a1a; classDef tool fill:#b5651d,stroke:#8a4d16,color:#f5f2ec; classDef human fill:#2c3338,stroke:#1f2428,color:#f5f2ec; classDef deny fill:#a0413e,stroke:#8a4d16,color:#f5f2ec; class L,A1,A2,A3,A4 src; class SIEM,SOAR tool; class SOC human; class AL,FP deny; class CL src;

Le tableau suivant résume ce qui distingue le SIEM du SOAR, deux outils complémentaires souvent confondus.

Critère SIEM SOAR
Rôle principal Voir et corréler Agir et orchestrer
Question répondue « Que se passe-t-il ? » « Que fait-on, automatiquement ? »
Matière première Logs et événements Alertes qualifiées
Produit de sortie Alertes corrélées Actions de réponse exécutées
Aux Arcades Vidéosurveillance et PC sécurité Alarme, rideaux, appel police

Scénario B : Target, détecter sans répondre

L'histoire la plus parlante sur la différence entre détecter et répondre est la compromission de l'enseigne américaine Target fin 2013. Pendant la période des fêtes, des attaquants ont exfiltré les données d'environ quarante millions de cartes de paiement après s'être introduits dans le réseau de l'entreprise.

Le détail marquant n'est pas que les outils aient échoué, c'est qu'ils ont fonctionné. D'après l'enquête du Sénat américain sur la violation de données de Target, les solutions de détection déployées par l'entreprise ont bien généré des alertes au moment où le logiciel malveillant a été installé sur les systèmes de paiement. Le journaliste spécialisé Brian Krebs, qui a révélé l'affaire, a documenté de près la chronologie de l'intrusion sur Krebs on Security.

Le problème s'est situé après la détection. Les alertes ont été émises, mais elles n'ont pas été traitées à temps par l'équipe de sécurité. L'outil a vu, personne n'a agi assez vite, et l'exfiltration s'est poursuivie.

Target avait l'équivalent d'un SIEM qui a parfaitement repéré l'intrusion. Ce qui a manqué, c'est le maillon humain et organisationnel du SOC : transformer l'alerte en réponse. Un MTTD court ne sert à rien si le MTTR explose.

Transposé aux Arcades, le scénario est limpide. Les caméras filment le braquage en direct, l'alerte s'affiche sur le mur d'écrans du PC sécurité, mais l'agent regarde ailleurs ou l'alerte se noie dans des dizaines d'autres. Le voleur repart pendant que l'enregistrement, lui, tourne sagement. La leçon est nette : un SIEM qui voit n'est utile que si un SOC agit, et qu'un SOAR ou une procédure transforme vite l'alerte en geste concret.


Points clés

  • SOC, SIEM et SOAR ne sont pas synonymes. Le SOC est l'équipe et le processus (les humains), le SIEM est l'outil qui collecte et corrèle les logs, le SOAR est l'outil qui automatise la réponse.
  • Le SIEM transforme du bruit en signal par la collecte, la normalisation et la corrélation, mais ses faux positifs doivent être maîtrisés sous peine de fatigue d'alerte.
  • Le SOAR exécute des playbooks pour les gestes répétitifs et fait dialoguer les outils, en gardant un humain dans la boucle pour les actions à fort impact.
  • Détecter et répondre sont deux étapes distinctes, mesurées par le MTTD et le MTTR. Le cas Target 2013 montre qu'une détection sans réponse rapide ne protège pas.
  • Tout converge vers la rapidité de réaction : raccourcir le délai entre l'alerte et l'action est l'objectif central de toute la chaîne SOC/SIEM/SOAR.

Dans la série

Palier 3 : Tenir la galerie. Domaine : Détection & réponse.

Pour aller plus loin