Déroulé du cours 

3 Séances prévus :

• Fondamentaux et concepts 
• Méthodologie de détection et triage 
• Analyse et réponse au incidents

Plusieurs TP : 

• Découverte des logs 
• Analyse de logs et détection + Utilisation d'un SIEM 
• Investigation d'un incident complet

Evaluation

QCM à chaque séance (sauf la première) 

Format -> 20 questions 1 point par question et pas de point négatif

Restitution écrite ou orale des TP : 

Exemple -> Réalisation d'un compte rendu d'investigation d'une alerte SOC 

Des questions ?/Des attentes ? 

Introduction au SOC

• Comprendre ce qu'est un SOC et pourquoi il existe
• Identifier les rôles L1/L2/L3 et leurs responsabilités
• Distinguer les modèles d'organisation d'un SOC
• Appréhender les métriques clés de performance (MTTD, MTTR)
• Visualiser le flux de travail d'un analyste au quotidien

Objectifs de cette séance 

Le monde sous menace cyber

• En 2024 il y a eu une progression de 14% des cyberattaques 
• L'ANSSI a traité 4386 évènements de sécurité +15% par rapport à 2023 (ANSSI)
• Le coût moyen mondial d'une violation de données atteint 4,44 M $ en 2025 (IBM Cost of a Data Breach)

T-pot Honeypot map 

Définition du SOC

Un Security Operations Center (SOC) est une unité centralisée, composée de personnes, de processus et de technologies, dont la mission est de surveiller en continu (24h/24, 7j/7) l'environnement informatique d'une organisation afin de détecter, analyser, répondre et prévenir les incidents de sécurité.

Rôle du SOC dans une organisation

Le SOC travaille dans un écosystème de sécurité 

Architecture d'un SOC : N1/N2/N3

Structure en différent niveaux, comme dans une équipe médicale 

Détails des différents niveaux SOC

Modèle d'organisation d'un SOC

Il existe différents modèles selon les besoins et ressources 

Journée d'un analyste SOC N1

Prise de poste : Briefing par l'analyste sortant 

• Statut du dernier shift ?
• Incidents en cours 
• Point d'attention particuliers ? 

Monitoring en continue du Dasbhoard SOC 

• Surveillance des alertes en temps réel 
• Vérification des dashboards réseau

🚨Réception d'une alerte 

1. Lire l'alerte (quoi, où, quand)
2. Enrichir (contexte user, asset, IP)
3. Classer : vrai ou faux positif ?
4. Si vrai positif → escalader à L2 + ticket
5. Documenter dans le SIEM/ticketing

Journée d'un analyste SOC N2 chez Airbus Protect

• Traitement des alertes N2 de Nuit
• Traitement du triage (Signaux faibles en provenance des capteurs
• Préparation des Comités opérationnels
• Monitoring des alertes N2 Critiques
• Travaux de build SOC/Améliorations continue
• Threat Hunting/Threat intelligence

Présentation d'un dashboard SOC

Métriques clés de performance d'un SOC

 KPI (Key Performance Indicator) : indicateur chiffré permettant de mesurer la performance d'une équipe SOC.

Cas d'usage concrets traités par un SOC

Cas 1 - Phishing + Credential Stuffing

Email phishing reçu par 50 employés
    → Clic sur le lien par 3 personnes
    → Saisie identifiants sur faux portail
    → Connexion malveillante depuis IP roumaine
    → Alertes SIEM : connexion hors zone géographique

Quel Réaction du SOC ? 

Cas d'usage concrets traités par un SOC

Cas 2 - Ransomware

Macro Excel malveillante ouverte par un comptable
    → PowerShell lancé en arrière-plan
    → Tentative de connexion vers C2 externe
    → EDR détecte et bloque un comportement anormal

Quel Réaction du SOC ? 

Cas d'usage concrets traités par un SOC

Cas 3 - Insider Threat

Employé sur le départ exfiltre 2 Go de données client
    → DLP détecte upload massif vers Dropbox personnel

Quel Réaction du SOC ? 

Le cycle de vie d'un incident

Présentation de consoles EDR

Paysage des menaces et frameworks

• Identifier les principales menaces qui arrivent dans un SOC
• Comprendre la logique d'une attaque grâce à la Cyber Kill Chain
• Utiliser le framework MITRE ATT&CK pour contextualiser les menaces
• Maîtriser les types d'IOCs et leur utilité opérationnelle
• Comprendre la Pyramid of Pain et son impact défensif
• Avoir une vision de la réglementation applicable (NIS2, RGPD, ISO 27001)

Objectifs de cette séance 

Paysage des menaces

Ce que les SOC voient arriver chaque jour :

Zoom : Le Phishing 

De : support@miicrosoft.com

À  : john.doe@entreprise.fr
Sujet : ⚠️ Action requise – Votre compte va expirer

Bonjour John Doe,
Votre compte Microsoft 365 sera désactivé dans 24h.
Cliquez ici pour confirmer vos identifiants :

  [ https://login.micros0ft-secure.com/verify ]
                   

Cordialement,

L'équipe Microsoft Support

Anatomie d'un email de phishing typique :

Zoom : Le Phishing 

Ce qu'il faut voir côté SOC :

• Domaine expéditeur suspect (miicrosoft.com)
• URL de destination non-officielle
• Urgence artificielle (technique de pression)
• Demande de credentials par email 

Variants à connaître :

• Spear-phishing : ciblé (nom, poste, contexte réel de la victime)
• Whaling : phishing visant les dirigeants (PDG, CFO)
• Vishing : phishing vocal (appel téléphonique frauduleux)
• Smishing : phishing par SMS

Zoom : Le Ransomware

Cycle de vie d'une attaque ransomware

Pourquoi le ransomware est redouté ? :
 

Temps de détection critique : si le chiffrement démarre, il faut stopper immédiatement

Double extorsion : les données sont exfiltrées avant chiffrement → menace de publication

RaaS (Ransomware-as-a-Service) : accessible à des attaquants peu techniques

 

En 2021, l'hôpital de Dax (France) a été touché par le ransomware Ryuk. Résultat : 3 semaines de retour au papier, des opérations reportées, un coût de remédiation de 2,5M€

Zoom : APT, Malware, DOOS

APT (Advanced Persistent Threat) :

Définition : Acteur (souvent étatique) qui s'infiltre discrètement dans un réseau pour y rester longtemps, voler des données ou préparer un sabotage. Priorité à la furtivité, pas à la rapidité.

• Caractéristiques : discret, patient, multi-vecteurs, ressources importantes
• Exemples : APT28 (Fancy Bear / Russie), APT41 (Chine), Lazarus (Corée du Nord)
• Ce que voit le SOC : connexions inhabituelles, mouvements latéraux lents, outils légitimes détournés (Living-off-the-Land)

Zoom : APT, Malware, DOOS

Malware - Taxonomie simplifiée :

DDoS (Distributed Denial of Service) :

• Inonde un service de trafic jusqu'à indisponibilité
• Peut être une diversion pendant une vraie intrusion
• Détection SOC : pics de trafic anormaux, alertes WAF/firewall

La Cyber Kill Chain (Lockheed Martin)

Modèle développé par Lockheed Martin en 2011 décrivant les 7 étapes séquentielles qu'un attaquant doit franchir pour atteindre son objectif. 

La Cyber Kill Chain (Lockheed Martin)

Vision défensive de la cyberkillchain 

MITRE ATT&CK : Introduction

Base de connaissances mondiale, maintenue par MITRE Corporation, documentant les tactiques, techniques et procédures (TTPs) utilisées par des attaquants réels, observées sur des incidents authentiques.

MITRE ATT&CK : Introduction

Les 3 concepts clé : 

TACTIQUE  →  "Pourquoi ?"                        L'objectif tactique de l'attaquant
                                                                       ex: Initial Access, Persistence, Lateral Movement

TECHNIQUE →  "Comment ?"                   La méthode utilisée
                                                                       ex: T1078 - Valid Accounts

PROCÉDURE →  "Dans les détails ?"       L'implémentation spécifique d'un groupe
                                                                      ex: APT28 utilise T1078 via RDP

MITRE ATT&CK : Les 14 Tactiques Enterprise

MITRE ATT&CK Navigator : Démonstration

Indicateurs de Compromission (IOCs)

Les IOCs (Indicators of Compromise) sont des artefacts techniques observables qui indiquent qu'un système a potentiellement été compromis ou est ciblé par une menace.

Indicateurs de Compromission (IOCs)

Où vérifier un IOC en opérationnel :

•  VirusTotal (virustotal.com) — Hash, IP, domaine, URL
• AbuseIPDB (abuseipdb.com) — Réputation IP
• URLhaus (urlhaus.abuse.ch) — URLs malveillantes connues
• Shodan (shodan.io) — Contexte d'une IP/service
• MalwareBazaar (bazaar.abuse.ch) — Hashes de malwares connus

Pyramid of Pain

Modèle créé par David J. Bianco (2013) qui classe les IOCs selon la difficulté que leur détection impose à l'attaquant.

Pyramid of Pain

Implication pratique pour le SOC : 

De l'IOC à l'alerte : Flux opérationnel

Comment un IOC devient une alerte dans le SIEM : 

De l'IOC à l'alerte : Flux opérationnel

Les 3 natures d'IOCs à retenir opérationnellement :

Introduction aux cadres réglementaires 

NIS2 (Network and Information Security Directive 2)

• Directive européenne de cybersécurité adoptée en 2022 qui oblige un grand nombre d'organisations à atteindre un niveau minimum de sécurité informatique.

Introduction aux cadres réglementaires 

RGPD (Règlement Général sur la Protection des Données)

• Règlement européen entré en vigueur en mai 2018 qui encadre la collecte, le traitement et le stockage des données personnelles.

Introduction aux cadres réglementaires 

L'ISO/IEC 27001

• Norme internationale de référence pour la gestion de la sécurité de l'information. Publiée par l'ISO (Organisation internationale de normalisation), Contrairement au RGPD ou NIS2, c'est une certification volontaire, non une obligation légale.

Synthèse : Connecter tous les frameworks

TP - Analyse de logs web 

Nous avons récemment découvert qu’une partie de nos données privées a été publiée sur internet. Cette fuite a eu lieu le 14 octobre 2024 à 4h30 du matin. Nous soupçonnons que les attaquants ont utilisé notre serveur web comme point d’entrée dans leur attaque. Nous avons extrait les logs de ce serveur, couvrant une période de quelques jours avant l’attaque, afin que vous puissiez les analyser et découvrir ce qui s’est passé.

Objectif : 

• Trouver la chaîne de caractère utilisée pour déclencher la backdoor 
• IP renseigné comme argument de la backdoor