Les opérations de sécurité

Domaine 7 du CISSP

Imaginez que vous avez parfaitement sécurisé une maison : portes blindées, alarmes, caméras, détecteurs de mouvement… Tout est impeccable sur le papier. Mais ensuite, qui surveille ? Qui réagit ? Qui vérifie le fonctionnement ?

En matière de cybersécurité, ce sont des opérations quotidiennes (domaine 7 du CISSP) : surveiller ce qui se passe, détecter les problèmes, réagir aux incidents et maintenir les systèmes en état.

Alors, que fait-on tous les jours pour que ça reste sécurisé ?

 

Surveillance de la sécurité

La première mission des opérations de sécurité est d’observer ce qui se passe en continu. En effet, les systèmes informatiques produisent en permanence des événements enregistrés sous forme de logs. Mais les lire un par un serait impossible. D'où la mise en place d'un système automatisé de surveillance (outils SIEM).

Cette mission fait l'objet de la page sur la surveillance.

 

Gestion des incidents

Malgré toutes les protections, des incidents vont arriver. Ce n’est pas une hypothèse, c’est une certitude ! Un incident de sécurité peut être…

  • une tentative d’attaque,
  • une intrusion réussie,
  • une fuite de données,
  • un comportement anormal…

Il faut alors réagir de manière organisée, selon un processus défini :

1. Détection : on identifie qu’un problème existe.
2. Analyse : on comprend ce qui se passe.
3. Containment (confinement) : on limite les dégâts (par exemple en isolant une machine).
4. Éradication : on supprime la cause (virus, accès malveillant…).
5. Récupération : on remet les systèmes en état.
6. Retour d’expérience : on apprend de l’incident.

Attention, une mauvaise gestion d’incident peut aggraver la situation (effacer des preuves par erreur, ne pas alerter les bonnes personnes…). D’où l’importance de procédures claires et testées.

Pour aider les équipes à réagir efficacement, les organisations mettent souvent en place des playbooks. Il s’agit de guides pratiques qui décrivent les actions à effectuer face à un type d’incident donné.

Par exemple, en cas de suspicion de compromission d’un poste, le playbook peut préciser les étapes à suivre : vérifier certains journaux, isoler la machine, alerter les responsables, puis lancer une analyse plus approfondie.

Ces guides permettent de gagner du temps et d’assurer une réponse cohérente, surtout dans des situations où la pression est forte. Ils doivent être régulièrement mis à jour pour rester adaptés aux nouvelles menaces.

 

Investigation et enquête forensique

Quand un incident est sérieux, il faut comprendre ce qui s’est passé en collectant des preuves, en analysant les systèmes etc. C’est une enquête, version numérique.

Un point essentiel est qu’il faut préserver les preuves. On ne nettoie pas immédiatement. Il faut conserver les logs, éviter de modifier les systèmes et documenter chaque action. Sinon, les preuves peuvent devenir inutilisables.

La chaîne de possession désigne la manière dont on suit et documente le parcours d’une preuve numérique, depuis le moment où elle est collectée jusqu’à son utilisation finale (par exemple lors d’une enquête ou d’une procédure judiciaire). L’idée est simple : à chaque étape, on doit savoir qui a manipulé la preuve, quand, où et dans quelles conditions. Cela permet de garantir qu’elle n’a pas été modifiée, altérée ou falsifiée.

 

Gestion des accès et des vulnérabilités

Tous les utilisateurs ne sont pas égaux et certains ont des droits très élevés (administrateurs système, administrateurs réseau…). La gestion de ces comptes fait aussi partie des opérations de sécurité. Si l’un d’eux est compromis, les conséquences peuvent être catastrophiques.

Il est donc important de limiter leur nombre et de surveiller leurs actions.

Par ailleurs, les logiciels ont des failles. C’est inévitable. Quand l’une d’elles est découverte, un correctif (patch) est publié puis installé.

Processus typique :

  1. identification des vulnérabilités,
  2. évaluation du risque,
  3. planification,
  4. déploiement,
  5. vérification.

 

Sauvegardes et restauration

Les sauvegardes sont souvent sous-estimées… jusqu’au jour où elles deviennent vitales.

Elles sont indispensables pour diverses raisons (panne, erreur humaine, ransomware…) et doivent donc être régulières (souvent chaque soir), dans des espaces de stockage séparés.

Les tests de restauration sont particulièrement importants. Une sauvegarde non testée est une fausse sécurité.

 

Continuité d’activité

Que se passe-t-il si tout s’arrête ? L’objectif est de continuer à fonctionner même en cas de problème majeur.

Deux notions à connaître :

  • RTO (Recovery Time Objective) : temps acceptable d’arrêt
  • RPO (Recovery Point Objective) : perte de données acceptable.

 

Gestion des ressources et des actifs

On ne peut protéger que ce que l’on connaît. D’où des inventaires réguliers :

  • Quels systèmes existent ?
  • Où sont-ils ?
  • Qui les utilisent ?

Un système passe par une mise en service, une utilisation et une maintenance, puis un retrait. Chaque étape présente des enjeux de sécurité.

 

Surveillance continue et amélioration

La surveillance continue consiste à observer en permanence les systèmes pour détecter les anomalies, corriger les problèmes et améliorer progressivement la sécurité grâce à des indicateurs comme le nombre d’incidents ou le temps de réaction.

Cette démarche s’inscrit dans une logique d’amélioration continue, où l’on ajuste les pratiques en fonction des retours du terrain.

Hélas, vous vous en doutez, elle a ses limites. Il est impossible de tout voir et de tout anticiper, les outils peuvent générer beaucoup d’alertes inutiles, et les ressources humaines et techniques restent contraintes (fatigue des équipes si trop d’alertes, coût élevé…). L’enjeu est donc de trouver un équilibre entre visibilité, efficacité et capacité réelle des équipes à traiter les informations.

 

domaines du CISSP