La surveillance en cybersécurité

Surveillance et SIEM

Quand on parle de cybersécurité, on imagine souvent des attaques spectaculaires ou des protections sophistiquées. Pourtant, une grande partie du travail consiste simplement à observer ce qui se passe. On regarde, on écoute, on analyse et surtout, on est prêt à agir dès que quelque chose semble anormal.

C’est l’une des missions d’opérations de sécurité. Nous le verrons, elle repose sur des données (logs), des outils (SIEM) et des humains (analystes).

 

Bases de la surveillance

La mission de la surveillance est directe. Elle consiste à détecter le plus tôt possible les comportements suspects. Exemples :

  • une tentative d’accès non autorisé,
  • un comportement inhabituel d’un utilisateur,
  • un programme qui agit de façon anormale…

L’idée n’est pas seulement de voir, mais de comprendre ce qui mérite attention.

La surveillance poursuit plusieurs objectifs en même temps.

  • Réagir rapidement : plus un incident est détecté tôt, plus il est facile à contenir.

  • Limiter les dégâts : éviter qu’un problème mineur ne devienne critique.

  • Comprendre les incidents : garder des traces pour analyser après coup.

  • Améliorer la sécurité : apprendre des événements passés.

On est donc dans une logique continue : observer, comprendre, améliorer.

Dans les organisations importantes, cette surveillance est assurée par une équipe dédiée : le SOC (Security Operations Center). Elle surveille les alertes, analyse les événements et réagit en cas de problème, un peu comme une salle de contrôle dans un aéroport.

Elles doivent faire preuve de jugement car tout comportement inhabituel n’est pas forcément dangereux.

En effet, un système informatique génère énormément d’informations. Le vrai défi est donc de distinguer ce qui est normal, ce qui est inhabituel et ce qui est réellement dangereux. Trop d’alertes inutiles peuvent noyer les équipes mais pas assez d’alertes peut laisser passer une attaque.

 

Logs : la mémoire du système

Un log est l’enregistrement automatique d’un événement :

  • une connexion réussie ou échouée,
  • un fichier consulté,
  • un programme lancé,
  • une erreur technique…

Ces traces permettent de savoir ce qui s’est passé, quand et comment. Sans elles, la surveillance serait presque impossible. Elles sont un peu comme une boîte noire dans un avion.

Il existe différents types de logs selon leur origine :

  • logs système (activité du système d’exploitation),
  • logs applicatifs (fonctionnement des logiciels),
  • logs réseau (échanges entre machines).

Chacun donne une vision partielle. C’est leur combinaison qui permet de comprendre la situation.

Pour être utiles, les logs doivent être non seulement activés mais horodatés correctement, protégés contre les modifications et centralisés. S’ils sont dispersés sur des dizaines de machines, la surveillance devient impraticable !

Attention, ce ne sont que des outils. Il faut un humain pour interpréter les informations.

Concrètement, il faut savoir qu'ils ne sont pas réservés aux grandes entreprises. Même un ordinateur personnel en génère en permanence. Sur un système courant, il est possible d’y accéder via des outils intégrés, qui permettent de consulter les événements récents : démarrages, erreurs, connexions ou activités des applications. Cela peut être utile, par exemple, pour comprendre pourquoi un programme ne fonctionne pas correctement ou pour repérer un comportement inhabituel.

  • Si vous utilisez Windows, vous accédez à un menu par un clic droit sur l’icône Windows. Sélectionnez Observateur d’événements. Vous y trouverez des informations techniques, souvent difficiles à interpréter pour un non-spécialiste. Mais l’expérience peut vous donner l’envie d’approfondir le sujet !

  • Sur macOS, il existe une application appelée Console.

  • Sur Linux, vous les trouverez dans le dossier /var/log. D’une manière générale, Linux est un système d’exploitation très puissant en cybersécurité pour ceux qui possèdent de bonnes connaissances techniques.

 

SIEM

Dans ce contexte, on utilise des outils appelés SIEM (Security Information and Event Management) pour centraliser les logs provenant de nombreux systèmes (serveurs, applications, équipements réseau) et les analyser automatiquement pour détecter des comportements inhabituels.

Par exemple, un SIEM peut repérer une série de tentatives de connexion échouées ou un accès suspect à des données sensibles, puis générer une alerte pour attirer l’attention des équipes de sécurité.

Un SIEM facilite énormément la surveillance mais il a ses limites.

  • Il dépend de la qualité des données reçues. Par exemple, un log peut être Erreur lors de l’accès mais s’il ne précise pas qui a tenté l’accès, quand, depuis où et sur quelle ressource, il est difficile d’en faire quelque chose. Autre exemple, si les heures ne sont pas synchronisées entre les machines, une action peut sembler arriver avant sa cause !

  • Il nécessite une configuration fine (un SIEM mal configuré peut compliquer le travail au lieu de l’aider).

  • Il peut générer beaucoup d’alertes inutiles.

Parmi les solutions utilisées, on trouve notamment Splunk et Chronicle.

https://www.splunk.com/fr_fr

https://cloud.google.com/blog/products/identity-security/introducing-chronicle-security-operations?hl=en

Ces outils permettent de traiter de très grandes quantités de données et d’offrir des interfaces d’analyse avancées. Mais encore une fois, leur efficacité dépend de leur mise en œuvre.

 

Évolution

La surveillance évolue en même temps que les technologies.

Avec le développement de l’Internet des objets (IoT), de plus en plus d’équipements sont connectés : objets domestiques, capteurs industriels, équipements médicaux… Chaque appareil produit des données. Conséquence : la surface d’attaque augmente et la quantité d’informations à analyser aussi.

Les attaquants utilisent aussi des techniques de plus en plus diverses, ce qui rend la détection plus complexe.

L’intelligence artificielle, et en particulier le machine learning, permet d’améliorer la surveillance.

Un autre axe important est l’automatisation. On parle de SOAR (Security Orchestration, Automation, and Response). Concrètement, dès qu’une alerte est détectée, une action est déclenchée automatiquement. On gagne du temps sur les incidents simples et les analystes peuvent se concentrer sur les cas complexes.

Enfin, les outils de cybersécurité tendent à mieux communiquer entre eux pour partager les informations, coordonner les réponses et améliorer la réactivité.