Pour le technicien qui intervient.
Une source qui s'arrete d'envoyer est l'un des signaux les plus forts en cybersecurite : panne, mauvaise configuration, ou sabotage par un attaquant qui efface ses traces. Configurer une alerte automatique et investiguer la cause sous 24h. Le délai d'inaction est un indicateur de maturite SOC.
Le guide d'hygiene informatique de l'ANSSI mesure 38, ISO 27001 A.12.4 et NIS2 art. 21 imposent une revue périodique des journaux. La revue doit etre tracée : date, intervenant, perimetre, actions decidees. Un processus non documenté est invisible pour un auditeur, meme si la revue a bien lieu.
Le MTTD (Mean Time To Detect) et le MTTR (Mean Time To Respond) sont les indicateurs clés d'un SOC mature. Les calculer chaque mois sur les incidents qualifies. Objectif cible : MTTD inferieur a 1 heure pour les alertes critiques, MTTR inferieur a 4 heures. Tracer l'evolution sur 12 mois.
Un SIEM qui genere 5000 alertes par jour est inutilisable : les vraies alertes se perdent dans le bruit. Travailler en continu pour reduire les faux positifs : ajuster les seuils, exclure les comportements legitimes, regrouper les alertes corollaires. Une alerte par jour ouvrable est un volume plus saine si la couverture est equivalente.
Un exercice purple team confronte les capacites de detection du SIEM aux techniques offensives reelles. Equipe red (attaque) et equipe blue (defense) collaborent pour identifier les angles morts. C'est l'une des methodes les plus efficaces pour ameliorer la couverture des alertes.
Pour le responsable / gestionnaire.
Le guide d'hygiene informatique de l'ANSSI mesure 38, ISO 27001 A.12.4 et NIS2 art. 21 imposent une revue périodique des journaux. La revue doit etre tracée : date, intervenant, perimetre, actions decidees. Un processus non documenté est invisible pour un auditeur, meme si la revue a bien lieu.
L'article L34-1 du Code des postes et communications electroniques impose 12 mois pour les données de connexion. PCI-DSS exigé 1 an. Pour la directive NIS2 et ISO 27001, viser 12 a 24 mois selon la criticite. Tester effectivement que les logs sont disponibles a J-365 par un requete simple.
Un SIEM qui genere 5000 alertes par jour est inutilisable : les vraies alertes se perdent dans le bruit. Travailler en continu pour reduire les faux positifs : ajuster les seuils, exclure les comportements legitimes, regrouper les alertes corollaires. Une alerte par jour ouvrable est un volume plus saine si la couverture est equivalente.
Un exercice purple team confronte les capacites de detection du SIEM aux techniques offensives reelles. Equipe red (attaque) et equipe blue (defense) collaborent pour identifier les angles morts. C'est l'une des methodes les plus efficaces pour ameliorer la couverture des alertes.
Pour l'auditeur et le contrôle de conformité.
Le guide d'hygiene informatique de l'ANSSI mesure 38, ISO 27001 A.12.4 et NIS2 art. 21 imposent une revue périodique des journaux. La revue doit etre tracée : date, intervenant, perimetre, actions decidees. Un processus non documenté est invisible pour un auditeur, meme si la revue a bien lieu.
L'article L34-1 du Code des postes et communications electroniques impose 12 mois pour les données de connexion. PCI-DSS exigé 1 an. Pour la directive NIS2 et ISO 27001, viser 12 a 24 mois selon la criticite. Tester effectivement que les logs sont disponibles a J-365 par un requete simple.