{
    "uuid": "6732e162c0d6d8c252ba203970ef2fc2",
    "slug": "revue-logs-siem-mensuel",
    "lang": "fr",
    "audience": null,
    "count": 6,
    "conseils": [
        {
            "uuid": "ca1575d540124971b60957dd5d5a0a0e",
            "category": "regulatory",
            "audience": [
                "manager",
                "technician",
                "auditor"
            ],
            "severity": "mandatory",
            "title": "Documenter formellement le processus de revue",
            "content": "Le guide d'hygiene informatique de l'ANSSI mesure 38, ISO 27001 A.12.4 et NIS2 art. 21 imposent une revue périodique des journaux. La revue doit etre tracée : date, intervenant, perimetre, actions decidees. Un processus non documenté est invisible pour un auditeur, meme si la revue a bien lieu."
        },
        {
            "uuid": "4094ca546eae4054aadd578379ec42ac",
            "category": "operational",
            "audience": [
                "technician"
            ],
            "severity": "critical",
            "title": "Investiguer chaque source silencieuse depuis plus de 24h",
            "content": "Une source qui s'arrete d'envoyer est l'un des signaux les plus forts en cybersecurite : panne, mauvaise configuration, ou sabotage par un attaquant qui efface ses traces. Configurer une alerte automatique et investiguer la cause sous 24h. Le délai d'inaction est un indicateur de maturite SOC."
        },
        {
            "uuid": "c870e19c4f8a45aebd70d1294bea780a",
            "category": "operational",
            "audience": [
                "technician"
            ],
            "severity": "mandatory",
            "title": "Mesurer MTTD et MTTR comme indicateurs clés",
            "content": "Le MTTD (Mean Time To Detect) et le MTTR (Mean Time To Respond) sont les indicateurs clés d'un SOC mature. Les calculer chaque mois sur les incidents qualifies. Objectif cible : MTTD inferieur a 1 heure pour les alertes critiques, MTTR inferieur a 4 heures. Tracer l'evolution sur 12 mois."
        },
        {
            "uuid": "45b058075a09470989728d8c72a9d94d",
            "category": "operational",
            "audience": [
                "technician",
                "manager"
            ],
            "severity": "recommended",
            "title": "Reduire le bruit pour ne pas noyer les vraies alertes",
            "content": "Un SIEM qui genere 5000 alertes par jour est inutilisable : les vraies alertes se perdent dans le bruit. Travailler en continu pour reduire les faux positifs : ajuster les seuils, exclure les comportements legitimes, regrouper les alertes corollaires. Une alerte par jour ouvrable est un volume plus saine si la couverture est equivalente."
        },
        {
            "uuid": "7c353c77362c48f2af8c4ede51982e1a",
            "category": "regulatory",
            "audience": [
                "manager",
                "auditor"
            ],
            "severity": "mandatory",
            "title": "Respecter la durée de conservation des logs",
            "content": "L'article L34-1 du Code des postes et communications electroniques impose 12 mois pour les données de connexion. PCI-DSS exigé 1 an. Pour la directive NIS2 et ISO 27001, viser 12 a 24 mois selon la criticite. Tester effectivement que les logs sont disponibles a J-365 par un requete simple."
        },
        {
            "uuid": "bd31049348174d85a18492c972010019",
            "category": "training",
            "audience": [
                "technician",
                "manager"
            ],
            "severity": "recommended",
            "title": "Realiser un exercice purple team annuel",
            "content": "Un exercice purple team confronte les capacites de detection du SIEM aux techniques offensives reelles. Equipe red (attaque) et equipe blue (defense) collaborent pour identifier les angles morts. C'est l'une des methodes les plus efficaces pour ameliorer la couverture des alertes."
        }
    ]
}