VEILLE EN CYBERSÉCURITÉ

INTRODUCTION

La cybersécurité est un domaine en constante évolution, où la vigilance et la préparation

sont essentielles pour protéger nos systèmes d'information. La cybercriminalité est une réalité
et représente une menace avec des conséquences tangibles parfois désastreuses pour les
entreprises. Tous types d’organisations privées ou publiques peuvent être atteintes. Outre le vol
de données, ces attaques sont capables de détériorer des outils de production et d’impacter
significativement le chiffre d’affaires. Les menaces de type APT (pour Advanced Persistent
Threat, ou littéralement menace persistance avancée) représentent un défi de taille pour les
organisations. Dans ce contexte, une veille régulière et adaptée sur les cybermenaces est
primordiale afin d’anticiper les types d’attaques mais aussi pour permettre d’orienter ses
décisions en fonction des impacts sur l’organisation. Dans ce document, nous allons explorer
les bases de la veille en cybersécurité, une compétence cruciale pour rester en avance sur les
menaces numériques notamment pour les organisations.

I. NOTIONS DE BASE

1. Définition
Imaginons-la Veille en cybersécurité comme une sentinelle qui garde un œil vigilant
sur l'environnement technologique et commercial, identifiant les menaces et opportunités
potentielles pour en anticiper les évolutions.

Voici une définition plus formelle, l’Association française de normalisation (AFNOR)

nous dit que la veille est :

“une activité continue en grande partie itérative visant à une surveillance active de
l’environnement technologique, commercial, etc..., pour en anticiper les évolutions.”
 2. IMPORTANCE DE LA VEILLE EN
CYBERSÉCURITÉ

En cybersécurité, la veille, c'est à la fois un processus et une activité nécessaire pour

tous les professionnels de la sécurité. C’est même un métier !

Elle doit être continue et reposer sur un processus cyclique. En cela, elle rappelle le
cycle du renseignement qui est un processus systématique de collecte, d'analyse, de production
et de diffusion d'informations pertinentes pour une organisation, une entreprise ou un
professionnel.

Implémenter ce processus est essentiel pour réagir efficacement aux menaces

croissantes et au cadre réglementaire en constante évolution : la demande pour la veille dans
les organisations augmente, elle devient une partie intégrante de la protection des systèmes
d'information et le flux d'informations sur les risques cyber.

Pourquoi la veille est si importante en cybersécurité ?

• La veille est essentielle pour anticiper correctement les menaces et les risques cyber en
tant que professionnel de la sécurité.
 • La veille prend une place à part entière dans la stratégie de protection des systèmes
d'information (SI) des entreprises (par exemple, la définition et le pilotage des stratégies
de sécurité).

• Elle est nécessaire pour réagir efficacement et de façon adaptée en cas d’incidents cyber.

• La veille est indispensable en raison de la nature constamment évolutive des

technologies. Les avancées technologiques rapides conditionnent de nouveaux vecteurs
d'attaque et de vulnérabilités.

• De plus, la veille est intrinsèquement liée à la forte dynamique des événements

géopolitiques qui peuvent avoir un impact majeur sur la sécurité numérique.

3. Catégories de la veille en cybersécurité

La veille revêt de nombreuses facettes et se concentre sur des aspects spécifiques selon
l’information recherchée. De manière générale, on trouve parmi ces catégories :

• La veille sur les menaces, qui consiste à surveiller les activités cyber malveillantes
susceptibles de compromettre une organisation ;

• la veille sur les risques se concentre sur la surface d'attaque d'une entité pour identifier
les vulnérabilités potentielles ;

• la veille géopolitique suit les dynamiques politiques et économiques pour en anticiper

l’impact sur une organisation ;

• la veille concurrentielle et écosystème offre un aperçu des activités des concurrents et

des partenaires , permettant ainsi aux entreprises d’être en phase avec le niveau de
maturité cyber de leurs concurrents et de leurs partenaires, ainsi que de rester
compétitives et réactives dans un environnement en constante évolution ;

• la veille réglementaire et juridique assure la conformité aux lois et aux règlements en

constante évolution ;

• la veille technologique se focalise sur les avancées technologiques dans un domaine

particulier pour rester à jour avec les innovations et les opportunités pouvant avoir un
impact sur les activités d’une entreprise ;
 • enfin, la veille réputationnelle permet de suivre de près la notoriété et la visibilité de
l’entreprise, pour réagir rapidement en cas de crise.

4. Anticipez les prérequis d’une veille en cybersécurité

➢ Curiosité et patience

Soyez curieux et gardez à l'esprit que la veille demande du temps et de la patience. Les
compétences que nous développons sont précieuses pour la sécurité de votre organisation.

➢ Recherche et tri des informations

Pour être efficace, nous devons savoir comment rechercher et trier les
informations pertinentes. Maîtriser les fonctionnalités avancées des moteurs de recherche et
des outils de veille est crucial. Nous reviendrons sur les astuces et bonnes pratiques un peu plus
tard.

➢ Accès aux outils de veille

D’ailleurs, disposer d'outils de collecte, d'analyse et de surveillance de données spécifiques

à la cybersécurité peut être nécessaire pour automatiser et faciliter la veille. Je nous en
partagerai plusieurs dans la seconde partie du cours.

➢ Expertise technique

Pour les personnes qui doivent effectuer une veille opérationnelle active et procéder à l’analyse
en profondeur des menaces cyber, une expertise technique peut être requise.

➢ Maîtrise des langues (surtout l’anglais !)

Enfin, la maîtrise des langues, en particulier l'anglais, est un atout majeur, car une grande
majorité des sources autour de la cybersécurité est en anglais. D'autres langues comme le russe,
le chinois, l'arabe ou le persan peuvent également être pertinentes pour le suivi de la menace.

II. METHODOLOGIE
1. Évaluation des Risques:

2. Définition de la Stratégie de Veille:

 3. Sélection des Sources d’Information:

4. Mise en Place des Outils de Veille:

5. Analyse et Traitement des Données:

6. Réponse aux Incidents:

7. Formation et Sensibilisation:

8. Révision et Amélioration Continue:

1. Évaluation des Risques :

o Identifier les actifs les plus critiques de la structure et évaluez les risques
associés à chaque actif.

o Déterminer les menaces potentielles et les vulnérabilités existantes.

2. Définition de la Stratégie de Veille :

o Définir les objectifs de la veille en fonction des risques identifiés.

o Établissez des indicateurs de performance clés (KPIs) pour mesurer

l’efficacité de la veille

✓ Identifier les Métriques Pertinentes:

Sélectionnez des métriques qui reflètent directement les progrès vers vos objectifs. Par
exemple, le nombre de menaces détectées, le temps moyen de détection et de réponse, ou le
pourcentage de réduction des incidents de sécurité.

✓ Quantifier les Attentes:

Établir des seuils clairs et des cibles pour chaque KPI. Par exemple, vous pouvez viser
une réduction de 25% des incidents de sécurité sur une année.

✓ Intégrer les Données:

 Assurer que nous avons accès aux données nécessaires pour mesurer chaque KPI. Cela
peut nécessiter l’intégration de systèmes de surveillance, de logs de sécurité, et d’autres sources
d’informations.

✓ Créer un Tableau de Bord:

Utiliser un tableau de bord pour visualiser les KPIs et suivre les progrès en temps réel. Cela
permettra aux décideurs de voir rapidement où des améliorations sont nécessaires.

✓ Réviser et Ajuster:

Les KPIs doivent être revus régulièrement pour s’assurer qu’ils restent pertinents et alignés
avec les objectifs de la structure. Ajustez-les si nécessaire pour refléter les changements dans
l’environnement de la cybersécurité.

Voici quelques exemples de KPIs en cybersécurité :

• Nombre de vulnérabilités non corrigées : Indique le niveau de risque auquel

l’organisation est exposée.

• Temps moyen entre la découverte et la correction des vulnérabilités : Mesure

l’efficacité des processus de réponse.

• Taux de faux positifs des alertes de sécurité : Révèle la précision des outils de
surveillance utilisés.

• Nombre de formations en cybersécurité réalisées : Montre l’engagement envers la

sensibilisation et la formation du personnel.

3. Sélection des Sources d’Information :

o Choisir des sources fiables et pertinentes, telles que des bulletins de sécurité,
des rapports d’analyse de menaces, et des forums spécialisés.

En cybersécurité, il est essentiel de s'appuyer sur des sources d'information fiables et

actualisées pour rester au fait des dernières menaces et des meilleures pratiques. Voici quelques
catégories de sources d'information utiles pour effectuer une veille efficace :
• Agences spécialisées (nationales, régionales et internationales) - l’ANSSI en France,
l’ENISA en Europe, Europol (EC3), Interpol, la CISA aux Etats-Unis, le Centre de la
cybersécurité au Canada

• Centres de partage sectoriels - ISACs - EE-ISAC, A-ISAC, FS-ISAC, Auto-ISAC, IT-

ISAC, etc.

• Les équipes de réponse aux incidents - CERTs, CSIRTs, InterCERT France - qui
publient des avis, des alertes et des recommandations pour faire face aux vulnérabilités
et aux menaces.

• Sources communautaires et réseaux professionnels

o CESIN, CLUSIF, Cigref, CDSE

o Osint-FR, M82 Project, etc

• Feeds communautaires - MalwareBazaar, Tria.ge, MWDB, Feodo Tracker, URLhaus,

Red Flag Domains, ThreatFox, PhishTank, MWDB, VirusTotal, etc.

• Ecosystème des partenaires

o Partenariats avec les secteurs public et gouvernemental

o Engagements contractuels avec des partenaires

o Coopération avec d’autres analystes et équipes de cybersécurité

• L’OSINT (Open Source Intelligence), le HUMINT (Human Intelligence)

• Editeurs de cybersécurité

• Publications universitaires et de recherche

• Médias spécialisés

• Réseaux sociaux - X (anciennement Twitter), Bluesky, Telegram, LinkedIN, Mastodon,

Discord, etc.

4. Mise en Place des Outils de Veille :

 o Utilisez des outils de surveillance en temps réel pour détecter les activités
suspectes.

✓ Systèmes de Détection d’Intrusions (IDS, HIDS, NIDS):

Ils surveillent le trafic réseau pour détecter les activités suspectes et les attaques potentielles.

❖ Systèmes de Détection d’Intrusions Réseau (NIDS):

o Snort: Un NIDS open-source très populaire qui utilise un système de détection

basé sur les signatures.

o Suricata: Un autre NIDS open-source qui est capable de réaliser de l’analyse de

trafic en temps réel et de la détection d’intrusions.

o Check Point: Un NIDS commercial qui offre une protection avancée contre les
menaces et les attaques.

❖ Systèmes de Détection d’Intrusions Hôte (HIDS):

o AIDE (Advanced Intrusion Detection Environment): Un HIDS qui vérifie

l’intégrité des fichiers.

o OSSEC: Un HIDS open-source qui effectue une analyse de logs, vérifie

l’intégrité des fichiers, surveille les registres Windows, et détecte les rootkits1.

o Fail2ban: Un HIDS qui protège contre les attaques par force brute en surveillant
les logs et en bannissant les adresses IP suspectes.

❖ Systèmes de Détection d’Intrusions Hybrides (qui combinent les caractéristiques

des NIDS et des HIDS):

o Cisco Firepower: Un système qui combine un IDS/IPS avec des capacités

avancées de threat intelligence.

✓ Systèmes de Prévention d’Intrusions (IPS):

Ces systèmes agissent sur les alertes générées par les IDS pour bloquer les menaces en temps
réel.

❖ Cisco Firepower:
Un IPS avancé qui offre une protection complète contre les menaces en intégrant la prévention
d’intrusions, le contrôle avancé des malwares et la visibilité du trafic réseau.

❖ Palo Alto Networks:

Fournit une plateforme de sécurité qui inclut des fonctionnalités IPS pour protéger contre les
menaces connues et inconnues.

❖ Fortinet FortiGate:

Combine un pare-feu avec un IPS intégré pour offrir une sécurité réseau de haute performance
et une protection contre les intrusions.

❖ Check Point IPS:

Une solution de sécurité qui protège le réseau contre les attaques et les exploits en temps réel,
avec une mise à jour automatique des signatures et des politiques.

❖ IBM Security Network IPS:

Offre une protection contre les menaces avancées et les attaques ciblées, en utilisant des
techniques de détection basées sur les signatures et les anomalies.

❖ Forcepoint IPS:

Propose une surveillance continue du réseau pour détecter les actes de malveillance et prendre
des mesures préventives pour empêcher les attaques.

❖ Symantec Network Security:

Fournit une détection des menaces en temps réel et une prévention des intrusions pour les
entreprises de toutes tailles1.

✓ Solutions de Gestion des Informations et des Événements de Sécurité (SIEM):

Les SIEM collectent et analysent les données de sécurité provenant de diverses sources pour
identifier les anomalies.

❖ SolarWinds Security Event Manager (SEM):

Offre une période d’évaluation gratuite et se concentre sur la conformité et la gestion des
événements.

❖ Threat Monitor:

Propose des évaluations de menaces mises à jour en permanence et des fonctions de détection
des intrusions.

❖ Fusion SIEM d’Exabeam :

Combine SIEM et détection et réponse étendues (XDR) dans une solution moderne pour
SecOps.

❖ LogRhythm:

Utilise l’UEBA et l’apprentissage automatique pour fournir des capacités avancées de détection
des menaces.

❖ IBM Security QRadar:

Un SIEM qui utilise l’analyse avancée pour détecter, prioriser et répondre aux menaces1.

❖ Splunk Enterprise Security:

Offre des capacités de visualisation des données et de réponse aux incidents pour identifier
rapidement les menaces.

❖ ArcSight ESM de Micro Focus:

Une solution robuste qui aide à détecter et à répondre aux menaces en temps réel.

✓ Outils de Threat Intelligence :

Ils fournissent des informations actualisées sur les menaces et aident à anticiper les attaques

❖ FireEye Helix:

Offre une plateforme de Threat Intelligence qui intègre des renseignements sur les menaces
avec des capacités d’analyse et de réponse1.

❖ Recorded Future:
Fournit des renseignements en temps réel sur les menaces grâce à l’analyse de données
provenant d’une variété de sources1.

❖ ThreatConnect:

Combine la gestion des renseignements sur les menaces avec des outils d’analyse pour aider les
équipes de sécurité à prendre des décisions éclairées1.

❖ CrowdStrike Falcon X:

Automatise le processus de Threat Intelligence et fournit des analyses personnalisées pour

protéger contre les attaques ciblées1.

❖ Palo Alto Networks AutoFocus:

Permet aux équipes de sécurité d’accéder rapidement à des renseignements contextuels et

exploitables sur les menaces1.

❖ IBM X-Force Exchange:

Une plateforme collaborative qui permet aux utilisateurs de partager et d’obtenir des
renseignements sur les menaces1.

❖ Anomali ThreatStream:

Propose une plateforme de Threat Intelligence qui aide les organisations à identifier et à
répondre aux menaces en ligne1.

❖ Proofpoint Emerging Threats (ET) Intelligence:

Fournit des informations détaillées sur les menaces mondiales et les acteurs malveillants pour
améliorer la posture de sécurité basées sur les tendances observées.

✓ Solutions EDR (Endpoint Detection and Response):

Ces solutions surveillent et analysent les données des terminaux pour détecter et répondre aux
menaces.

❖ Microsoft Defender pour Endpoint:

Une solution qui offre une protection avancée contre les menaces et intègre des capacités
d’analyse comportementale1.
 ❖ SentinelOne Singularity Platform:

Fournit une détection des menaces en temps réel et une réponse automatisée, avec une
plateforme qui combine EDR et XDR (Extended Detection and Response)2.

❖ CrowdStrike Falcon:

Utilise l’IA pour offrir une protection contre les menaces sophistiquées et les attaques ciblées2.

❖ Trend Micro XDR:

Offre une visibilité et une corrélation des données à travers les emails, les réseaux, les
endpoints, et les serveurs pour une détection plus rapide des menaces2.

❖ Cybereason:

Propose une plateforme de détection et de réponse qui utilise l’IA pour chasser les menaces en
temps réel.

❖ Sophos Intercept X:

Une solution EDR qui combine des techniques d’IA pour détecter et bloquer les malwares et
les exploits en temps réel.

❖ VMware Carbon Black:

Offre une protection contre les menaces avancées et les attaques sans fichier grâce à son analyse
comportementale et sa surveillance des endpoints.

✓ Outils de Surveillance des Vulnérabilités :

Ils scannent les systèmes pour détecter les vulnérabilités et aider à prioriser les correctifs.

❖ Acunetix:

Un outil qui détecte un large éventail de vulnérabilités web et aide à les résoudre rapidement1.

❖ Intruder:

Offre des capacités de surveillance continue et des évaluations de sécurité pour les réseaux1.

❖ ManageEngine Vulnerability Manager Plus:

Une solution multi-OS pour la surveillance des vulnérabilités et la conformité.

❖ Nessus Professional:

Un outil d’évaluation de vulnérabilité pour vérifier la conformité et analyser les adresses IP et

les sites Web1.

❖ Qualys Vulnerability Management:

Assure une surveillance continue de l’infrastructure et des applications du réseau.

❖ Rapid7 InsightVM:

Offre des capacités de surveillance continue et de gestion des vulnérabilités.

❖ Tenable.io:

Fournit des informations détaillées sur les menaces mondiales et les acteurs malveillants pour
améliorer la posture de sécurité.

✓ Plateformes de Gestion des Actifs Numériques:

Elles permettent de suivre l’état de sécurité de tous les actifs numériques de l’entreprise.

❖ IBM Digital Asset Management:

Offre une approche systématique pour la gestion des actifs numériques, y compris le stockage,
l’organisation et la distribution1.

❖ Adobe Experience Manager Assets:

Fournit des outils pour créer, gérer et optimiser les actifs numériques à grande échelle.

❖ Widen Collective:

Une plateforme DAM qui aide à centraliser, connecter et automatiser les workflows des actifs
numériques.

❖ Bynder:

Offre une solution DAM cloud pour aider les marques à créer, trouver et utiliser du contenu
plus efficacement.

❖ Canto:
Permet aux entreprises de stocker et de gérer leurs actifs numériques dans le cloud pour un
accès facile et sécurisé.

❖ Monday.com:

Bien que principalement connu comme un outil de gestion de projet, il offre également des
fonctionnalités DAM pour aider les équipes marketing à gérer les actifs numériques

✓ Solutions de Sécurité Basées sur le Cloud:

o Ces solutions offrent une visibilité et une protection en temps réel pour les
infrastructures cloud.

✓ Outils d’Analyse Comportementale:

o Ils utilisent l’apprentissage automatique pour détecter les comportements

anormaux qui pourraient indiquer une menace.

✓ Analyse des Données de Navigation:

✓ Systèmes de Détection des Anomalies:

✓ Test DISC:

✓ Plateformes de Customer Relationship Management (CRM):

✓ Outils de Suivi des Parcours Clients:

✓ Solutions de User and Entity Behavior Analytics (UEBA):

✓ Outils de Gestion des Ressources Humaines:

o Implémentez des solutions de gestion des vulnérabilités pour suivre et

corriger les failles de sécurité.

5. Analyse et Traitement des Données:

o Collectez et analysez les données en continu.

❖ Splunk:
 ❖ Elasticsearch:

Une plateforme de recherche et d’analyse distribuée qui peut traiter et visualiser des données
en temps réel.

❖ IBM QRadar:

Un SIEM qui collecte les données de diverses sources, les analyse et génère des alertes pour les
activités suspectes.

❖ LogRhythm:

Une plateforme SIEM qui combine la gestion des journaux, la surveillance des menaces et
l’analyse des comportements pour une détection rapide des menaces.

❖ AlienVault OSSIM/USM:

Fournit des capacités de gestion des journaux et de renseignements sur les menaces pour une
analyse complète.

❖ SolarWinds Security Event Manager:

Un outil qui aide à collecter, analyser et répondre aux données de sécurité pour identifier et
atténuer les menaces.

o Utilisez des outils d’intelligence artificielle pour filtrer et prioriser les

informations.

❖ Darktrace:

Utilise l’IA pour détecter et répondre automatiquement aux menaces en temps réel.

❖ IA de CheckPoint:

Fournit une protection prédictive contre les menaces inconnues et zero-day.

❖ Cylance:

Emploie l’apprentissage automatique pour prédire et prévenir les exécutions de logiciels

malveillants.

❖ Fortinet FortiAI:
Offre des capacités d’analyse comportementale pour identifier les anomalies.

❖ Deep Instinct:

Applique l’apprentissage profond pour prédire, détecter et prévenir les cyberattaques.

❖ SentinelOne:

Combine l’IA avec l’automatisation pour offrir une détection et une réponse rapides aux
menaces.

6. Réponse aux Incidents:

o Préparez des procédures de réponse aux incidents pour réagir rapidement en cas
de détection d’une menace.

o Formez une équipe de réponse aux incidents spécialisée.

7. Formation et Sensibilisation:
o Former régulièrement le personnel de la structure aux bonnes pratiques de
cybersécurité.

o Sensibiliser les employés aux dernières menaces et aux moyens de les prévenir.

8. Révision et Amélioration Continue:

o Réévaluer périodiquement la stratégie de veille pour l’adapter aux nouvelles
menaces et technologies.

o Intégrer les retours d’expérience pour améliorer les processus.

Parmi les solutions adaptées, il faudra envisager en bref :

• Firewalls et systèmes de prévention d’intrusion pour protéger le réseau.

• Solutions EDR (Endpoint Detection and Response) pour surveiller et réagir aux
menaces sur les postes de travail.

• Outils de SIEM (Security Information and Event Management) pour une vue
centralisée des alertes de sécurité.
 • Plateformes de Threat Intelligence pour partager et recevoir des informations sur les
menaces.

Il est également recommandé de collaborer avec des partenaires “secure-by-design” et de

s’appuyer sur la communauté environnante pour renforcer la posture de cybersécurité d’une
structure.

CONCLUSION

Il ne faut pas sous-estimer l’importance de la veille en cybersécurité, aujourd’hui la

cybercriminalité est devenue un business lucratif pour les attaquants, la multiplication des outils
facilitants de manière déconcertante l’exploitation de failles de sécurité, va accroitre toujours
plus les menaces et attaques qui ne sont plus l’apanage de grands groupes de hackers.