Impression personnalisée

Sélectionnez les paragraphes que vous désirez imprimer

Supervision de sécurité des SI pour lutter contre les cyberattaques : ses piliers et son déploiement

Face à la multiplication et à la sophistication des attaques informatiques, la supervision de la sécurité s’impose comme un pilier essentiel de la résilience numérique. Loin de se limiter à un ensemble d’outils techniques, elle constitue une démarche stratégique, fondée sur la gouvernance, la compétence humaine et une approche méthodique du risque en vue d'une action opérationnelle efficace.

L’ANSSI en précise les fondements dans deux guides qui tracent la feuille de route d’une supervision cohérente et durable (Agence nationale de la sécurité des systèmes d'information (ANSSI), « Supervision de sécurité : les clés de décision » et « Supervision de sécurité : piloter un projet de supervision », juillet 2025).

Selon l’ANSSI, la supervision de sécurité est une démarche stratégique intégrée pour détecter et qualifier rapidement les incidents de cybersécurité, y apporter une réaction adaptée et tendre vers une gestion proactive du risque.

La supervision de sécurité repose sur un ensemble cohérent de moyens humains et de composantes techniques et organisationnelles.

L’ANSSI propose 10 recommandations pour optimiser la construction d’une telle supervision (partir de l’existant, porter une attention particulière aux postes de travail, limiter le volume des données, étendre progressivement les périmètres couverts, ajuster ressources et ambitions, gérer l’incertitude par des exercices réguliers, cultiver la confiance des parties prenantes…).

Qu'est-ce que la supervision de sécurité ?

L’Agence nationale de la sécurité des systèmes d'information (ANSSI) définit la supervision de sécurité comme l’ensemble des moyens et activités concourant, dans les meilleurs délais, à la détection et à la qualification d’un incident de sécurité sur un périmètre supervisé, ainsi qu'au choix de la réaction appropriée lorsque cet incident est avéré. Ces moyens peuvent être humains, organisationnels, techniques et financiers.

Objectif de la supervision de sécurité

Cette supervision permet de repérer, sur un système d’information (SI), les activités qui pourraient être des étapes unitaires malveillantes, et génère des alertes.

Elle contribue, avec le renseignement sur la menace (en anglais, Cyber threat intelligence/CTI) et la réponse à incidents, au traitement des incidents de sécurité. Elle ne constitue donc pas une fonction indépendante. Pour être efficace, elle doit s’intégrer dans un écosystème et interagir de manière fluide avec différentes fonctions.

La supervision de sécurité modifie la gestion opérationnelle du risque cyber. Elle permet de quitter le mode purement réactif et d’évoluer vers un mode proactif.

In fine, elle contribue à empêcher une compromission du SI, ou tout du moins à en limiter les conséquences.

Elle doit être mise en place le plus tôt possible.

Prérequis de la supervision de sécurité

Les prérequis de la supervision de sécurité sont de :

-maîtriser techniquement son SI. Cela peut se traduire par la mise en place de pratiques d’hygiène informatique ;

-connaître les risques auxquels le SI est exposé (comme la nature de l’activité de l’organisation, les forces et les faiblesses des briques techniques, l'état de la menace) ;

-mettre en place des moyens techniques dédiés à la supervision de la sécurité. Ces moyens doivent être adaptés aux caractéristiques du SI supervisé (par exemple, la taille, les technologies, l'agencement) ;

-mobiliser des moyens humains et une organisation adaptée, même lorsque des choix d’externalisation sont effectués.

Distinction entre supervision informatique et supervision de sécurité

La supervision informatique a vocation à relever les anomalies techniques et à anticiper les dysfonctionnements liés à l’exploitation normale d’un SI. Souvent, leurs effets sont aisément observables.

Les événements provoqués intentionnellement (conséquences d’une activité malveillante) relèvent, quant à eux, de la supervision de sécurité. Ils peuvent être peu observables et difficiles à détecter.

Obligations réglementaires liées à la supervision de sécurité

La supervision de sécurité s’inscrit dans un cadre réglementaire renforcé, en matière de cybersécurité, porté par les législations françaises (par exemple, la loi 2004-575 pour la confiance dans l’économie numérique du 21 juin 2004, la loi de programmation militaire 2015-2019) et européennes [par exemple, la directive NIS (Network and information system security, en français, Sécurité des réseaux et de l'information) ou encore le règlement général sur la protection des données/RGPD].

Néanmoins, elle reste soumise à la capacité d'investissement de l'entité compte tenu qu'elle représente à la fois un coût de construction et un coût d'entretien.

Démarche de mise en œuvre de la supervision de sécurité

Deux composantes à construire simultanément…

La supervision de sécurité revêt 2 composantes complémentaires :

-une composante technique (des moyens spécifiques) ; et

-une composante organisationnelle (des partenaires, des pratiques à adapter, des canaux d’échange).

Il est essentiel de construire ces 2 composantes conjointement.

L’effort de construction d’une supervision de sécurité dépend essentiellement de l’existant et des contraintes « projet » (le budget, la cible fonctionnelle et le délai de réalisation). Il n’existe donc pas deux projets de supervision identiques. De plus, l’hypothèse d’externaliser tout ou partie des fonctions de la supervision de sécurité multiplie les possibilités.

… en 6 étapes itératives

Cette construction itérative comporte 6 étapes :

-le cadrage : choisir un objectif atteignable (comme le périmètre limité, le nombre réduit d’événements redoutés) ;

-la vérification des données d'entrée : recueillir les documents génériques (par exemple, la politique de sécurité du ou des systèmes d’information/PSSI, l'analyse de risques) et spécifiques au périmètre (comme le dossier d’homologation, le rapport d’audit) ;

-la conception de la stratégie de supervision : associer aux scénarios opérationnels choisis des familles de données, des points de collecte et des règles de détection pertinents ;

-le déploiement des moyens techniques : mettre en place les points de collecte, gérer la remontée des données sélectionnées ;

-la réalisation de la mise sous supervision : centraliser, enrichir et stocker les données sélectionnées, fiabiliser les règles de détection sur ces données ;

-la validation de la chaîne de supervision : valider le bon fonctionnement des processus de supervision de sécurité pour ce périmètre.

Les composantes d'une supervision de sécurité

La supervision de sécurité repose sur un ensemble cohérent de composantes humaines, techniques et organisationnelles.

Les moyens humains

Les intervenants qui concourent au bon fonctionnement de la supervision de sécurité s'organisent en 2 cercles autour de l'équipe d'analystes :

-au centre, l’équipe d’analystes est composée de profils spécialisés qui vont traiter des alertes pour qualifier les incidents de sécurité. Son maintien en interne présente une importante plus-value ;

-le premier cercle concerne le dispositif de gestion des incidents de sécurité. Il est constitué des équipes de renseignement sur la menace, et de réponse à incidents. Le renseignement sur la menace fournit une matière première plus ou moins raffinée permettant la détection d’activités malveillantes. La réponse à incidents prend en charge les incidents de sécurité avérés pour les traiter selon les intérêts de l’organisation (comme l'investigation, l'éviction de l’attaquant, le rétablissement de la confiance dans le SI et de ses fonctions métier) ;

-le second cercle concerne l’ancrage de la supervision de sécurité dans le contexte interne à l’organisation. D’un côté, l’équipe de gouvernance fournit les soutiens décisionnel et financier. D’un autre côté, l’équipe de gestion opérationnelle des SI est mise à contribution pour sa connaissance du périmètre supervisé qui détient la connaissance du SI, ses éléments techniques et ses limites fonctionnelles. C’est également l’interlocutrice privilégiée pour lever le doute sur des activités potentiellement malveillantes.

Les données de supervision

Une fonctionnalité clé de la supervision de sécurité est l’analyse de données. Cette analyse est opérée en 2 temps :

-une étape automatisée qui identifie des événements significatifs à partir d'extraits d'activité du SI ;

-une étape manuelle qui consiste à vérifier ces événements de sécurité et, éventuellement, à les qualifier d'incidents de sécurité.

L’efficacité de cette analyse dépend des caractéristiques des données traitées qui doivent être :

-signifiantes : elles reflètent l’activité du SI ;

-pertinentes : pour chaque type de source de données (comme les logs de pare-feux), le point de capture doit avoir du sens au regard des enjeux de sécurité (par exemple, les aider à détecter un événement redouté) ;

-diversifiées : elles proviennent de multiples sources de données (comme les logs système, les logs de pare-feux ou le trafic réseau). Cela permet, par exemple, d’effectuer des pivots d’une donnée à l’autre sur la base d’un champ commun (par exemple, pivoter d’une donnée décrivant du trafic réseau à une donnée décrivant des activités systèmes sur la base d’un couple adresse IP et horodatage). En contrepartie, il est nécessaire de normaliser les données avant leur traitement ;

-enrichies : filtrer les données les moins signifiantes, ajouter de l’information (comme la géolocalisation d’une adresse IP) ou agréger des événements similaires permet d’améliorer la lisibilité de la donnée. Cela ouvre la voie à des corrélations plus riches que les pivots.

Les caractéristiques des données de supervision découlent de la stratégie de supervision.

La stratégie de supervision

Au cœur de la réflexion sur la stratégie de supervision se trouve le lien entre :

-des objectifs de sécurité (orientations de sécurité actées par la gouvernance - PSSI par exemple) ;

-des familles de données de supervision et des points de collecte pertinents ;

-des règles de détection qui analysent les données de supervision collectées.

Cette réflexion conduit à la rédaction d'un document précisant également les moyens mobilisés (financiers, humains, organisationnels, techniques). Il aide aussi à comprendre le fonctionnement général de la supervision vis-à-vis du périmètre supervisé. Enfin, il permet de formaliser le fonctionnement de la supervision de sécurité (par exemple, les processus), tant d’un point de vue général que les déclinaisons spécifiques à chaque SI supervisé.

Les processus de supervision

La supervision s’organise également autour de processus structurés, qui assurent la cohérence et la réactivité du dispositif :

-le processus métier est composé à la fois des activités récurrentes et des activités relationnelles (pour chacun des processus, définition des attentes et des moyens, indicateurs et tableaux de bord, veille en vulnérabilités et menaces, détection, analyse a posteriori, qualification et signalement des incidents, etc...) ;

-le processus support : planification et management du périmètre technique, conception et architecture du SI, intégration des briques techniques et exploitation du SI.

Les règles métier

Elles se décomposent en 2 types :

-les règles de gestion qui formalisent les choix retenus pour implémenter les processus métier et la matrice de communication au sein d'une structure ; et

-les règles de détection qui constituent une déclinaison technique de la stratégie de supervision (connaissance de la menace, prise en compte du contexte technologique et maîtrise de l’agencement technique spécifique à un SI).

Les 10 recommandations de l'ANSSI

Les recommandations proposées par l'ANSSI permettent d’optimiser l’effort de construction d’une supervision de sécurité. Sans prétendre à l’exhaustivité, elles aident à tracer les grandes lignes de la démarche.

De fait, elles doivent être adaptées au contexte et aux spécificités de chaque projet.

Acquérir de la connaissance sur le SI à superviser : cette connaissance doit être recueillie selon plusieurs axes, tels que les risques, les technologies, l’architecture et la vie du SI (comme les interventions ou les méthodes d’administration). C’est à l’intersection de ces savoirs que se conçoit une stratégie de détection efficace (voir ci-dessus).

Préparer le SI avant de le superviser : avant toute chose, il est recommandé d’élever le niveau de sécurité du SI supervisé à un seuil de cybersécurité nominal.

En effet, tenter de superviser un SI qui n’est conforme ni aux principes de défense en profondeur ni aux mesures d’hygiène informatique (ANSSI, « Guide d'hygiène informatique : renforcer la sécurité de son système d'information en 42 mesures », septembre 2017) est une perte de temps et d’argent. Ces ressources seront mieux employées dans une phase préalable d’amélioration du SI. Cette étape rendra le projet de supervision plus fluide et plus viable.

Commencer à superviser avec les moyens en place : il est possible d’atteindre un premier niveau de supervision du SI, même imparfait, sans investissement supplémentaire. Il est recommandé de miser sur la connaissance de l’existant et l’utilisation des outils de sécurité déjà déployés (par exemple, un antivirus ou l’activation de la journalisation sur un autre dispositif de sécurité).

Tout investissement supplémentaire présente le risque de diluer la capacité à faire entre la supervision et l’attention portée aux nouveaux moyens (intégration, déploiement, maintenance).

Pour commencer, il est donc plus efficace de démarrer les processus de la supervision en limitant l’ajout de moyens techniques et de confier la maintenance du SI de supervision aux équipes d’exploitation. Cela permet de préserver les ressources de la supervision pour les évolutions et l’amélioration continue.

Adopter une démarche ascendante et diversifier les données : en adoptant une démarche ascendante (en anglais, bottom-up), il est recommandé de partir des sources de données disponibles et pertinentes, pour commencer à satisfaire certains objectifs de détection.

C’est seulement dans un second temps qu’il est intéressant d’ajouter des sources, en visant un optimum entre :

-la couverture du périmètre à superviser ;

-la représentativité des activités sur le périmètre supervisé (comme le système, le réseau, l'applicatif ou l'industriel) ;

-la prise en compte des objectifs de supervision.

Cette démarche itérative s’inscrit dans l’amélioration continue de la supervision.

Porter un intérêt particulier aux postes de travail : le point faible utilisé par de nombreuses attaques de masse (comme les rançongiciels) est le poste de travail, sur lequel l’utilisateur peut naviguer sur le Web et lire ses courriels. Ces postes sont des éléments du SI fortement distribués et exposés.

Il est donc recommandé :

-en premier lieu, de s’assurer que les principes d’hygiène informatique sont correctement appliqués (voir notre dossier « Nouvelles technologies dans l’entreprise : impacts et traitements comptables «, partie 2 dans ce numéro) ;

-en second lieu, de s’intéresser aux éléments de sécurité déjà déployés (par exemple, un antivirus).

Il est utile de comprendre les alertes levées par ces systèmes pour traiter efficacement les causes et résoudre les problèmes soulevés. Le cas échéant, une solution dédiée aux équipements terminaux (comme l'endpoint detection and response/EDR, en français, détection et réponse des terminaux) peut être déployée pour bénéficier, entre autres, d’une visibilité plus riche sur l’activité du parc.

L'EDR est un logiciel utilisé pour détecter les cyberattaques, telles que les ransomwares et autres malwares, en surveillant en continu les terminaux (téléphones mobiles, ordinateurs, serveurs, objets connectés…).

Si le périmètre des postes de travail est un point de départ, d’autres périmètres doivent être traités avec attention (comme les équipements de bordure, l'interconnexion entre les réseaux, les services exposés ou l'annuaire centralisé).

Adopter une démarche « frugale » face au volume des données : dès lors que des outils dédiés à la supervision de sécurité sont mis en place, se pose la problématique de la centralisation des données. Il est recommandé de limiter le volume des données.

Voici quelques axes pour y parvenir :

-déterminer l’activité malveillante recherchée, et les scénarios de menace associés ;

-sélectionner des sources pertinentes pour détecter ces scénarios de menace ;

-choisir un niveau de journalisation adapté ;

-filtrer des événements récurrents inutiles ;

-agréger des événements apparentés ;

-adapter la période de rétention au besoin réel d’analyse a posteriori.

Il est également recommandé de traiter, en dehors du périmètre de la supervision de sécurité, les autres besoins qui reposent sur les traces d’un SI, mais qui ne concourent pas directement à la recherche d’activités malveillantes (comme l'archivage de journaux, les obligations réglementaires concernant la traçabilité sur le SI et la maintenance préventive).

Avancer progressivement vers la maturité : afin de rendre progressive la montée en maturité et de l’adapter aux situations initiale et finale de chaque entité, il est recommandé d’adopter une démarche « des petits pas » selon 3 axes :

-les processus peuvent être initialisés progressivement, en partant du processus de connaissance du périmètre supervisé (voir ci-dessus, les processus de supervision). De plus, certains processus peuvent être initialisés par le biais de l’externalisation (comme la veille en vulnérabilités et menaces) ;

-les outils dédiés peuvent être implémentés graduellement, à partir des premiers capteurs, fonction technique par fonction technique (par exemple, exploiter des alertes dans les consoles de chaque outil, puis centraliser les alertes et ensuite enrichir les données centralisées) ;

-les périmètres peuvent être couverts par avancées successives, sans chercher à avancer trop vite. Pour chaque périmètre, il est recommandé de choisir judicieusement les familles d’équipements à couvrir de façon exhaustive.

Il est possible de se reporter, par exemple, à la méthode de construction itérative de la supervision de sécurité (https://cyber.gouv.fr/publications/la-supervision-de-securite-les-cles-de-decision).

Mettre en cohérence les ressources avec les ambitions : la création d’une supervision de sécurité s’apparente à une course de fond. Il faut donc gérer judicieusement ses ressources financières comme humaines. Le budget doit être conçu sur du moyen/long terme. Les ressources humaines doivent être enrichies au fil du développement du système. Les attentes opérationnelles doivent être réalistes, quitte à évoluer en fonction des succès constatés.

Gérer l'incertitude : l’incertitude est une composante de la supervision de sécurité. Il n’y a jamais de certitude d’avoir choisi les bonnes sources de données, ou d’avoir retenu des critères (règles, comportements) suffisamment pertinents. Il n’y a jamais de certitude non plus quant au résultat de la supervision, en particulier en absence de résultat : est-ce qu’il ne se passe rien, ou est-ce que je ne détecte pas ce qu’il se passe ?

Il est recommandé de mettre en place des mesures aidant à maîtriser l’incertitude, aux niveaux technique et organisationnel, notamment en vérifiant la pertinence et l’efficacité de la détection par le biais d’exercices réguliers [comme la plateforme de tests automatisés, les tests de pénétration redteam (en français, équipe rouge) sur le périmètre supervisé]. Dans un premier temps, ces exercices peuvent impliquer les analystes dans un esprit coopératif. Par la suite, ils peuvent être menés en aveugle dans un esprit d’émulation.

Cultiver la confiance vis-à-vis des parties prenantes : le capital confiance acquis par une supervision de sécurité est une ressource précieuse qui conditionne son efficacité. Cette confiance se gagne rarement sur des faits d’armes retentissants. Elle se bâtit progressivement, en particulier auprès des bénéficiaires directs comme les administrateurs du SI.

Il est recommandé de répartir clairement les rôles et les responsabilités, et d’adopter une démarche transparente (« dire ce qu’on fait et faire ce qu’on dit »).

De plus, la supervision doit rester neutre pour éviter la critique des uns (mauvaises pratiques des équipes techniques) ou des autres (incidents de sécurité non détectés par l’équipe de supervision).

Par ailleurs, il est primordial de partager régulièrement les axes de progression du dispositif de supervision de sécurité et les indicateurs produits avec les autorités du SI supervisé. Cette pratique permet de les éclairer sur ce que le dispositif produit et sur les informations qui aident les équipes de la DSI à mieux protéger leur SI.

Parution: 11/2025
Droits de reproduction et de diffusion réservés © Groupe Revue Fiduciaire 2026. Usage strictement personnel. L'utilisateur du site reconnaît avoir pris connaissance de la licence de droits d'usage, en accepter et en respecter les dispositions.