J’ai assisté à l’onboarding d’un SOC chez un client. Réunion de cadrage, le chef de projet du prestataire fait le tour des sources de logs à brancher.

Firewall, oui. Endpoints, évidemment. Cloud public, bien sûr. Proxy web, AD, VPN, WAF, applicatif métier. Tout y passe. Le mot d’ordre tenait en trois mots : “Au cas où”.

À aucun moment quelqu’un n’a posé la question qui compte : qu’est-ce qu’on cherche à détecter, exactement ? On collecte d’abord. On verra plus tard.

J’ai vu ce film plusieurs fois. Étonamment, il finit toujours de la même façon.

Le raisonnement est à l’envers

Plus je collecte, mieux je détecte, non?

Voici la logique : On branche toutes les technos. Comme on a la donnée sous la main, on écrit des règles de détection dans tous les sens, pour “en profiter”. Ces règles génèrent des milliers d’alertes. Et c’est là qu’on découvre qu’on n’a pas les bras pour les traiter.

Alors on rajoute des analystes. On achète un outil pour trier. On paie une prestation pour calibrer le bruit qu’on a soi-même fabriqué quand on atteint les limites de volumétrie. Ou on paie de nouvelles licenses SIEM pour se rajouter du bruit.

À chaque étape, la facture monte. La détection ne s’améliore pas tant que ça. Les signaux importants à observer se noient dans la masse.

C’est ça, raisonner avec une casquette de technicien là où il faudrait du pilotage. Le technicien aura tendance à suivre les étapes dans l’ordre où elles se font : je collecte, je détecte, j’investigue. C’est l’ordre dans lequel on apprend à faire un SOC. Ce n’est pas l’ordre optimal pour construire un SOC.

L’autre sens, celui qui marche pour le coup

Un SOC bien pensé fait exactement l’inverse.

Il part d’une question simple : comment va-t-on m’attaquer, moi, dans mon secteur ? Quels groupes attaquants ciblent les boîtes comme la mienne, et comment s’y prennent-ils concrètement (techniques, tactiques) ? On liste les scénarios réalistes. On identifie les quick wins et les priorités. On planifie les détections qui couvrent ces scénarios. Et seulement à la fin, on collecte les logs nécessaires pour faire tourner ces détections et investiguer derrière. Rien de plus.

Le résultat est contre-intuitif. On collecte moins, on dépense moins, et on détecte mieux. Parce qu’on surveille ce qui compte pour nous, pas tout ce qui passe par là.

J’en ai fait l’expérience personnellement. Sur un périmètre que je supervisais, la facture de collecte avait pris l’ascenseur. Beaucoup trop de données ingérées, sans usage de détection derrière. De la donnée stockée pour son utilité théorique.

On a fait le ménage. Source par source, on s’est posé deux questions. Est-ce qu’une règle de détection s’appuie dessus ? Est-ce qu’on investigue réellement avec ? Quand la réponse était non aux deux, on coupait ou on réduisait la rétention.

La facture a été resorbée sans dégrader la détection. Au contraire. On y voyait plus clair. Moins de bruit, moins de sources mortes, des analystes plus efficaces qui regardent enfin les bonnes choses.

On n’avait rien rajouté. On avait enlevé ce qui ne servait à rien.

Evaluez votre stratégie de détection

Voici les questions à vous poser (ou à poser à votre prestataire) :

Un SOC mature assume ses choix. Il sait ce qu’il descope, et sait l’expliquer.

Et rappelez-vous l’article numéro #2 : le bruit a un coût. Qui le paie? Sur une collecte mal pensée, c’est toujours le client.

Le volume de logs ingérés n’est pas une preuve de performance. C’est le plus souvent l’aveu qu’on n’a pas décidé quoi chercher avant de se mettre à chercher.

Collecter tout “au cas où” donne le sentiment de ne rien rater. Dans les faits, c’est le meilleur moyen de tout rater, en payant le prix fort.

Mehdi Charki est SOC Manager avec 10 ans d’experience. SOC Performance est sa newsletter indépendante sur la gouvernance, stratégie et pilotage SOC.