Avec la canicule, on ne parle que de deux choses en ce moment. La chaleur, et le football. Coupe du monde oblige.

Alors prenons le foot. Aujourd’hui, un gardien qui veut arrêter un penalty ne décide pas au moment du tir. Il a étudié le tireur avant. Sa course, son pied fort, ses habitudes. Les supporters du PSG s’en souviennent : Lors de la dernière finale, Safonov (le gardien de but) avait glissé des notes sur les tireurs adverses dans sa serviette avant la séance de tirs au but. Le staff avait bossé ça en amont, rien n’est laissé au hasard. Le PSG a gagné. (Au passage, j’ai parlé du SOC du PSG ici.)

Au SOC, c’est pareil.

Un SOC qui ne connaît pas les attaquants de son secteur attend le tir sans savoir où plonger. Il subit. Un SOC mature a étudié l’adversaire avant qu’il frappe.

Tenez, Akira. Un des groupes de ransomware les plus actifs du moment, près de 244 millions de dollars de rançons à son compteur fin 2025. Son entrée préférée : les VPN exposés, non patchés, sans double authentification. Et depuis l’été 2025, il ne frappe plus au hasard : il a ciblé en priorité les accès distants des banques. L’attaquant lui-même sélectionne ses victimes par secteur.

D’où la question : Est-ce que votre détection est réglée pour les attaquants qui ciblent votre secteur ? Ou est-ce qu’elle tourne sur un catalogue de règles standard, le même pour tout le monde ?

Le SOC prêt-à-porter

Quand un prestataire onboarde un nouveau client, il peut être tenté par dérouler le même paquet de règles de détection. Celui qu’il a déjà déployé chez les trente clients d’avant.

Le problème, c’est qu’une banque ne se fait pas attaquer comme un hôpital. Et un hôpital pas comme une usine de fabrication de panneaux solaires.

Depuis 2025. La santé, c’était un carnage.

Hôpital d’Armentières, 300 000 dossiers chiffrés par LockBit. Weda, 5 millions de dossiers médicaux exposés. Des groupes comme Qilin ciblent les hôpitaux précisément parce qu’un bloc à l’arrêt, ça pousse à payer vite. La menace ici, c’est le ransomware qui paralyse le soin.

La finance, c’est un autre monde. Les banques sont plutôt épargnées sur les fuites massives, parce qu’elles investissent depuis des années et que la réglementation les serre. Leur vulnérabilité, c’est la disponibilité. Le DDoS hacktiviste ou opportuniste. La Banque Postale paralysée le 22 décembre 2025, en pleine période de Noël. C’est un service qui tombe au pire moment.

Le retail, encore autre chose. Un grand classique, c’est le credential stuffing : on rejoue des mots de passe volés ailleurs pour entrer dans les comptes clients. Comme beaucoup réutilisent le même mot de passe partout, ça marche. Kiabi en a fait les frais début 2025. Des comptes forcés par rejeu d’identifiants, et au bout, les IBAN de 20 000 clients exposés. L’enseigne a dû les masquer en catastrophe. Ça n’a rien à voir en terme de monitoring avec un ransomware sur un hôpital ou le DDOS de l’application web d’une banque.

Trois secteurs. Trois modes opératoires. Trois priorités de détection complètement différentes.

A ce stade, on peut s’accorder à dire qu’un SOC qui applique le même jeu de règles aux trois ne sera pas efficace.

Le bon sens de lecture

Un SOC bien calibré part de la fin et remonte. Comme je le disais dans le numéro précédent sur la collecte.

Il commence par une question qui n’a rien de technique : qui m’attaque, moi, dans mon métier ? Quels groupes ciblent les boîtes comme la mienne, et comment ils s’y prennent concrètement. Leurs techniques, leurs tactiques, leurs procédures.

C’est de la threat intelligence sectorielle. Connaître les attaquants de son secteur. Et ce n’est pas un luxe réservé aux grands groupes. C’est la base. Une fois que vous savez ça, vous listez les scénarios réalistes, vous priorisez, vous construisez les détections qui les couvrent. Le reste découle.

Les deux questions que le SOC se pose

• “Sur quels groupes attaquants spécifiques à mon secteur sont calibrées mes détections ?” Il faut citer des noms et des modes opératoires, pas juste des “menaces avancées” dans le vide.

• “Comment ma threat intelligence sectorielle alimente concrètement mes règles de détection ?” Une CTI qui finit dans un PDF mensuel que personne ne lit ne sert à rien. Elle doit redescendre dans la détection.

Certains régulateurs ont déjà tranché

Dans la finance par exemple, c’est déjà acté. DORA, le règlement qui s’applique aux acteurs financiers depuis janvier 2025, force les banques à se tester sur des scénarios d’attaque construits à partir des menaces qui les visent vraiment. Pas un audit générique. Un exercice calibré sur leurs vrais adversaires.

Ailleurs, personne ne vous y oblige. C’est à vous de le faire.

Un SOC calibré pour tout le monde est calibré pour personne. Le bon réglage, c’est peu de règles, mais les bonnes. Celles qui collent aux attaquants de votre métier. Pas celles du catalogue.

Mehdi Charki est SOC Manager avec 10 ans d’experience. SOC Performance est sa newsletter indépendante sur la gouvernance, stratégie et pilotage SOC.