Contrôle 13 — Surveillance et défense du réseau
Surveiller en continu le trafic réseau pour détecter les activités malveillantes, les exfiltrations de données et les communications vers des serveurs de commande et contrôle (C2).
Pourquoi ce contrôle est critique ?
La surveillance réseau est l'un des contrôles les plus efficaces pour détecter rapidement une compromission. Des outils comme Zeek ou Suricata analysent le trafic en temps réel et alertent sur les comportements anormaux : communications nocturnes inhabituelles, exfiltrations volumineuses, connexions vers des IPs malveillantes connues.
Procédures & outils recommandés
Pour les PME, commencer par un IDS/IPS open source (Suricata) sur le routeur principal. Activer les alertes DNS pour les domaines malveillants connus (intégré à Quad9). Pour IG2, un SIEM comme Wazuh agrège les alertes réseau et postes pour une vue unifiée.
- Suricata (open source) — IDS/IPS réseau haute performance
- Zeek (open source) — analyse du trafic réseau
- Wazuh (open source) — SIEM + surveillance réseau
- pfSense + Snort — IDS intégré au pare-feu open source
- Quad9 (gratuit) — DNS filtrant avec alertes sur domaines malveillants
Tableau des Safeguards
| # | Action (Safeguard) | IG | Classe |
|---|---|---|---|
| 13.1 | Centraliser la collecte et la gestion des alertes de sécurité réseau. | IG1 | Réseau |
| 13.2 | Déployer une solution de détection d'intrusion réseau (NIDS) sur les segments clés. | IG1 | Réseau |
| 13.3 | Déployer un système de prévention d'intrusion réseau (NIPS) pour bloquer automatiquement les menaces connues. | IG2 | Réseau |
| 13.4 | Effectuer la déduplication et la corrélation des alertes réseau pour réduire les faux positifs. | IG2 | Réseau |
| 13.5 | Gérer le trafic réseau entrant et sortant (contrôle des flux). | IG2 | Réseau |
| 13.6 | Déployer un serveur DNS filtrant pour l'entreprise et surveiller les requêtes DNS. | IG2 | Réseau |
| 13.7 | Déployer un proxy web pour filtrer et surveiller le trafic HTTP/HTTPS sortant. | IG2 | Réseau |
| 13.8 | Déployer un agent de sécurité sur les appareils portables pour la surveillance hors réseau. | IG2 | Appareils |
| 13.9 | Chiffrer les données en transit sur les réseaux moins fiables. | IG2 | Réseau |
| 13.10 | Effectuer des inspections du trafic chiffré (TLS inspection) sur les points de sortie. | IG2 | Réseau |
Application pour les PME québécoises
Pour une PME IG1, la priorité est de déployer un DNS filtrant (Quad9 sur le routeur) — protection immédiate contre les domaines malveillants connus. Pour IG2, Suricata sur pfSense ajoute une détection d'intrusion professionnelle sans coût de licence.
Quiz de validation — 5 questions
1. Quel est le délai moyen de détection d'une intrusion selon IBM ?
2. Quel outil open source analyse le trafic réseau en temps réel ?
3. Combien de Safeguards IG1 contient le Contrôle 13 ?
4. Que détecte un NIDS (Network Intrusion Detection System) ?
5. Quelle protection DNS gratuite bloque les domaines malveillants ?
Voir aussi