La “Blue Team” et le SOC (La Défense)
L’équipe bleue surveille l’infrastructure en temps réel, 24h/24, au sein du SOC (Security Operations Center).
- L’évolution de la protection des PC : Antivirus ➔ EDR ➔ XDR
- Antivirus (Obsolète) : Ne connaît que les virus dont il a la signature (comme un avis de recherche).
- EDR (Endpoint Detection & Response) : Analyse le comportement. Si Word essaie de lancer un script PowerShell qui chiffre le disque dur, l’EDR le bloque, même s’il ne connaît pas le virus. (Ex: CrowdStrike, SentinelOne).
- XDR (eXtended Detection & Response) : Un EDR qui ne regarde pas que les PC, mais aussi le réseau, les emails et le cloud.
- SIEM (Security Information & Event Management) : Le cerveau du SOC. Il avale des milliards de lignes de logs (journaux) venant des pare-feux, des EDR et des serveurs pour repérer une attaque furtive. (Ex: Splunk, Datadog).
- CTI (Cyber Threat Intelligence) : Le service de “renseignement”. Consiste à étudier les groupes de hackers mondiaux (qui ils sont, quels outils ils utilisent) pour anticiper leurs attaques.
- Honeypot (Pot de miel) : Un faux serveur, volontairement vulnérable, placé sur le réseau. Dès qu’un pirate y touche, les défenseurs sont alertés.
