CI Détection en environnement cloud
Définition des principaux risques et stratégie de détection, d’investigation et de réaction sur les environnements cloud
Catégorie : Communauté d'intérêt
Statut : En cours
Description[modifier | modifier le wikicode]
L’émergence du cloud au sein du SI des entreprises amène de nouveaux enjeux en termes de cybersécurité, notamment pour la détection de comportements malveillants. Dans un contexte le plus souvent multicloud, il s’agit pour les entreprises, en particulier pour les SOC, de définir et mettre en place une stratégie de détection en prenant en compte les spécificités de chaque environnement cloud et de leurs fonctionnalités intrinsèques (autoscalling, conteneurisation, cloud native…).
Objectifs initiaux[modifier | modifier le wikicode]
1) Définir les risques inhérents au cloud.
2) Hiérarchiser les besoins en couverture de ces risques.
3) Définir les pré-requis (habilitations, accès, compétences) nécessaires au SOC/CSIRT pour la détection, l’investigation et la réaction.
4) Partager les bonnes pratiques en termes de détection en environnement multicloud (Quels sont les cas d’usages incontournables, quels logs sont nécessaires, comment les collecter, où les stocker ?).
Livrables possibles[modifier | modifier le wikicode]
- Cartographie des risques cloud (« une sorte de OWASP Top 10 Cloud Security Risks »)
- Un livre blanc des bonnes pratiques sur la détection cloud
Journal de bord de la CI[modifier | modifier le wikicode]
Lancement de 3 groupes de travail :
- Cartographie des risques cloud / état de la menace
- Radar tech des solutions d'aide à la détection dans le Cloud
- Formation et compétences métiers des analystes Cloud
Avancement de la phase de réflexion :
La communauté a sélectionné les thématiques prioritaires ainsi que les problématiques de travail associées :
- Formation / Compétences
- Comment s'assurer que les analystes soient au fait des nouvelles typologies d'attaque ?
- Référentiels / Outillage
- Etat de l'art des outils d'aide à la détection dans le cloud
- Risques
- Cartographie des risques cloud / état de la menace (APT, TTPs, contexte)
- Implémentation
- Comment s'assurer d'avoir les bonnes sources de données nécessaires à la détection et dans les meilleurs conditions (coûts / performance) ?
- Détection
- Comment définir des règles pertinentes de détection ? Phase d'initiation :
- une réunion toutes les 2 semaines le jeudi matin en vue du lancement des groupes de travail.
- Comment définir des règles pertinentes de détection ? Phase d'initiation :
Groupes de travail
Status | Description | |
---|---|---|
GT Détection en environnement Cloud - Cartographie des risques dans le Cloud | En cours | Etablir une cartographie des risques fréquemment rencontrés dans un environnement Cloud |
GT Détection en environnement Cloud - Formation des analystes | En cours | Formation des analystes opérant en environnement Cloud |
GT Détection en environnement Cloud - Panorama des solutions | En cours | Panorama des solutions de détection dans le Cloud |