Huntry

Le SOC, un modèle peu efficient

Le SOC est souvent présenté comme le service par excellence pour la détection d’incident, mais dans la pratique, il s’avère être un modèle structurellement peu efficient.

Sa mise en place et son exploitation engendrent des coûts très élevés : coûts infrastructures, d’exploitation, de licences logicielles et de ressources humaines souvent spécialisées.
À cela s’ajoute une complexité technologique croissante : l’efficacité d’un SOC dépend directement des ressources surveillées et de leur politique de journalisation, souvent hétérogène, incomplète ou mal maîtrisée.

Le modèle repose par ailleurs fortement sur les compétences humaines, avec des analystes rares, coûteux et soumis à une forte pression opérationnelle. Cette dépendance accentue un problème majeur : la surcharge d’alertes, dont une grande partie sont des faux positifs, entraine fatigue décisionnelle et perte de vigilance. Sans parler de la pénibilité de maintenir un catalogue de règles de détection, souvent en retard face à l’évolution des pratiques des attaquants, des vulnérabilités et du panorama de la cybersécurité.

Selon une étude de Vectra, un SOC génère 4 484 alertes chaque jour, dont 67 % ne sont jamais traitées, et 83 % des alertes effectivement analysées se révèlent être des faux positifs.

Par ailleurs, ce modèle peine à passer à l’échelle dans des environnements modernes de plus en plus distribués, mêlant cloud, SaaS, télétravail et multi-cloud, l’augmentation du périmètre accroît le volume et la complexité des alertes bien plus rapidement que la capacité d’analyse, transformant l’ajout de nouvelles briques de sécurité en générateurs de bruit supplémentaires. Les promesses d’automatisation et d’orchestration, souvent mises en avant pour corriger ces limites, restent dans les faits largement partielles et fragiles, l’essentiel des situations complexes nécessitant toujours une validation humaine.

Qu’est ce que le Cyber Threat Hunting ?

Le Cyber Threat Hunting (ou chasse aux menaces cyber) est une mesure de détection qui consiste à chercher activement des signes d’intrusion ou de compromission dans un système ou un réseau, plutôt que d’attendre que des alertes automatiques apparaissent.

Contrairement à la surveillance classique ou à un SOC (Security Operations Center), qui se base principalement sur des alertes générées par des outils et des règles prédéfinies, le threat hunting adopte une approche plus intelligente et ciblée :

1. Proactif : le service cherche en permanence les traces laissées par des attaquants, même s’il n’y a pas encore eu d’alerte.

1. Analytique : il s’appuie sur différent type de sonde (système et réseau) pour identifier des indicateurs de compromission (IoC).

1. Réduction des faux positifs : en se concentrant sur des marqueurs confirmés, le Hunting évite de générer une avalanche d’alertes inutiles.

1. Complémentaire : il complète les services de détection classique de type SOC, en ciblant les attaques sophistiquées ou ciblées que les outils automatiques peuvent manquer.

En résumé, le Cyber Threat Hunting est comme une enquête proactive au sein de vos systèmes, visant à débusquer les menaces avant qu’elles ne causent des dommages trop importants.

Comment fonctionne Huntry ?

Huntry adopte deux approches complémentaires :

Surveillance externe

La surveillance externe permet d’identifier des traces de compromission liées directement aux infrastructures surveillées, mais aussi des indices détectables via des techniques d’OSINT (Open Source Intelligence).

En collectant et en analysant des informations accessibles publiquement – comme des bases de données compromises ou des identifiants circulant sur le web – Huntry est en mesure de relier ces éléments aux périmètres surveillés et ainsi alerter rapidement l’organisation concernée.

Surveillance interne

La surveillance interne repose sur le déploiement de sondes de collecte et d’analyse à des emplacements stratégiques de l’infrastructure. Ces sondes permettent d’identifier des indicateurs de compromission (IoC) et de détecter précocement toute activité suspecte.

Une approche basée sur la recherche d’IoC

Les activités de surveillance orchestrées par Huntry s’appuient sur la détection et l’exploitation d’indicateurs de compromission (IoC).

Ces IoC proviennent de plusieurs sources :

1. depuis notre réseau de honeypots répartis dans le monde,

1. des partenaires stratégiques qui enrichissent la base de renseignements,

1. nos activités de réponse à incident, qui permettent d’identifier de nouveaux marqueurs d’attaques,

1. des activités de veille appliquées par chaque collaborateur.

Qu’est ce qu’un IOC ?

Un indicateurs de compromission (IoC) est une donnée observable qui permet de détecter une intrusion ou une activité malveillante sur un réseau ou un endpoint.

Les IOCs peuvent être de différente nature : Nom de Fichier ou hash, Adresse IP, Nom de domaine, URL, Clé registre, Trace réseau, User-agent, Champs de Certificats, etc.

La valeur ajoutée de Huntry réside dans sa capacité à collecter ces données, les analyser en fonction de leur nature et leur niveau de confiance, et les rechercher aux bons endroits.

Sécurité du déploiement

Une question essentielle se pose : comment garantir que le déploiement du service n’introduit pas de nouvelles failles dans votre SI ?

La surveillance interne nécessite l’installation d’agents et de sondes réseau. Comme pour un EDR ou une solution de gestion des endpoints, il existe théoriquement un risque que ces composants présentent des vulnérabilités.

Pour répondre à cette préoccupation, Huntry s’appuie sur :

1. des technologies open source éprouvées, robustes et largement auditées, plutôt que sur des développements propriétaires,

1. une architecture cloisonnée, avec un pilotage pouvant être déployé directement au sein de l’infrastructure supervisée, dans une enclave réseau dédiée,

Ainsi, même si un incident de sécurité affectait les services de WELAN, il ne pourrait en aucun cas impacter les infrastructures surveillées.