CyberGlossary

Défense et opérations

Contrôles de détection

Aussi appelé: Contrôles détectifs, Contrôles de surveillance

Définition

Mesures de sécurité conçues pour identifier et alerter sur une activité malveillante, une violation de politique ou une anomalie après son apparition dans l'environnement.

Les contrôles de détection sont des dispositifs qui découvrent et signalent les incidents plutôt que de les bloquer. Ils comprennent les règles de corrélation SIEM, les sondes IDS, la télémétrie EDR, la surveillance de l'intégrité des fichiers, les journaux d'audit et l'analyse d'anomalies. Leur valeur réside dans la réduction du temps de séjour entre la compromission et la découverte, l'alimentation de la réponse à incident et la production de preuves forensiques. Ils complètent les contrôles préventifs : lorsque la prévention échoue, la détection garantit que l'échec ne passe pas inaperçu. Leur efficacité se mesure par la couverture de MITRE ATT&CK, la fiabilité des alertes et des indicateurs tels que le MTTD.

Exemples

  • Règle SIEM déclenchée lorsqu'un compte de service ouvre une session interactive pour la première fois.
  • EDR alertant sur une exécution PowerShell suspecte enchaînée depuis un document Word.

Termes liés