Aller au contenu

Menaces réseau, détection et réponse opérationnelle

Relier attaques réseau, détection, triage, réponse à incident, DDoS et exploitation SOC sans transformer le site en manuel offensif.

Chapitre 38 Intermédiaire · Expert 24 pages

Objectif du chapitre

Relier attaques réseau, détection, triage, réponse à incident, DDoS et exploitation SOC sans transformer le site en manuel offensif.

Notions à couvrir

reconnaissance, scan, fingerprinting.
analyse de ports.
écoute réseau.
ARP spoofing, DHCP rogue, DNS spoofing.
evil twin.
VLAN hopping.
SYN flood, RST injection.
request smuggling, Slowloris.
DNS tunneling.
BGP hijack.
DDoS volumétrique, protocolaire, applicatif.
réflexion, amplification, botnets.
IDS, IPS, NDR.
Zeek, Suricata.
NetFlow, sFlow, IPFIX.
SIEM.
qualification, confinement, rétablissement, post-mortem.

Sous-sections

Reconnaître les signaux faibles [Intermédiaire]

Identifier scans, pics DNS, anomalies de flux et ports.
Distinguer bruit Internet, erreur et attaque probable.
Relier alerte réseau et identité machine.

Détecter avec plusieurs sources [Expert]

Combiner IDS/IPS, NDR, NetFlow, DNS, proxy, pare-feu et EDR.
Utiliser Zeek et Suricata.
Construire des baselines sans masquer les anomalies.

Répondre et résister [Expert]

Qualifier, contenir, coordonner et communiquer.
Traiter DDoS avec CDN, anycast, scrubbing et dégradation contrôlée.
Faire post-mortem et durcir.

Exemples et ateliers

Lire un résultat Nmap côté défenseur.
Analyser une alerte Suricata simplifiée.
Écrire un runbook DDoS minimal.

Pièges classiques

Déployer IDS sans tuning.
Ne surveiller que le périmètre.
Découvrir les contacts opérateurs pendant l’incident.

À ne pas confondre

Détection et prévention.
Alerte et incident confirmé.
DDoS et panne applicative.
NDR et EDR.

Points à vérifier

à vérifier : exemples de détection défensifs.
à vérifier : cadre légal scans/captures.