Visitez notre kiosque à CANSEC les 27-28 mai
Recherches
·
15.06.2020

Un centre opérationnel de sécurité haute performance pour la détection d'intrusion (anglais)

Icone PDF A High Performance System for Intrusion Detection and Reaction Management

Face aux limitations des systèmes de détection d'intrusion traditionnels, les chercheurs de l'Université de Franche-Comté ont développé le SOCBox, un centre opérationnel de sécurité innovant capable de détecter des attaques coordonnées que les IDS classiques ne peuvent identifier.

Le SOCBox se distingue par sa capacité à collecter et analyser des données provenant de sources hétérogènes: pare-feu, routeurs, serveurs, postes de travail et autres systèmes de détection. Cette approche holistique lui confère une vue globale de la sécurité du réseau, permettant de corréler les événements et de détecter des schémas d'intrusion complexes.

L'architecture repose sur quatre piliers: une base de connaissances (vulnérabilités, politiques de sécurité, statut des systèmes), des agents de collecte de données modulaires, un moteur de corrélation sophistiqué utilisant des "contextes" pour analyser les séquences d'événements, et un système de reporting avancé.

Le système a été évalué en conditions réelles sur un réseau de fournisseur d'accès Internet gérant plus de 50 000 abonnés. Les résultats sont probants: le SOCBox détecte avec succès les attaques distribuées, les tentatives de force brute, les scans de ports, et même les comportements anormaux définis par les administrateurs. Lors d'attaques massives par flooding, il continue de détecter les intrusions alors que Snort, utilisé comme référence, sature.

La comparaison de performance révèle que le SOCBox utilise significativement moins de ressources que Snort tout en générant des alertes plus pertinentes. Là où Snort produit 100 000 alertes pour 100 000 pings, le SOCBox en génère environ 100 en fusionnant les événements similaires. Cette capacité de compactage d'alertes facilite considérablement le travail des administrateurs de sécurité.

Un atout majeur du SOCBox est sa capacité à ignorer les tentatives d'intrusion vouées à l'échec grâce à sa connaissance de l'état réel des systèmes. Une attaque web contre un serveur DNS qui n'exécute pas de serveur web sera automatiquement filtrée, réduisant le bruit et permettant aux équipes de se concentrer sur les menaces réelles.

Articles
·
13.05.2026
Le mythe de la « compensation » des investissements en cybersécurité
Sauvegarde des données: si nous payons pour une meilleure détection et réponse aux menaces, cela ne devrait-il pas réduire notre exposition aux incidents nécessitant une récupération ?
Articles
·
14.04.2026
14 avril 2026 - Le gouvernement du Canada lance le niveau 1 du Programme canadien de certification en cybersécurité
Ce jour 14 avril 2026, le gouvernement fédéral canadien lance officiellement la certification CPCSC (PCCC) Niveau 1 . Elle sera exigée dans les contrats fédéraux à partir de l’été 2026. CPCSC Niveau 1 est composée de 13 contrôles.

Votre sécurité mérite une conversation

Contactez-nous
AccueilPlateforme XDRStreamEnclaveEDRMDRRéponse aux incidentsCertification CMMCCertification PCCCPolitique de confidentialitéPolitique des cookies
PartenairesÀ proposCarrièresBlogueVidéos et webinairesOutilsLivres blancsRecherchesStratégie de cybersécuritéTest d'intrusionContactez-nous
Solutions de cybersécurité de pointes adaptées aux organisations qui évoluent dans des environnements complexes.
Logo de STREAMSCAN avec le slogan '100% pensé pour optimiser'.
StreamScan a besoin des informations que vous nous fournissez pour vous envoyer notre infolettre. Vous pouvez vous désabonner de nos communications à tout moment. Pour plus d'informations, consultez notre politique de confidentialité.