La gestion des informations et des événements de sécurité (SIEM) et l'orchestration, l'automatisation et la réponse de sécurité (SOAR) constituent le cœur opérationnel d'un Centre des opérations de sécurité (SOC) moderne. Dans les environnements commerciaux, leur déploiement est une question de sélection de fournisseur, d'effort d'intégration et de discipline opérationnelle. Dans les environnements militaires et de défense, le même déploiement nécessite de naviguer entre les frontières de classification, les contraintes d'air-gap, le traitement des données à plusieurs niveaux de sécurité (MLS) et les exigences de latence pour lesquelles les outils de sécurité commerciaux n'ont pas été conçus.
Cet article examine ce à quoi ressemble l'intégration SIEM et SOAR dans un contexte militaire — quelles sources de journaux alimentent la plateforme, comment les playbooks de réponse automatisée doivent être conçus pour tenir compte des exigences d'approbation humaine pour les actions à fort impact, et quelles sont les différences architecturales entre les déploiements sur réseaux classifiés et non classifiés.
Fondamentaux SIEM dans le contexte militaire (ANSSI/DGA)
Un SIEM agrège les données de journaux et d'événements de l'ensemble du réseau, les normalise dans un schéma commun et applique des règles de corrélation qui détectent les modèles indiquant des incidents de sécurité. La proposition de valeur est simple : aucune source de journal unique ne raconte l'histoire complète d'une attaque, mais la corrélation des journaux de plusieurs sources — réseau, endpoint, application, identité — peut révéler la chaîne d'attaque complète.
Sources de journaux réseau incluent les journaux de pare-feu (acceptation/refus de connexion, scans de ports, anomalies de géolocalisation), les journaux de routeurs et commutateurs (changements de table de routage, événements spanning tree), les journaux de requêtes DNS (modèles de beaconing, détection d'algorithme de génération de domaines, domaines nouvellement enregistrés), les journaux proxy et les alertes IDS.
Sources de journaux endpoint proviennent des journaux d'événements Windows (événements d'authentification, création de processus, création de tâches planifiées, modifications du registre, exécution PowerShell), des journaux Linux auditd (audit des appels système, élévation de privilèges, accès aux fichiers) et des agents EDR. Dans les environnements classifiés, la sélection EDR est contrainte par le statut d'accréditation.
Selon les exigences de l'ANSSI (Agence nationale de la sécurité des systèmes d'information) et les orientations de la DGA (Direction générale de l'armement), les plateformes SIEM dans les environnements de défense français doivent pouvoir fonctionner sur site sans dépendances cloud. Les trois principales plateformes — Splunk Enterprise, IBM QRadar et Elastic Security — prennent en charge le déploiement air-gapped.
SOAR : conception de playbooks pour les cas d'usage militaires
SOAR étend SIEM en automatisant le flux de travail de réponse — non seulement détecter un incident, mais prendre des mesures. L'étendue des actions automatisées est l'endroit où les déploiements militaires divergent le plus des commerciaux. Dans un SOC commercial, le confinement entièrement automatisé — bloquer une IP au pare-feu, isoler une station de travail du réseau — est acceptable pour les détections à haute confiance. Dans un environnement militaire, les actions de confinement automatisées peuvent avoir des conséquences opérationnelles inacceptables sans examen humain.
Les points d'approbation humaine sont obligatoires dans les playbooks SOAR militaires pour toute action affectant la capacité opérationnelle. La conception du playbook suit un modèle à niveaux : les actions à faible impact (enrichissement d'une alerte avec du renseignement, création d'un ticket, notification de l'analyste d'astreinte) s'exécutent automatiquement. Les actions à impact moyen peuvent être automatisées avec une fenêtre de notification de 15 minutes pour le dépassement de l'opérateur. Les actions à fort impact (isolement d'un segment réseau, révocation d'un compte privilégié, mise en quarantaine d'un endpoint) nécessitent une approbation humaine explicite avant exécution.
Déploiement SIEM en air-gap
Un déploiement SIEM en air-gap — où l'infrastructure SIEM n'a pas de connectivité internet — est la référence pour tout environnement réseau classifié. Cela introduit des défis opérationnels auxquels les déploiements commerciaux ne sont pas confrontés.
Les mises à jour du renseignement sur les menaces ne peuvent pas être récupérées automatiquement depuis les services cloud des fournisseurs. MISP (Malware Information Sharing Platform) ou une plateforme CTI commerciale déployée sur le même réseau isolé doit servir de source de renseignement. Le renseignement sur les menaces provenant de sources externes entre via une diode de données ou une solution inter-domaines (CDS) approuvée — pas via une connexion internet.
Insight clé : Le volume de journaux dans les réseaux militaires est systématiquement sous-estimé lors du dimensionnement SIEM. Un seul réseau avec une journalisation complète des endpoints activée générera 50 à 200 Go de données de journaux par jour. Les modèles de licence SIEM basés sur le volume d'ingestion deviennent très coûteux à cette échelle. Le modèle de licence basé sur les nœuds d'Elastic Security est souvent plus rentable pour les déploiements militaires à fort volume.
Réponse automatisée aux IOC connus : chaîne de détection à isolation
Le cas d'usage d'automatisation SOAR le plus courant dans les environnements militaires est la réponse automatisée aux indicateurs de compromission (IOC) connus. Le flux de travail démontre comment SIEM et SOAR s'intègrent en pratique.
Détection : Le SIEM reçoit un journal de requête DNS du résolveur récursif du réseau. Le domaine interrogé correspond à une entrée dans la base de données IOC (un domaine de commande et contrôle connu associé à un acteur de menace parrainé par un État). La règle de corrélation SIEM se déclenche, générant une alerte avec une sévérité HIGH et une référence à la source IOC et au niveau de confiance.
Enrichissement et approbation : Le playbook SOAR reçoit l'alerte via API, l'enrichit avec le contexte CTI et l'escalade vers un analyste avec un ticket d'incident pré-rempli et une action recommandée. L'analyste confirme l'action d'isolation — le SOAR isole l'endpoint via l'API EDR, place l'IOC sur la liste de blocage du sinkhole DNS et crée une tâche de préservation des preuves. Toutes les actions sont journalisées avec l'identité de l'opérateur, l'horodatage et la référence d'autorisation.
Journalisation tenant compte de la classification dans un SIEM partagé
De nombreuses organisations militaires exploitent plusieurs réseaux à différents niveaux de classification. Dans certaines architectures, un SIEM partagé surveille tous ces réseaux. Cela crée un problème de sécurité multi-niveaux (MLS) : les données de journaux du réseau SECRET ne doivent pas être visibles pour les analystes n'ayant qu'une habilitation non classifiée.
Les approches de ségrégation des données comprennent le déploiement d'instances SIEM séparées par niveau de classification (architecturalement simple, mais coûteux et opérationnellement contraignant), l'utilisation d'un SIEM unique avec des contrôles d'accès basés sur les rôles stricts et le marquage des données (complexe à implémenter correctement, mais opérationnellement efficace), ou une architecture SIEM hiérarchique où les instances SIEM classifiées transmettent des alertes épurées et rétrogradées à un tableau de bord maître non classifié via un CDS unidirectionnel. La journalisation d'audit de toutes les requêtes des analystes contre les index SIEM classifiés est obligatoire.