Question 1

Qu'est-ce qu'une plateforme de Cyber Threat Intelligence (CTI) pour la défense ?

Accepted Answer

Une plateforme CTI de qualité défense collecte, normalise, enrichit et distribue du renseignement sur les menaces — indicateurs de compromission, TTP, profils d'acteurs — aux analystes SOC et à l'outillage défensif en aval. D'un point de vue architectural, elle combine des flux STIX/TAXII, des collecteurs OSINT (incluant la surveillance de Telegram et du dark web), un pipeline d'enrichissement et des intégrations avec SIEM/SOAR pour une action automatisée.

Question 2

En quoi SIEM et SOAR diffèrent-ils, et pourquoi les deux sont-ils nécessaires sur les réseaux militaires ?

Accepted Answer

Le SIEM collecte et corrèle les logs pour détecter les incidents ; le SOAR orchestre et automatise les playbooks de réponse une fois l'incident identifié. Sur les réseaux militaires, l'intégration doit en outre gérer les frontières de classification, les segments air-gapped et les contraintes de latence des solutions cross-domain — les SIEM/SOAR cloud-first du marché conviennent rarement sans modification.

Question 3

Qu'est-ce qu'un SBOM et pourquoi les achats de défense l'exigent-ils désormais ?

Accepted Answer

Un Software Bill of Materials est un inventaire lisible par machine de chaque composant, bibliothèque et dépendance d'un produit logiciel livré. Les achats de défense US et UE imposent de plus en plus un SBOM au format SPDX ou CycloneDX à chaque livraison afin que les vulnérabilités de la chaîne d'approvisionnement (classe Log4Shell) puissent être tracées et corrigées sur l'ensemble de la flotte.

Question 4

Comment fonctionne la détection d'intrusion pour les systèmes OT et ICS militaires ?

Accepted Answer

La technologie opérationnelle — services de base, bus de véhicules, contrôleurs de systèmes d'armes — utilise des protocoles (Modbus, DNP3, CAN, MIL-STD-1553) que les IDS IT traditionnels n'analysent pas. La détection d'intrusion OT militaire s'appuie sur des capteurs passifs conscients des protocoles, une modélisation de référence des schémas de commandes attendus, et une intégration étroite avec le SIEM en amont plutôt que sur un scan actif qui pourrait perturber des équipements critiques pour la sécurité.

Question 5

À quoi ressemble le DevSecOps dans un pipeline logiciel de défense ?

Accepted Answer

Le DevSecOps pour la défense intègre SAST, SCA, scan de secrets et génération de SBOM dans chaque exécution CI, puis ajoute du stockage d'artefacts conscient de la classification et des releases signées pour l'accréditation. L'objectif est de satisfaire les exigences d'authority-to-operate (ATO) et d'accréditation OTAN équivalentes sans descendre sous la cadence d'itération qu'exige le logiciel opérationnel.

Cybersécurité défense