Règles simples pour détecter les anomalies réseau

Théophane Villedieu

Même des règles simples, correctement calibrées, permettent de détecter un grand nombre d’activités anormales sur un réseau. L’intérêt est d’avoir des signaux précoces et compréhensibles par les équipes opérationnelles. Cet article propose un ensemble de règles de base et les métriques associées.

Détecter les volumes anormaux

Surveillez les variations de volume entrants/sortants par hôte et par service. Les pics inexpliqués peuvent indiquer exfiltration ou attaque par déni de service. Utilisez des fenêtres comparatives (par rapport à la moyenne des 7 derniers jours) pour réduire les faux positifs.

Règle exemple : Volume sortant d’un hôte > 5x la moyenne hebdomadaire pendant 10 minutes → alerte.

Connexions horizontales (mouvements latéraux)

Un hôte qui contacte simultanément de nombreux autres hôtes internes peut indiquer un mouvement latéral. Calibrez selon le rôle de l’hôte (serveur vs workstation) et le profil attendu.

Règle exemple : Plus de 20 connexions internes vers hôtes distincts en 15 minutes par une workstation → alerte.

Ports inhabituels et scans de ports

Des connexions vers des ports rares ou des tentatives de balayage indiquent une reconnaissance hostile. Maintenez une liste des ports normaux par service et alertez sur les écarts.

Accès anormaux et anomalies d’authentification

Les tentatives d’authentification échouées, les connexions depuis des géolocalisations inhabituelles ou l’usage simultané d’un compte depuis plusieurs endroits sont des signaux forts.

Exfiltration par petits paquets (low-and-slow)

La détection d’exfiltration lente nécessite des règles sur la persistance d’une connexion sortante vers un endpoint inconnu et sur l’accumulation de données sur une période prolongée.

Maintenance des règles et réduction du bruit

Les règles doivent être revues régulièrement. Étiquetez les faux positifs et ajustez les seuils; déployez des exceptions documentées pour les comportements légitimes.

Mesure d’efficacité

Indicateurs :

  • taux de détection
  • taux de faux positifs
  • temps moyen de détection Un tableau de bord simple aide à suivre l’amélioration des règles.

Conclusion

Des règles simples et bien calibrées sont un excellent point de départ pour une détection réseau efficace. Elles doivent être accompagnées d’un processus de revue et d’amélioration continue pour rester pertinentes.