Pourquoi les outils de sécurité ne suffisent plus face aux angles morts de la détection

Robert Lackey, Senior Staff Product Security Engineer chez Cribl partage son analyse du sujet.

Cette zone grise, entre ce que la technologie détecte et ce qu’elle laisse passer, constitue un risque direct pour l’entreprise. Elle prolonge le temps de présence des attaquants, accroît l’impact potentiel et expose les organisations à des dommages financiers, opérationnels et réputationnels. C’est précisément dans cet espace que s’inscrit la chasse aux menaces, ou threat hunting. Plutôt que de se limiter au traitement des alertes existantes, cette approche part d’une question simple : et si un incident s’était déjà produit sans avoir été détecté?

Le threat hunting est souvent perçu comme une fonction spécialisée. Il s’agit en réalité d’une approche qui gagne à irriguer l’ensemble de la fonction sécurité, fondée sur une remise en question permanente. Plutôt que de supposer que les systèmes sont sécurisés, les hunters partent du principe que des anomalies peuvent déjà exister sans être visibles.

Les threat hunters expérimentés vont plus loin en cherchant non seulement à comprendre ce qui s’est passé, mais aussi pourquoi. Ils étudient les techniques offensives, simulent des attaques et analysent les incidents passés afin d’identifier les moments où une détection plus précoce aurait été possible.

Diffuser cette approche à l’ensemble de la fonction sécurité, plutôt que de l’isoler dans une seule équipe, permet de faire évoluer plus efficacement les pratiques de threat hunting. Dans la pratique, le développement des réflexes de threat hunting passe souvent par la reproduction d’attaques dans un environnement contrôlé. L’extraction d’identifiants constitue à ce titre un point de départ pertinent. L’exécution d’un outil comme Mimikatz en laboratoire permet d’observer précisément les signaux générés. L’enjeu ne se limite pas à l’identification d’indicateurs, mais à la compréhension du contexte dans lequel les attaques apparaissent. Cette approche permet de reconnaître plus rapidement des schémas malveillants en conditions réelles.

Robert Lackey, Senior Staff Product Security Engineer chez Cribl

Sans une vision claire de ce qui relève du “normal”, il devient beaucoup plus difficile d’identifier les anomalies. L’établissement d’une base de référence constitue donc un préalable essentiel. Dans la pratique, les organisations les plus matures s’appuient sur une compréhension progressive des comportements attendus pour faire émerger les écarts. À mesure que cette connaissance se structure, les anomalies deviennent plus lisibles et plus exploitables.

Face à une anomalie, l’enjeu n’est pas de la qualifier immédiatement, mais d’en comprendre le contexte. Il s’agit d’identifier l’origine de l’activité, les systèmes impliqués, ainsi que les événements qui se produisaient au même moment, afin d’évaluer si le comportement s’inscrit dans les bases établies.

L’investigation s’élargit ensuite progressivement. Il devient alors pertinent de vérifier si le même processus apparaît ailleurs, si une adresse IP est récurrente ou si des signes de déplacement latéral sont observables. Toutes les anomalies ne sont pas malveillantes, ni exploitables en règle de détection, ni même utiles immédiatement. Mais chaque analyse contribue à renforcer la maturité du dispositif de sécurité.

Dans ce contexte, le principal défi rencontré n’est pas le manque de données, mais leur surabondance. Les informations sont souvent dispersées, ce qui rend leur accès et leur analyse complexes. Pour être efficace, le threat hunting doit donc reposer sur des signaux accessibles et pertinents : télémétrie des endpoints, trafic réseau, enregistrements d’authentification et activité DNS. La capacité à les enrichir et à les corréler est essentielle pour soutenir une investigation rapide. L’enjeu n’est pas de collecter davantage, mais de rendre l’existant réellement exploitable.

Le threat hunting ne relève pas d’un exercice ponctuel, mais d’une discipline qui s’inscrit dans la durée et s’intègre progressivement aux opérations quotidiennes. À mesure que l’expérience progresse, les analystes formulent des hypothèses plus précises, reconnaissent les schémas plus rapidement et identifient des risques jusqu’alors invisibles.

Cette pratique renforce la résilience des organisations en incitant les équipes à rechercher activement ce que les outils peuvent avoir manqué. L’enjeu est clair : détecter plus tôt, réduire l’incertitude et reprendre le contrôle sur des risques qui resteraient autrement invisibles, sans jamais considérer l’absence d’alerte comme une preuve de sécurité.

Ressources complémentaires sur le sujet sur iTPro.fr

Comprendre le SOC : votre bouclier essentiel en cybersécurité

L’IA agentique, nouveau pilier de la résilience numérique des RSSI