• Focus Métier

Analyste Sécurité

Focus métier

Analyste Sécurité, c’est quoi ?

Le métier d’Analyste Sécurité consiste à surveiller un système d’information (SI) à l’aide d’outils permettant de remonter des alertes de sécurité correspondantes à des attaques informatiques ou des comportements anormaux. 

Le but de l’Analyste est d’intervenir le plus rapidement possible en cas d’attaques afin de limiter les dégâts et proposer des solutions/accompagner les clients pour la résolution des incidents de sécurité. 

Les analystes sont généralement répartis en trois catégories/niveaux (tâches non exhaustives) :

  • Le niveau 1 : Il prend en compte les alertes sur le SIEM et fait une analyse/qualification en fonction de fiches reflexes. Si l’investigation est trop complexe ou qu’il s’agit effectivement d’un incident avéré, il escalade au niveau 2. 
  • Le niveau 2 : Il traite les investigations qui lui sont escaladées. Il met en place des règles de détection et les maintient à jour. Si l’investigation a besoin d’une analyse poussée avec une réponse à incident, il escalade au niveau 3. 
  • Le niveau 3 : Généralement, ce sont des Analystes Sécurité avec plus de bagage technique et plus d’expérience. Leurs missions sont multiples mais ils réalisent les mêmes tâches que celles du niveau 2, ils accompagnent les équipes sur le plan technique et procèdent aux investigations Forensic/Réponse à incident quand c’est nécessaire.

Il est impératif que les Analystes Sécurité soient au fait de l’actualité. Pour ce faire, une veille quotidienne doit être effectuée afin de prendre connaissance des nouvelles menaces ainsi que de nouveaux éléments permettant la mise en place de règles de sécurité. 

Prenons le cas d’une personne qui reçoit un mail de phishing contenant une pièce jointe correspondant à une fausse facture. La personne ne va pas s’apercevoir de la menace et va donc ouvrir la pièce jointe afin d’en lire son contenu. Ce document malveillant va alors déployer un Ransomware sur l’ordinateur de la victime. 

L’objectif de l’analyste sera dans un premier temps de détecter, identifier et qualifier la menace. 

L’analyste de niveau 1 va observer des comportements sur le poste de la victime correspondant au chiffrement de fichiers. Il va très rapidement pouvoir escalader l’incident aux Analystes Sécurité de niveaux 2 en mettant une criticité critique pour qualifier l’incident, dans le but que celui-ci soit traité en priorité par l’équipe de niveau 2. 

L’équipe isolera le poste de la victime le plus rapidement possible afin que la menace ne se propage pas sur tout le SI, ce qui causerait d’importants dommages. 

Généralement les SI impactés et détectés trop tard provoquent une perte financière considérable car l’activité de l’entreprise se voit très souvent arrêtée. De plus, tout le SI devra être remis en place. 

Une fois le poste isolé, l’Analyste Sécurité devra donc investiguer afin de comprendre comment l’attaque a eu lieu et comment le poste a pu se faire infecter. 

Le niveau 3 peut également intervenir sur cette partie dans le but d’effectuer des recherches précises, voir lancer une investigation Forensic. 

Via ses outils, l’Analyste Sécurité se rendra compte qu’avant l’incident, l’utilisateur a consulté un mail. Il devra donc l’identifier et vérifier si d’autres personnes sur le SI ont reçu le même mail pour le bloquer. Il devra également regarder si des charges malveillantes ont été téléchargées depuis des serveurs distants et effectuer des règles de détection et réaliser des demandes de blocage afin d’éviter que la charge soit de nouveau installée sur un poste du SI. 

Le cas de figure mentionné ci-dessus est un exemple, n’est pas exhaustif et a pour objectif d’illustrer les actions globales que peuvent mener les Analystes Sécurité. 

 

Et au quotidien, l’Analyste Sécurité ?

Au quotidien, s’il n’y a pas d’astreinte en place, l’Analyste Sécurité traite les alertes de la veille au soir en priorisant les tâches en fonction de la menace. 

Une fois cela fait, une veille informatique est effectuée. Le but est de voir si de nouvelles menaces ont été identifiées, si des éléments tels que des noms de domaines, des adresses IPs… sont communiquées afin de vérifier si l’on retrouve ces mêmes éléments dans les logs. 

Des règles de détection peuvent également être réalisées afin d’avoir une surveillance active sur les éléments communiqués. 

L’analyste Sécurité va donc, dans l’attente d’une escalade, être positionné sur différents projets. 

Ces derniers peuvent être d’accompagner les métiers avec la création de règles sur des éléments sensibles déterminé avec eux. Ils peuvent également tester et donc proposer des solutions de sécurité si un manque est identifié. 

Le métier d’Analyste Sécurité est très vaste et comprend une multitude de composantes techniques et humaines. Le travail en équipe ainsi que des qualités en communication sont indispensables. 

Sur le plan technique, il faut aimer « toucher à tout » et avoir une vision d’ensemble de la sécurité informatique, de solides bases en réseau, une très bonne compréhension de la méthodologie des attaques ainsi que des différents systèmes pouvant être impactés. Ce métier demande d’être en mesure de travailler sous un stress intense comme cela peut arriver lors d’attaques majeurs sur des SI et lors de cellules de crises. 

Il n’y a pas une journée sans que l’on apprenne quoi que ce soit dans ce métier !