Docs Assistance

English
Deutsch
Español – América Latina
Français
Indonesia
Italiano
Português – Brasil
中文 – 简体
日本語
한국어

Nous contacter Commencer l'essai gratuit

Cette page a été traduite par l'API Cloud Translation.

Implémenter une cyberdéfense préventive

Last reviewed 2025-02-05 UTC

Ce principe du pilier de sécurité du framework d'architectureGoogle Cloud fournit des recommandations pour créer des programmes de cyberdéfense robustes dans le cadre de votre stratégie de sécurité globale.

Ce principe met l'accent sur l'utilisation de l'intelligence sur les menaces pour guider de manière proactive vos efforts dans les principales fonctions de cyberdéfense, comme défini dans The Defender's Advantage: A guide to activating cyber defense.

Présentation des principes

Lorsque vous défendez votre système contre les cyberattaques, vous disposez d'un avantage important et sous-utilisé par rapport aux pirates informatiques. Comme le fondateur de Mandiant l'affirme, "personne d'autre ne connaît mieux que vous votre entreprise, vos systèmes, votre topologie et votre infrastructure. C'est un avantage incroyable." Pour vous aider à exploiter cet avantage inné, ce document fournit des recommandations sur les pratiques de cyberdéfense proactives et stratégiques qui sont mappées sur le framework "The Defender's Advantage".

Recommandations

Pour implémenter une cyberdéfense préventive pour vos charges de travail cloud, tenez compte des recommandations des sections suivantes:

Intégrer les fonctions de cyberdéfense
Utiliser la fonction Intelligence dans tous les aspects de la cyberdéfense
Comprendre et exploiter l'avantage du défenseur
Validez et améliorez vos défenses en continu
Gérer et coordonner les efforts de cyberdéfense

Intégrer les fonctions de cyberdéfense

Cette recommandation s'applique à tous les domaines d'action.

Le framework Defender's Advantage identifie six fonctions essentielles de la cyberdéfense: Intelligence, Détection, Réponse, Validation, Recherche et Mission Control. Chaque fonction se concentre sur une partie unique de la mission de cyberdéfense, mais ces fonctions doivent être bien coordonnées et travailler ensemble pour assurer une défense efficace. Concentrez-vous sur la création d'un système robuste et intégré dans lequel chaque fonction soutient les autres. Si vous avez besoin d'une approche par étapes pour l'adoption, suivez l'ordre suggéré ci-dessous. En fonction de votre niveau de maturité cloud actuel, de la topologie des ressources et du paysage de menaces spécifique, vous pouvez donner la priorité à certaines fonctions.

Intelligence: la fonction Intelligence guide toutes les autres fonctions. Comprendre le paysage des menaces, y compris les pirates informatiques les plus probables, leurs tactiques, techniques et procédures, ainsi que l'impact potentiel, est essentiel pour hiérarchiser les actions dans l'ensemble du programme. La fonction Intelligence est responsable de l'identification des personnes concernées, de la définition des exigences en matière d'intelligence, de la collecte, de l'analyse et de la diffusion des données, de l'automatisation et de la création d'un profil de cybermenace.
Détection et réponse: ces fonctions constituent le cœur de la défense active, qui consiste à identifier et à traiter les activités malveillantes. Ces fonctions sont nécessaires pour agir sur les informations recueillies par la fonction d'intelligence. La fonction de détection nécessite une approche méthodique qui aligne les détections sur les TTP des pirates informatiques et garantit une journalisation robuste. La fonction de réponse doit se concentrer sur le tri initial, la collecte de données et la résolution des incidents.
Valider: la fonction de validation est un processus continu qui garantit que votre écosystème de contrôle de la sécurité est à jour et fonctionne comme prévu. Cette fonction garantit que votre organisation comprend la surface d'attaque, sait où se trouvent les failles et mesure l'efficacité des contrôles. La validation de la sécurité est également un élément important du cycle de vie de l'ingénierie de détection. Elle doit être utilisée pour identifier les lacunes de détection et créer de nouvelles détections.
Hunt (Recherche) : la fonction Hunt consiste à rechercher de manière proactive les menaces actives dans un environnement. Cette fonction doit être implémentée lorsque votre organisation atteint un niveau de maturité de référence dans les fonctions de détection et de réponse. La fonction de recherche étend les fonctionnalités de détection et aide à identifier les lacunes et les points faibles des contrôles. La fonction de recherche doit être basée sur des menaces spécifiques. Cette fonctionnalité avancée bénéficie d'une base de fonctionnalités d'intelligence, de détection et de réponse robustes.
Mission Control: la fonction Mission Control sert de hub central qui connecte toutes les autres fonctions. Cette fonction est responsable de la stratégie, de la communication et des actions décisives dans l'ensemble de votre programme de cyberdéfense. Il garantit que toutes les fonctions fonctionnent ensemble et qu'elles sont alignées sur les objectifs commerciaux de votre organisation. Vous devez vous concentrer sur la compréhension claire de l'objectif de la fonction Mission Control avant de l'utiliser pour connecter les autres fonctions.

Utiliser la fonction Intelligence dans tous les aspects de la cyberdéfense

Cette recommandation s'applique à tous les domaines d'action.

Cette recommandation met en avant la fonction de renseignement comme élément essentiel d'un programme de cyberdéfense efficace. La Threat Intelligence fournit des informations sur les acteurs de la menace, leurs modes opératoires et les indicateurs de compromission (IOC). Ces connaissances doivent guider et hiérarchiser les actions dans toutes les fonctions de cyberdéfense. Une approche basée sur l'intelligence vous aide à aligner vos défenses sur les menaces les plus susceptibles d'affecter votre organisation. Cette approche permet également d'allouer et de hiérarchiser efficacement les ressources.

Les produits et fonctionnalités Google Cloud suivants vous aident à tirer parti de l'intelligence sur les menaces pour guider vos opérations de sécurité. Utilisez ces fonctionnalités pour identifier et hiérarchiser les menaces, les failles et les risques potentiels, puis planifier et implémenter les actions appropriées.

Google Security Operations (Google SecOps) vous aide à stocker et à analyser les données de sécurité de manière centralisée. Utilisez Google SecOps pour mapper les journaux dans un modèle commun, les enrichir et les associer à des chronologies afin d'obtenir une vue complète des attaques. Vous pouvez également créer des règles de détection, configurer la mise en correspondance d'indicateurs de compromission et effectuer des activités de recherche des menaces. La plate-forme fournit également des détections sélectionnées, qui sont des règles prédéfinies et gérées pour vous aider à identifier les menaces. Google SecOps peut également s'intégrer à l'intelligence de première ligne de Mandiant. Google SecOps intègre de manière unique une IA de pointe, ainsi que les renseignements sur les menaces de Mandiant et de Google VirusTotal. Cette intégration est essentielle pour évaluer les menaces, identifier les personnes qui ciblent votre organisation et comprendre l'impact potentiel.
Security Command Center Enterprise, optimisé par l'IA de Google, permet aux professionnels de la sécurité d'évaluer, d'examiner et de répondre efficacement aux problèmes de sécurité dans plusieurs environnements cloud. Les professionnels de la sécurité qui peuvent bénéficier de Security Command Center incluent les analystes du centre d'opérations de sécurité (SOC), les analystes de la vulnérabilité et de la posture, ainsi que les responsables de la conformité. Security Command Center Enterprise enrichit les données de sécurité, évalue les risques et hiérarchise les failles. Cette solution fournit aux équipes les informations dont elles ont besoin pour traiter les failles à haut risque et corriger les menaces actives.
Chrome Enterprise Premium offre une protection contre les menaces et la compromission des données, qui permet de protéger les utilisateurs contre les risques d'exfiltration et d'empêcher les logiciels malveillants d'accéder aux appareils gérés par l'entreprise. Chrome Enterprise Premium offre également une visibilité sur les activités dangereuses ou potentiellement dangereuses qui peuvent se produire dans le navigateur.
La surveillance du réseau, via des outils tels que Network Intelligence Center, offre une visibilité sur les performances du réseau. La surveillance du réseau peut également vous aider à détecter des schémas de trafic inhabituels ou des volumes de transfert de données susceptibles d'indiquer une attaque ou une tentative d'exfiltration de données.

Comprendre et exploiter l'avantage du défenseur

Cette recommandation s'applique à tous les domaines d'action.

Comme indiqué précédemment, vous avez un avantage sur les pirates informatiques lorsque vous avez une compréhension approfondie de votre entreprise, de vos systèmes, de votre topologie et de votre infrastructure. Pour tirer parti de cet avantage, utilisez ces données sur vos environnements lors de la planification de la cyberdéfense.

Google Cloud fournit les fonctionnalités suivantes pour vous aider à obtenir une visibilité proactive afin d'identifier les menaces, de comprendre les risques et de réagir rapidement pour atténuer les dommages potentiels:

Chrome Enterprise Premium vous aide à renforcer la sécurité des appareils professionnels en protégeant les utilisateurs contre les risques d'exfiltration. Il étend les services de protection des données sensibles au navigateur et empêche les logiciels malveillants. Il propose également des fonctionnalités telles que la protection contre les logiciels malveillants et l'hameçonnage pour éviter l'exposition à des contenus dangereux. De plus, elle vous permet de contrôler l'installation d'extensions pour éviter les extensions dangereuses ou non vérifiées. Ces fonctionnalités vous aident à établir une base sécurisée pour vos opérations.
Security Command Center Enterprise fournit un moteur de gestion des risques continu qui offre une analyse et une gestion des risques complètes et continues. La fonctionnalité du moteur de risque enrichit les données de sécurité, évalue les risques et hiérarchise les failles pour vous aider à résoudre rapidement les problèmes. Security Command Center permet à votre organisation d'identifier de manière proactive les points faibles et de mettre en place des mesures d'atténuation.
Google SecOps centralise les données de sécurité et fournit des journaux enrichis avec des chronologies. Cela permet aux défenseurs d'identifier de manière proactive les compromissions actives et d'adapter les défenses en fonction du comportement des pirates informatiques.
La surveillance du réseau permet d'identifier les activités réseau irrégulières qui peuvent indiquer une attaque et fournit des indicateurs précoces que vous pouvez utiliser pour prendre des mesures. Pour protéger de manière proactive vos données contre le vol, surveillez en permanence l'exfiltration de données et utilisez les outils fournis.

Validez et améliorez vos défenses en continu

Cette recommandation s'applique à tous les domaines d'action.

Cette recommandation met l'accent sur l'importance des tests ciblés et de la validation continue des contrôles afin de comprendre les points forts et les points faibles de l'ensemble de la surface d'attaque. Cela inclut la validation de l'efficacité des contrôles, des opérations et du personnel à l'aide de méthodes telles que les suivantes:

Tests d'intrusion
Exercices d'équipe rouge-bleue et d'équipe violette
Simulations

Vous devez également rechercher activement des menaces et utiliser les résultats pour améliorer la détection et la visibilité. Utilisez les outils suivants pour tester et valider en permanence vos défenses contre les menaces réelles:

Security Command Center Enterprise fournit un moteur d'analyse des risques en continu pour évaluer les failles et hiérarchiser les corrections, ce qui permet d'évaluer en continu votre posture de sécurité globale. En hiérarchisant les problèmes, Security Command Center Enterprise vous aide à vous assurer que les ressources sont utilisées efficacement.
Google SecOps propose des détections de menaces et sélectionnées qui vous permettent d'identifier de manière proactive les failles de vos contrôles. Cette fonctionnalité permet de tester en continu et d'améliorer votre capacité à détecter les menaces.
Chrome Enterprise Premium fournit des fonctionnalités de protection des données et de défense contre les menaces qui peuvent vous aider à faire face aux menaces nouvelles et évolutives, et à mettre à jour en continu vos défenses contre les risques d'exfiltration et les logiciels malveillants.
Cloud Next Generation Firewall (Cloud NGFW) fournit une surveillance du réseau et de l'exfiltration de données. Ces fonctionnalités peuvent vous aider à valider l'efficacité de votre posture de sécurité actuelle et à identifier les faiblesses potentielles. La surveillance de l'exfiltration de données vous aide à valider la solidité des mécanismes de protection des données de votre organisation et à apporter des ajustements proactifs si nécessaire. Lorsque vous intégrez les résultats des menaces de Cloud NGFW à Security Command Center et Google SecOps, vous pouvez optimiser la détection des menaces basée sur le réseau, optimiser la réponse aux menaces et automatiser les playbooks. Pour en savoir plus sur cette intégration, consultez Unifier vos défenses cloud: Security Command Center et Cloud NGFW Enterprise.

Gérer et coordonner les efforts de cyberdéfense

Cette recommandation s'applique à tous les domaines d'action.

Comme décrit précédemment dans la section Intégrer les fonctions de cyberdéfense, la fonction Mission Control interconnecte les autres fonctions du programme de cyberdéfense. Cette fonction permet de coordonner et de gérer de manière unifiée l'ensemble du programme. Cela vous aide également à vous coordonner avec d'autres équipes qui ne travaillent pas sur la cybersécurité. La fonction Mission Control favorise l'autonomisation et la responsabilisation, facilite l'agilité et l'expertise, et favorise la responsabilité et la transparence.

Les produits et fonctionnalités suivants peuvent vous aider à implémenter la fonctionnalité Mission Control:

Security Command Center Enterprise sert de hub central pour coordonner et gérer vos opérations de cyberdéfense. Il rassemble des outils, des équipes et des données, ainsi que les fonctionnalités de réponse Google SecOps intégrées. Security Command Center offre une visibilité claire sur l'état de sécurité de votre organisation et permet d'identifier les erreurs de configuration de sécurité dans différentes ressources.
Google SecOps fournit une plate-forme permettant aux équipes de répondre aux menaces en mappant les journaux et en créant des chronologies. Vous pouvez également définir des règles de détection et rechercher des menaces.
Google Workspace et Chrome Enterprise Premium vous aident à gérer et à contrôler l'accès des utilisateurs finaux aux ressources sensibles. Vous pouvez définir des contrôles d'accès précis en fonction de l'identité de l'utilisateur et du contexte d'une requête.
La surveillance du réseau fournit des insights sur les performances des ressources réseau. Vous pouvez importer des insights de surveillance du réseau dans Security Command Center et Google SecOps pour une surveillance et une corrélation centralisées par rapport à d'autres points de données basés sur une chronologie. Cette intégration vous aide à détecter et à gérer les modifications potentielles de l'utilisation du réseau causées par une activité malveillante.
La surveillance de l'exfiltration des données permet d'identifier les incidents de perte de données potentiels. Grâce à cette fonctionnalité, vous pouvez mobiliser efficacement une équipe de gestion des incidents, évaluer les dommages et limiter l'exfiltration de données supplémentaire. Vous pouvez également améliorer les règles et les commandes actuelles pour assurer la protection des données.

Récapitulatif produit

Le tableau suivant liste les produits et fonctionnalités décrits dans ce document, et les met en correspondance avec les recommandations et les fonctionnalités de sécurité associées.

Google Cloud produit	Recommandations applicables
Google SecOps	Utilisez la fonction Intelligence dans tous les aspects de la cyberdéfense : elle permet de rechercher des menaces et de faire correspondre des IoC, et s'intègre à Mandiant pour une évaluation complète des menaces. Comprendre et exploiter l'avantage du défenseur: fournit des détections sélectionnées et centralise les données de sécurité pour identifier de manière proactive les cas de compromission. Validez et améliorez vos défenses en continu : permet de tester et d'améliorer en continu les fonctionnalités de détection des menaces. Gérer et coordonner les efforts de cyberdéfense via Mission Control: fournit une plate-forme pour la réponse aux menaces, l'analyse des journaux et la création de chronologie.
Security Command Center Enterprise	Utilisez la fonction Intelligence dans tous les aspects de la cyberdéfense : elle utilise l'IA pour évaluer les risques, hiérarchiser les failles et fournir des insights pratiques pour les corriger. Comprendre et exploiter l'avantage du défenseur: offre une analyse des risques complète, une hiérarchisation des failles et une identification proactive des points faibles. Validez et améliorez vos défenses en continu: fournit une évaluation continue de la posture de sécurité et une hiérarchisation des ressources. Gérer et coordonner les efforts de cyberdéfense via Mission Control: sert de hub central pour gérer et coordonner les opérations de cyberdéfense.
Chrome Enterprise Premium	Utilisez la fonctionnalité Intelligence dans tous les aspects de la cyberdéfense : elle protège les utilisateurs contre les risques d'exfiltration, empêche les logiciels malveillants et offre une visibilité sur les activités dangereuses du navigateur. Comprendre et exploiter l'avantage de votre défenseur: renforce la sécurité des appareils professionnels grâce à la protection des données, à la prévention des logiciels malveillants et au contrôle des extensions. Validez et améliorez vos défenses en continu : répond aux menaces nouvelles et évolutives grâce à des mises à jour continues des défenses contre les risques d'exfiltration et les logiciels malveillants. Gérer et coordonner les efforts de cyberdéfense via Mission Control: gérez et contrôlez l'accès des utilisateurs finaux aux ressources sensibles, y compris les contrôles d'accès précis.
Google Workspace	Gérer et coordonner les efforts de cyberdéfense via le contrôle de la mission: gérez et contrôlez l'accès des utilisateurs finaux aux ressources sensibles, y compris les contrôles d'accès précis.
Network Intelligence Center	Utilisez la fonction Intelligence dans tous les aspects de la cyberdéfense : elle offre une visibilité sur les performances du réseau et détecte les schémas de trafic ou les transferts de données inhabituels.
Cloud NGFW	Validez et améliorez vos défenses en continu : optimise la détection et la gestion des menaces basées sur le réseau grâce à l'intégration de Security Command Center et de Google SecOps.

Implémenter la sécurité en amont

Utiliser l'IA de manière sécurisée et responsable

Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.

Dernière mise à jour le 2025/02/05 (UTC).