Docs Assistance

English
Deutsch
Español – América Latina
Français
Indonesia
Italiano
Português – Brasil
中文 – 简体
中文 – 繁體
日本語
한국어

Console

Nous contacter Commencer l'essai gratuit

Cette page a été traduite par l'API Cloud Translation.

Implémenter une cyberdéfense préventive

Last reviewed 2025-02-05 UTC

Ce principe du pilier de sécurité du Google Cloud Well-Architected Framework fournit des recommandations pour créer des programmes de cyberdéfense robustes dans le cadre de votre stratégie de sécurité globale.

Ce principe met l'accent sur l'utilisation du renseignement sur les menaces pour guider de manière proactive vos efforts dans les fonctions de cyberdéfense de base, telles que définies dans The Defender's Advantage : guide d'activation de la cyberdéfense.

Présentation des principes

Lorsque vous défendez votre système contre les cyberattaques, vous disposez d'un avantage important et sous-utilisé par rapport aux pirates informatiques. Comme l'indique le fondateur de Mandiant : "personne d'autre ne connaît mieux que vous votre entreprise, vos systèmes, votre topologie et votre infrastructure. C'est un avantage incroyable." Pour vous aider à tirer parti de cet avantage inhérent, ce document fournit des recommandations sur les pratiques de cyberdéfense proactives et stratégiques qui sont mappées au framework "The Defender's Advantage".

Recommandations

Pour implémenter une cyberdéfense préventive pour vos charges de travail cloud, tenez compte des recommandations des sections suivantes :

Intégrer les fonctions de cyberdéfense
Utiliser la fonction Intelligence dans tous les aspects de la cyberdéfense
Comprendre et exploiter l'avantage du défenseur
Valider et améliorer vos défenses en continu
Gérer et coordonner les efforts de cyberdéfense

Intégrer les fonctions de cyberdéfense

Cette recommandation s'applique à tous les domaines d'action.

Le framework The Defender's Advantage identifie six fonctions essentielles de la cyberdéfense : renseignement, détection, réponse, validation, chasse et contrôle de mission. Chaque fonction se concentre sur une partie unique de la mission de cyberdéfense, mais ces fonctions doivent être bien coordonnées et travailler ensemble pour fournir une défense efficace. Concentrez-vous sur la création d'un système robuste et intégré où chaque fonction soutient les autres. Si vous avez besoin d'une approche progressive pour l'adoption, suivez l'ordre suggéré ci-dessous. En fonction de votre niveau de maturité cloud actuel, de la topologie des ressources et du paysage des menaces spécifique, vous pouvez choisir de privilégier certaines fonctions.

Intelligence : la fonction Intelligence guide toutes les autres fonctions. Il est essentiel de comprendre le paysage des menaces (y compris les pirates informatiques les plus probables, leurs tactiques, techniques et procédures, ainsi que l'impact potentiel) pour hiérarchiser les actions dans l'ensemble du programme. La fonction Intelligence est responsable de l'identification des parties prenantes, de la définition des exigences en matière de renseignements, de la collecte, de l'analyse et de la diffusion des données, de l'automatisation et de la création d'un profil de cybermenace.
Détection et réponse : ces fonctions constituent le cœur de la défense active, qui consiste à identifier et à traiter les activités malveillantes. Ces fonctions sont nécessaires pour agir sur les informations recueillies par la fonction d'intelligence. La fonction de détection nécessite une approche méthodique qui aligne les détections sur les TTP des pirates informatiques et garantit une journalisation robuste. La fonction Répondre doit se concentrer sur le tri initial, la collecte de données et la résolution des incidents.
Valider : la fonction de validation est un processus continu qui garantit que votre écosystème de contrôle de la sécurité est à jour et fonctionne comme prévu. Cette fonction permet à votre organisation de comprendre la surface d'attaque, de savoir où se trouvent les failles et de mesurer l'efficacité des contrôles. La validation de la sécurité est également un élément important du cycle de vie de l'ingénierie de la détection. Elle doit être utilisée pour identifier les lacunes de détection et créer de nouvelles détections.
Chasse : la fonction de chasse consiste à rechercher de manière proactive les menaces actives dans un environnement. Cette fonction doit être implémentée lorsque votre organisation a atteint un niveau de maturité de référence dans les fonctions de détection et de réponse. La fonction "Hunt" étend les capacités de détection et permet d'identifier les lacunes et les faiblesses des contrôles. La fonction de recherche doit être basée sur des menaces spécifiques. Cette fonctionnalité avancée s'appuie sur des capacités robustes en matière d'intelligence, de détection et de réponse.
Mission Control : cette fonction sert de hub central pour toutes les autres fonctions. Cette fonction est responsable de la stratégie, de la communication et des actions décisives dans votre programme de cyberdéfense. Elle permet de s'assurer que toutes les fonctions fonctionnent ensemble et qu'elles sont alignées sur les objectifs commerciaux de votre organisation. Vous devez vous concentrer sur la compréhension de l'objectif de la fonction Mission Control avant de l'utiliser pour connecter les autres fonctions.

Utiliser la fonction Intelligence dans tous les aspects de la cyberdéfense

Cette recommandation s'applique à tous les domaines d'action.

Cette recommandation met en évidence la fonction de renseignement comme élément essentiel d'un programme de cyberdéfense efficace. Les renseignements sur les menaces fournissent des informations sur les acteurs malveillants, leurs TTP et les indicateurs de compromission. Ces connaissances doivent éclairer et prioriser les actions dans toutes les fonctions de cyberdéfense. Une approche axée sur l'intelligence vous aide à aligner vos défenses pour faire face aux menaces les plus susceptibles d'affecter votre organisation. Cette approche permet également d'allouer et de hiérarchiser efficacement les ressources.

Les produits et fonctionnalités suivants Google Cloud vous aident à tirer parti des renseignements sur les menaces pour orienter vos opérations de sécurité. Utilisez ces fonctionnalités pour identifier et hiérarchiser les menaces, les failles et les risques potentiels, puis planifier et mettre en œuvre les actions appropriées.

Google Security Operations (Google SecOps) vous aide à stocker et à analyser les données de sécurité de manière centralisée. Utilisez Google SecOps pour mapper les journaux dans un modèle commun, les enrichir et les associer à des chronologies afin d'obtenir une vue complète des attaques. Vous pouvez également créer des règles de détection, configurer la mise en correspondance d'IoC et effectuer des activités de recherche des menaces. La plate-forme fournit également des détections sélectionnées, qui sont des règles prédéfinies et gérées pour vous aider à identifier les menaces. Google SecOps peut également s'intégrer à l'expertise de terrain de Mandiant. Google SecOps intègre de manière unique une IA de pointe, ainsi que les renseignements sur les menaces de Mandiant et Google VirusTotal. Cette intégration est essentielle pour évaluer les menaces et comprendre qui cible votre organisation, ainsi que l'impact potentiel.
Security Command Center Enterprise, optimisé par l'IA de Google, permet aux professionnels de la sécurité d'évaluer, d'examiner et de résoudre efficacement les problèmes de sécurité dans plusieurs environnements cloud. Les professionnels de la sécurité qui peuvent bénéficier de Security Command Center incluent les analystes du centre opérationnel de sécurité (SOC), les analystes des failles et de la posture, ainsi que les responsables de la conformité. Security Command Center Enterprise enrichit les données de sécurité, évalue les risques et hiérarchise les failles. Cette solution fournit aux équipes les informations dont elles ont besoin pour résoudre les vulnérabilités à haut risque et corriger les menaces actives.
Chrome Enterprise Premium offre une protection contre les menaces et les données, ce qui permet de protéger les utilisateurs contre les risques d'exfiltration et d'empêcher les logiciels malveillants d'accéder aux appareils gérés de l'entreprise. Chrome Enterprise Premium offre également une visibilité sur les activités non sécurisées ou potentiellement non sécurisées qui peuvent se produire dans le navigateur.
La surveillance du réseau, à l'aide d'outils tels que Network Intelligence Center, permet de visualiser les performances du réseau. La surveillance du réseau peut également vous aider à détecter des schémas de trafic inhabituels ou des quantités de données transférées qui pourraient indiquer une tentative d'attaque ou d'exfiltration de données.

Comprendre et exploiter l'avantage du défenseur

Cette recommandation s'applique à tous les domaines d'action.

Comme mentionné précédemment, vous avez un avantage sur les pirates informatiques lorsque vous comprenez parfaitement votre entreprise, vos systèmes, votre topologie et votre infrastructure. Pour tirer parti de cet avantage en termes de connaissances, utilisez ces données sur vos environnements lors de la planification de la cyberdéfense.

Google Cloud fournit les fonctionnalités suivantes pour vous aider à obtenir de manière proactive de la visibilité afin d'identifier les menaces, de comprendre les risques et de répondre rapidement pour atténuer les dommages potentiels :

Chrome Enterprise Premium vous aide à renforcer la sécurité des appareils de votre entreprise en protégeant les utilisateurs contre les risques d'exfiltration. Elle étend les services Sensitive Data Protection au navigateur et empêche les logiciels malveillants. Il propose également des fonctionnalités telles que la protection contre les logiciels malveillants et l'hameçonnage pour vous aider à éviter d'être exposé à des contenus dangereux. De plus, il vous permet de contrôler l'installation d'extensions pour éviter les extensions dangereuses ou non vérifiées. Ces fonctionnalités vous aident à établir une base sécurisée pour vos opérations.
Security Command Center Enterprise fournit un moteur de gestion des risques continu qui offre une analyse et une gestion des risques complètes et continues. La fonctionnalité de moteur de risque enrichit les données de sécurité, évalue les risques et hiérarchise les failles pour vous aider à résoudre rapidement les problèmes. Security Command Center permet à votre organisation d'identifier de manière proactive les points faibles et de mettre en œuvre des mesures d'atténuation.
Google SecOps centralise les données de sécurité et fournit des journaux enrichis avec des chronologies. Les équipes de sécurité peuvent ainsi identifier de manière proactive les compromissions actives et adapter leurs défenses en fonction du comportement des pirates informatiques.
La surveillance du réseau permet d'identifier les activités réseau irrégulières qui peuvent indiquer une attaque. Elle fournit également des indicateurs précoces que vous pouvez utiliser pour prendre des mesures. Pour protéger de manière proactive vos données contre le vol, surveillez en permanence l'exfiltration de données et utilisez les outils fournis.

Valider et améliorer vos défenses en continu

Cette recommandation s'applique à tous les domaines d'action.

Cette recommandation souligne l'importance des tests ciblés et de la validation continue des contrôles pour comprendre les points forts et les points faibles sur l'ensemble de la surface d'attaque. Cela inclut la validation de l'efficacité des contrôles, des opérations et du personnel à l'aide de méthodes telles que les suivantes :

Tests d'intrusion
Exercices red team/blue team et purple team
Simulations

Vous devez également rechercher activement les menaces et utiliser les résultats pour améliorer la détection et la visibilité. Utilisez les outils suivants pour tester et valider en permanence vos défenses contre les menaces réelles :

Security Command Center Enterprise fournit un moteur d'analyse des risques en continu pour évaluer les failles et prioriser les mesures correctives. Il permet ainsi d'évaluer en permanence votre stratégie globale de sécurité. En vous aidant à prioriser les problèmes, Security Command Center Enterprise vous permet de vous assurer que les ressources sont utilisées efficacement.
Google SecOps propose des fonctionnalités de chasse aux menaces et des détections sélectionnées qui vous permettent d'identifier de manière proactive les faiblesses de vos contrôles. Cette fonctionnalité permet de tester et d'améliorer en continu votre capacité à détecter les menaces.
Chrome Enterprise Premium fournit des fonctionnalités de protection contre les menaces et des données qui peuvent vous aider à faire face aux menaces nouvelles et en constante évolution, et à mettre à jour en permanence vos défenses contre les risques d'exfiltration et les logiciels malveillants.
Cloud Next Generation Firewall (Cloud NGFW) fournit une surveillance du réseau et de l'exfiltration de données. Ces fonctionnalités peuvent vous aider à valider l'efficacité de votre posture de sécurité actuelle et à identifier les faiblesses potentielles. La surveillance de l'exfiltration de données vous aide à valider l'efficacité des mécanismes de protection des données de votre organisation et à effectuer des ajustements proactifs si nécessaire. Lorsque vous intégrez les résultats sur les menaces de Cloud NGFW à Security Command Center et Google SecOps, vous pouvez optimiser la détection des menaces réseau, la réponse aux menaces et les playbooks d'automatisation. Pour en savoir plus sur cette intégration, consultez Unifying Your Cloud Defenses: Security Command Center & Cloud NGFW Enterprise (Unifiez vos défenses cloud : Security Command Center et Cloud NGFW Enterprise).

Gérer et coordonner les efforts de cyberdéfense

Cette recommandation s'applique à tous les domaines d'action.

Comme décrit précédemment dans Intégrer les fonctions de cyberdéfense, la fonction Mission Control interconnecte les autres fonctions du programme de cyberdéfense. Cette fonction permet la coordination et la gestion unifiée du programme. Cela vous aide également à coordonner vos efforts avec d'autres équipes qui ne travaillent pas sur la cybersécurité. La fonction de contrôle de mission favorise l'autonomie et la responsabilité, facilite l'agilité et l'expertise, et renforce la responsabilité et la transparence.

Les produits et fonctionnalités suivants peuvent vous aider à implémenter la fonctionnalité Mission Control :

Security Command Center Enterprise sert de hub central pour coordonner et gérer vos opérations de cyberdéfense. Il rassemble les outils, les équipes et les données, ainsi que les fonctionnalités de réponse Google SecOps intégrées. Security Command Center offre une visibilité claire sur l'état de sécurité de votre organisation et permet d'identifier les erreurs de configuration de sécurité dans différentes ressources.
Google SecOps fournit une plate-forme permettant aux équipes de répondre aux menaces en mappant les journaux et en créant des chronologies. Vous pouvez également définir des règles de détection et rechercher des menaces.
Google Workspace et Chrome Enterprise Premium vous aident à gérer et à contrôler l'accès des utilisateurs finaux aux ressources sensibles. Vous pouvez définir des contrôles d'accès précis en fonction de l'identité de l'utilisateur et du contexte d'une demande.
La surveillance du réseau fournit des insights sur les performances des ressources réseau. Vous pouvez importer des insights de surveillance du réseau dans Security Command Center et Google SecOps pour une surveillance et une corrélation centralisées par rapport à d'autres points de données basés sur la chronologie. Cette intégration vous aide à détecter les éventuels changements d'utilisation du réseau causés par des activités malveillantes et à y répondre.
La surveillance de l'exfiltration de données permet d'identifier les éventuels incidents de perte de données. Cette fonctionnalité vous permet de mobiliser efficacement une équipe de réponse aux incidents, d'évaluer les dommages et de limiter l'exfiltration de données. Vous pouvez également améliorer les règles et les contrôles actuels pour assurer la protection des données.

Récapitulatif du produit

Le tableau suivant liste les produits et fonctionnalités décrits dans ce document, et les associe aux recommandations et aux fonctionnalités de sécurité correspondantes.

Google Cloud produit	Recommandations applicables
Google SecOps	Utilisez la fonction Intelligence dans tous les aspects de la cyberdéfense : permet la chasse aux menaces et la mise en correspondance des IoC, et s'intègre à Mandiant pour une évaluation complète des menaces. Comprendre et exploiter l'avantage du défenseur : fournit des détections sélectionnées et centralise les données de sécurité pour identifier de manière proactive les compromissions. Validez et améliorez vos défenses en continu : Permet de tester et d'améliorer en continu les capacités de détection des menaces. Gérez et coordonnez les efforts de cyberdéfense grâce à Mission Control : fournit une plate-forme pour la réponse aux menaces, l'analyse des journaux et la création de chronologies.
Security Command Center Enterprise	Utilisez la fonction Intelligence dans tous les aspects de la cyberdéfense : utilise l'IA pour évaluer les risques, hiérarchiser les failles et fournir des insights pratiques pour la correction. Comprendre et exploiter l'avantage du défenseur : offre une analyse complète des risques, une hiérarchisation des failles et une identification proactive des points faibles. Validez et améliorez vos défenses en continu : évaluez en permanence votre stratégie de sécurité et hiérarchisez vos ressources. Gérer et coordonner les efforts de cyberdéfense grâce à Mission Control : sert de plate-forme centrale pour gérer et coordonner les opérations de cyberdéfense.
Chrome Enterprise Premium	Utilisez la fonctionnalité Intelligence dans tous les aspects de la cyberdéfense : protégez les utilisateurs contre les risques d'exfiltration, empêchez les logiciels malveillants et offrez une visibilité sur les activités dangereuses du navigateur. Comprendre et exploiter l'avantage de votre solution Defender : améliore la sécurité des appareils de l'entreprise grâce à la protection des données, à la prévention contre les logiciels malveillants et au contrôle des extensions. Validez et améliorez vos défenses en continu : répondez aux menaces nouvelles et en constante évolution grâce à des mises à jour continues des défenses contre les risques d'exfiltration et les logiciels malveillants. Gérez et coordonnez les efforts de cyberdéfense grâce à Mission Control : gérez et contrôlez l'accès des utilisateurs finaux aux ressources sensibles, y compris les contrôles d'accès précis.
Google Workspace	Gérez et coordonnez les efforts de cyberdéfense grâce à Mission Control : gérez et contrôlez l'accès des utilisateurs finaux aux ressources sensibles, y compris les contrôles d'accès précis.
Network Intelligence Center	Utilisez la fonction Intelligence dans tous les aspects de la cyberdéfense : Elle offre une visibilité sur les performances du réseau et détecte les schémas de trafic ou les transferts de données inhabituels.
Cloud NGFW	Validez et améliorez vos défenses en continu : optimisez la détection des menaces et la réponse aux menaces basées sur le réseau grâce à l'intégration à Security Command Center et Google SecOps.

Implémenter la sécurité en amont

Utiliser l'IA de manière sécurisée et responsable

Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.

Dernière mise à jour le 2025/02/05 (UTC).