Passer au contenu principal

Quand « penser qu’on le détecterait » ne suffit pas : révision des principes TTX et TTP pour les SOC modernes

30 avril 2026
Andrew Heller

La plupart des organisations semblent encore sûres d'elles lorsqu'elles évoquent leur préparation face aux cybermenaces. Les politiques sont approuvées, les outils déployés, et les exercices de simulation annuels donnent l'impression d'une bonne coordination. Pourtant, lorsque ces mêmes équipes sont mises à l'épreuve lors d'exercices réalistes, la pertinence des décisions chute brutalement et le confinement s'étend souvent sur plusieurs jours, et non plus quelques heures

Pour les responsables informatiques et les responsables de SOC, cet écart entre confiance et réalité constitue le véritable risque. Le problème est simple : les exercices de simulation (TTX) et les tests techniques (replay des TTP, purple teaming, red teaming) se déroulent généralement en parallèle, avec des responsables différents, des objectifs distincts et aucune donnée partagée. Du coup, tout le monde se retrouve à se fier à des hypothèses alors que les incidents doivent être gérés dans le respect des délais stricts imposés par la directive NIS2, le RGPD, les contrats et les clients

L'équipe de conseil en cybersécurité offensive de Damovo (Lares) a mis au point une méthodologie d'intégration adversaire en six étapes qui combine délibérément les exercices TTX et la reproduction en conditions réelles des TTP au sein d'un cycle fermé unique. L'objectif est clair : remplacer l'hypothèse « nous pensons que nous le détecterions » par des preuves tangibles démontrant comment votre organisation détecte, signale et traite réellement les attaques critiques.

Le fossé entre les préparatifs et la réalité : quand les hypothèses se heurtent à la réalité

Sur le papier, la plupart des organisations estiment être en mesure de détecter les incidents majeurs, de les maîtriser et de s'en remettre. Or, selon des études comparatives indépendantes, la précision des décisions prises lors d'exercices réalistes n'atteint qu'une fraction de ce qu'en attendent les dirigeants, et la durée médiane de maîtrise des incidents dépasse régulièrement les 24 heures. Il s'agit là d'un problème grave dans un contexte européen où le délai de signalement des incidents se compte désormais en heures, et non plus en jours.

Les simulations classiques font partie du problème. Elles mettent en évidence les lacunes au niveau des personnes et des processus – des procédures d'escalade confuses, des responsabilités mal définies, des étapes réglementaires manquantes –, mais elles reposent sur des hypothèses techniques qui ne sont jamais vérifiées. Les participants affirment avec assurance que « le pare-feu bloquera cela », « l'EDR déclenchera certainement une alerte » ou « le SOC s'en rendrait compte en moins de dix minutes », et l'exercice se poursuit.

D'un autre côté, de nombreux programmes purple team d'ingénierie de détection continuent de se concentrer sur la couverture des référentiels. Les équipes jouent au « bingo MITRE ATT&CK », en passant en revue autant de techniques que possible sans les relier à des risques opérationnels, à des points de décision ou à des obligations de reporting spécifiques.

Il en résulte un simulacre de préparation où aucune des deux approches n'apporte de réponse à la seule question qui compte pour les responsables informatiques et du SOC : « Pour cette attaque, dans cet environnement, sommes-nous capables de la détecter, d'y réagir et de prouver que nous avons pris les bonnes mesures à temps ? »

Pourquoi le TTX ne suffit pas à lui seul aux responsables informatiques et aux responsables du SOC

D'un point de vue opérationnel, les programmes de simulation sur table traditionnels présentent trois lacunes majeures.

  • Pas de télémétrie : Les tables de bord génèrent des notes et des actions à entreprendre, et non des fichiers journaux, des alertes ou des données temporelles pouvant alimenter l'ingénierie de détection.
  • Hypothèses non vérifiées : Les ingénieurs sont contraints de deviner comment les contrôles EDR, SIEM, d'identité, OT et cloud se comporteraient, car personne ne mène réellement l'attaque.
  • Absence de lien avec la feuille de route des outils : En l'absence de preuves concrètes, il est difficile de hiérarchiser les modifications de la journalisation, l'ajustement des règles ou les travaux d'architecture qui amélioreraient sensiblement la réponse.

Cette situation est encore aggravée par les délais réglementaires. La directive NIS2 peut exiger des alertes précoces dans les 24 heures et des mises à jour plus détaillées dans les 72 heures, tandis que le RGPD impose sa propre règle de notification dans les 72 heures en cas de violation de données à caractère personnel. Si les résultats du TTX ne sont pas alignés sur ce que vos outils peuvent réellement détecter et sur la rapidité avec laquelle ils le font, les dirigeants prennent en réalité le risque de ne pas respecter ces délais.

Présentation de la méthodologie d'intégration antagoniste en 6 étapes de Damovo

Pour combler cette lacune, l'équipe de conseil en cybersécurité offensive de Damovo (Lares) utilise une méthodologie d'intégration adversaire en six étapes qui part d'un scénario de menace unique et réaliste, et l'accompagne tout au long du processus, depuis les discussions théoriques jusqu'à la reproduction et la revérification des TTP en conditions réelles.

En gros, les six étapes sont les suivantes :

  1. Commencez par une menace qui préoccupe réellement votre entreprise.
  2.  Organisez une simulation qui tienne compte de toutes les hypothèses – et de tous les délais.
  3. Traduisez ce récit en un guide tactique pour les groupes armés.
  4. Mettez en œuvre les procédures opérationnelles standard (TTP) dans votre environnement.
  5. Concilier les données télémétriques avec les hypothèses théoriques.
  6. Corriger, affiner et vérifier les améliorations.

Chaque étape est conçue pour que les responsables informatiques, les responsables du SOC, les équipes chargées des risques, des affaires juridiques et de la communication s'appuient tous sur le même récit et les mêmes éléments de preuve, plutôt que sur des exercices et des présentations distincts.

Étape 1 : Commencez par une menace qui préoccupe réellement votre entreprise

Tout commence par un scénario plausible susceptible de perturber réellement votre organisation – et non pas simplement un « ransomware quelque part dans le réseau » abstrait. Ce scénario repose sur :

  • Renseignements internes sur les cybermenaces et historique des incidents.
  • Partage d'informations spécifiques à un secteur (par exemple, les ISAC) et rapports sur les menaces actuelles.
  • Avis des services juridiques, de gestion des risques et des achats concernant les fournisseurs essentiels et les risques liés aux tiers.

 

On peut citer, par exemple, la compromission d'un fournisseur SaaS clé entraînant une élévation des privilèges dans le cloud au sein d'une unité opérationnelle stratégique pour le chiffre d'affaires, une attaque de phishing ciblée provoquant la compromission d'identités à la fois dans votre Active Directory hybride et dans vos locataires cloud, ou encore l'exfiltration de données via des outils de collaboration autorisés utilisés par les équipes en contact avec la clientèle.

Si vos responsables techniques ou vos responsables d'application ne croient pas que ce scénario puisse se produire, ils se désengageront ; cette première étape permet de s'assurer qu'ils se reconnaissent dans le scénario, tant au niveau de leurs systèmes que de leurs responsabilités.

Étape 2 : Organisez une simulation qui tienne compte de toutes les hypothèses

Une fois le scénario défini, la prochaine étape consiste en un exercice sur table ciblé destiné aux services informatiques, à la sécurité, aux opérations, au service juridique et à la communication. L'objectif est de mettre l'organisation à l'épreuve alors que plusieurs délais réglementaires et contractuels s'écoulent en parallèle, et non pas simplement de suivre un plan d'action générique.

Cela inclut les délais d'alerte précoce et de notification prévus par la directive NIS 2, l'obligation de signaler les violations dans les 72 heures prévue par le RGPD, ainsi que toute clause de notification spécifique à un secteur ou prévue par un contrat. Les animateurs les ajoutent au scénario et demandent, à chaque étape, qui est chargé de la classification, qui communique avec qui, et quand les notifications doivent commencer, même si la cause profonde n'est pas encore clairement établie.

Pour les responsables informatiques et du SOC, le plus important est que chaque affirmation technique se transforme en une hypothèse explicite : « nous le saurions en moins d'une heure », « le SIEM mettrait ces événements en corrélation », « l'analyse IAM signalerait ce comportement » ou « nous pourrions isoler les systèmes affectés avant d'alerter les autorités ». Ces hypothèses sont consignées par écrit avec leur horodatage ; elles deviennent des hypothèses que les étapes 3 et 4 vont tester.

Étape 3 : Traduire ce scénario en un guide des tactiques, techniques et procédures (TTP) pour les adversaires

Une fois le cadre défini, les ingénieurs offensifs de Damovo traduisent ce scénario en un guide pratique et concret des méthodes, techniques et procédures (TTP). La portée de cet exercice est étroitement alignée sur le scénario, plutôt que de chercher à mettre en pratique toutes les techniques dans un cadre général.

Dans le cas d'une compromission d'identité dans le cloud, par exemple, le guide d'intervention peut inclure :

  • Vias spécifiques de vol d'identifiants et de réutilisation de jetons visant votre fournisseur d'identité cloud ou votre plateforme SaaS.
  • Des techniques consistant à « tirer parti des ressources disponibles » en utilisant les outils d'administration existants, les fonctionnalités de script et les services approuvés.
  • Voies d'exfiltration des données via votre service de stockage cloud, vos systèmes de messagerie électronique ou vos applications de collaboration soumis à des sanctions.

 

Tout au long de cette étape, les équipes chargées de l'architecture informatique et du SOC restent impliquées afin que le guide d'intervention reflète les contrôles, les capacités de journalisation et les contraintes de gestion des changements réels. Cela évite que les tests ne se concentrent sur des attaques auxquelles votre environnement n'est pas exposé, ou sur des contrôles que vous n'appliquez pas réellement en production.

Étape 4 : Reproduisez les TTP dans votre environnement

Vient ensuite un purple team contrôlé purple team utilisant le guide de procédures élaboré, dans votre environnement de production ou un environnement similaire. C'est à ce stade que les hypothèses formulées lors de l'exercice théorique sont remplacées par les comportements observables de vos outils et de vos équipes.

Au cours de cette étape, l'équipe de conseil en cybersécurité offensive de Damovo (Lares) collabore avec votre centre d'opérations de sécurité (SOC) et vos équipes informatiques afin d'obtenir trois résultats clés :

  • Réalité de l'exécution : quelles étapes de l'attaque ont abouti, lesquelles ont été bloquées et lesquelles n'ont été que partiellement détectées.
  • Couverture de la télémétrie : événements et alertes provenant des solutions EDR/XDR, SIEM, des plateformes d'identité, des journaux cloud et des contrôles réseau, ainsi que les lacunes de visibilité lorsque les données attendues sont manquantes ou retardées.
  • Délais : temps moyen de détection (MTTD) et temps moyen de réponse (MTTR) réels pour l'ensemble des équipes et des niveaux.

 

Lares décrit cela comme un test du système nerveux de votre organisation : tout ce qui se trouve entre les frappes d'un pirate et vos tableaux de bord. Pour les responsables du SOC, c'est le moment où les règles de détection et les procédures d'intervention sont enfin mises en pratique face aux comportements précis dont l'entreprise a discuté à l'étape 2.

Étape 5 : Comparer les données télémétriques avec les hypothèses de simulation sur table

C'est à la cinquième étape que la méthodologie met en évidence le véritable déficit de préparation. Le calendrier et les décisions issus de l'exercice sur table sont comparés aux données issues de la relecture du TTP.

Les résultats typiques comprennent :

  • La direction pensait « que nous détecterions cela dans les 30 minutes » ; les données de télémétrie montrent que la première alerte significative n'est apparue qu'au bout de 90 minutes, car les journaux du cloud étaient retardés ou incomplets.
  • Le document indiquait que « le SIEM allait corréler ces événements » ; en réalité, les journaux individuels étaient bien présents, mais les règles de corrélation ne se sont jamais déclenchées, de sorte que l'activité s'est fondue dans le bruit de fond.
  • Le plan prévoyait que l'IAM ou l'UEBA signale toute utilisation inhabituelle des jetons ; lors de la simulation, aucune alerte n'a été générée car les analyses n'étaient pas activées pour ce fournisseur ou ce locataire.

 

Damovo permet ainsi de quantifier des indicateurs tels que le taux de précision des hypothèses (pourcentage d'hypothèses techniques TTX qui se sont avérées correctes), la fidélité de détection (rapport signal/bruit pour les comportements testés) et la validation des mesures correctives (nombre de lacunes identifiées qui ont été comblées avec succès lors des nouveaux tests). Ces indicateurs offrent aux responsables informatiques et aux responsables des SOC des éléments bien plus concrets à communiquer que de simples notes génériques de « maturité ».

Étape 6 : Corriger, ajuster et vérifier les améliorations

La dernière étape consiste à traduire toutes ces informations en progrès mesurables. Damovo collabore avec vos équipes pour hiérarchiser les mesures correctives en fonction des risques, des exigences réglementaires et de l'effort de mise en œuvre, puis valide les modifications par des tests de vérification ciblés.

Parmi les améliorations courantes, on peut citer :

  • Combler les lacunes en matière de journalisation et harmoniser la télémétrie entre les plateformes cloud, SaaS, réseau et d'identité.
  • Régler ou créer des règles de corrélation SIEM, des politiques EDR/XDR et des analyses IAM permettant de détecter spécifiquement les comportements reproduits.
  • Adapter les procédures de classification, d'escalade et de communication des incidents afin d'éliminer les goulots d'étranglement mis en évidence lors de l'exercice sur table.

 

Les parties pertinentes du guide TTP sont ensuite réexécutées afin de vérifier que le MTTD et le MTTR se sont améliorés et que les activités qui échappaient auparavant au système sont désormais détectées de manière fiable. Pour les responsables informatiques, cela fournit un bilan « avant-après » pour chaque scénario : voici ce que nous avions supposé, ce que nous avons observé, ce que nous avons modifié, et dans quelle mesure nous pouvons désormais réagir plus rapidement et de manière plus fiable.

Concrètement, cela se traduit par : une compromission des identités dans le cloud

Imaginons un scénario qui préoccupe aujourd'hui de nombreuses entreprises : la compromission d'un fournisseur SaaS essentiel entraînant une escalade des privilèges dans le cloud.

  • Étape 1 : les données de renseignement sur les menaces indiquent un risque actif lié à la chaîne d'approvisionnement concernant votre fournisseur d'identité.
  • Étape 2 : le scénario part du principe que les outils d'analyse IAM signaleront toute utilisation anormale des jetons et que le SOC identifiera l'auteur dans un délai de quinze minutes, tandis que les délais fixés par le système d'alerte précoce NIS2 et les obligations de déclaration au titre du RGPD ont déjà commencé à courir.
  • Étape 3 : les ingénieurs élaborent un guide des TTP axé sur le vol d'identifiants cloud et les scénarios de réutilisation de jetons, adapté à votre environnement.
  • Étape 4 : purple team au vol du jeton. L'EDR ne détecte jamais ce mouvement exclusivement dans le cloud, et les règles SIEM ne se déclenchent pas car les journaux du cloud sont mal configurés.
  • À l'étape 5, il apparaît clairement que l'hypothèse d'un confinement en quinze minutes était totalement irréaliste compte tenu des données télémétriques disponibles ; aucune alerte n'a été déclenchée.
  • Étape 6 : la journalisation est corrigée, les recherches de corrélation IAM sont mises en place et le scénario est réexécuté. Cette fois-ci, le SOC détecte et neutralise l'intrus en douze minutes, transformant ainsi une hypothèse en une capacité avérée.

C'est ce genre de argumentaire concret et étayé par des données qui permet de justifier plus facilement les travaux d'ingénierie de détection, les investissements dans les systèmes de journalisation et les changements de processus, tant auprès des parties prenantes internes que des autorités de régulation.

Comment Damovo peut vous aider

Grâce aux services de sécurité Damovo, optimisés par Lares, les entreprises peuvent intégrer cette méthodologie d'intégration adversaire en six étapes à leurs propres environnements dans le cadre d'un programme de validation continu, et non pas seulement d'une intervention ponctuelle.

En collaboration avec vos équipes informatiques et SOC, Damovo peut vous aider à :

  • Élaborez des scénarios réalistes, fondés sur les menaces, qui tiennent compte de votre environnement et de vos obligations réglementaires.
  • Organisez des simulations qui génèrent des hypothèses vérifiables et des journaux de décision plutôt que de simples listes d'actions.
  • Effectuer une simulation ciblée des TTP afin de valider la détection et la réponse pour ces scénarios.
  • Évaluez l'écart de préparation à l'aide d'indicateurs compréhensibles par les conseils d'administration, les auditeurs et les autorités de régulation.

Mettez en place un cycle itératif de correction et de nouveaux tests qui permette d'améliorer les performances au fil du temps.

Faites de votre prochaine table une pièce à conviction

Si vous préparez votre prochain exercice sur table, c'est le moment idéal pour en faire bien plus qu'un simple atelier. En combinant l'exercice sur table (TTX) et la relecture des procédures opérationnelles (TTP) au sein d'une boucle structurée en six étapes, vous pouvez passer des hypothèses et des présentations PowerPoint à des données de télémétrie, des chronométrages et des améliorations avérées.

Prochaine étape : discutez avec votre équipe de compte Damovo ou contactez directement l'équipe Lares pour découvrir comment nous pouvons vous aider à mettre en œuvre la méthodologie d'intégration antagoniste en 6 étapes au sein de votre organisation.

parler à nos experts
Rejoignez plus de 10 000 autres personnes sur la liste de diffusion Damovo pour recevoir les dernières informations et du contenu exclusif.
Abonnez-vous dès maintenant