Skip to content

Qu'est-ce que la chasse aux menaces, et en quoi diffère-t-elle de l'attente des alertes ?

Réponse courte

La chasse aux menaces est la pratique proactive, guidée par des hypothèses, qui consiste à fouiller la télémétrie pour y trouver l'activité d'un adversaire que les détections existantes ont manquée. Contrairement au tri des alertes — réactif et qui attend qu'un outil se déclenche — la chasse part d'une question (« si un attaquant faisait X, quelles preuves verrais-je ? »), la teste face aux données, et soit trouve quelque chose, soit produit une nouvelle détection. Elle suppose que la prévention et les alertes sont imparfaites et qu'un adversaire déterminé est peut-être déjà à l'intérieur.

La chasse aux menaces part d'une hypothèse inconfortable : vos contrôles préventifs et vos alertes ne sont pas parfaits, et un adversaire compétent opère peut-être déjà dans l'environnement sans rien déclencher. La chasse est l'effort délibéré pour trouver cet adversaire avant qu'il n'atteigne son objectif.

Proactif vs réactif

Le tri des alertes est réactif : un outil juge quelque chose suspect, une alerte se déclenche, et un analyste réagit. Il ne détecte que ce pour quoi une règle a déjà été écrite. La chasse aux menaces est proactive : le chasseur part à la recherche d'une activité qu'aucune règle ne décrit encore, en exploitant les données que le SOC collecte déjà.

Guidée par des hypothèses

Une bonne chasse n'est pas une contemplation sans but des journaux. Elle commence par une hypothèse testable, souvent formulée ainsi : « Si un attaquant faisait X dans notre environnement, quels artefacts cela laisserait-il, et où ? » Par exemple : « si un adversaire utilise un LOLBin pour télécharger, je devrais voir certutil ou bitsadmin établir des connexions sortantes vers des hôtes non corporatifs. » Le chasseur interroge ensuite la télémétrie pour confirmer ou réfuter cela.

À quoi ressemble le succès

Une chasse qui ne trouve aucune compromission a tout de même de la valeur si elle produit quelque chose de durable : une nouvelle règle de détection, une lacune de couverture documentée, un référentiel amélioré, ou la certitude qu'une technique est absente. Le pire résultat est une chasse qui ne laisse aucun artefact réutilisable.

Pourquoi c'est important

Les recruteurs veulent vous entendre comprendre la chasse comme une discipline — supposer la compromission, formuler une hypothèse, la tester face à des données réelles, et réinjecter les résultats dans la détection. Les candidats qui confondent la chasse avec « lire les alertes plus fort » ou « lancer un scanner » révèlent qu'ils ne l'ont jamais pratiquée.

Questions de suivi probables

  • D'où proviennent les hypothèses sur lesquelles vous menez vos chasses ?
  • Quel est un bon résultat pour une chasse qui ne trouve rien de malveillant ?
  • Comment mesurez-vous l'efficacité d'un programme de chasse ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.