< Back
Authorise your SOC to save your business: used countermeasures!

Tags:

TCS BELUX Detect and respond TCS BELUX newsletter
24 février 2026

Autorisez votre SOC à sauver votre entreprise : utilisez les contre mesures !

Chaque minute compte lorsqu'une cyberattaque survient.

Avant qu'un incident ne devienne une fuite de données, avant qu'un signal suspect ne tourne à la crise, une question est essentielle: votre Security Operations Centre (SOC) est-il autorisé à agir ?

Car même la meilleure supervision reste impuissante sans un ingrédient clé : la capacité de déclencher des contre-mesures instantanément !

Dans le paysage actuel des menaces, les attaquants n'attendent pas. Votre SOC ne devrait pas attendre non plus.

Qu'est-ce qu'une contre-mesure ?

Dans le contexte de la cybersécurité, une contre-mesure est toute action entreprise pour contrer une menace potentielle ou confirmée susceptible d'avoir un impact négatif sur une entreprise.

Ces impacts peuvent inclure des pertes financières, des dommages à la réputation ou des perturbations opérationnelles.

Pourquoi les contre-mesures sont-elles essentielles dans la mitigation des menaces ?

Les contre-mesures jouent un rôle crucial dans la mitigation, car ce sont les actions ou stratégies utilisées pour réduire ou éliminer l'impact des menaces et vulnérabilités identifiées.

Elles permettent de prévenir ou de minimiser les dommages, d'assurer la continuité des activités et de protéger contre les risques financiers, opérationnels et réputationnels.

En mettant en place des contre-mesures, les organisations gèrent les risques de manière proactive et maintiennent un environnement sécurisé.

Quelles contre-mesures le SOC de Thales peut-il appliquer ? 

Chez Thales, nos équipes SOC ont la capacité de mettre en oeuvre plusieurs contre-mesures de première ligne pour accompagner nos clients dans une mitigation immédiate.

Ces actions permettent de réduire instantanément le risque et de bloquer les attaquants dès qu'une menace est détectée. 

📌 Eyepatriot - Blocage automatisé d'adresses IP

Comme l'explique Tanguy Pegeot, Analyste CSOC L2 chez Thales au Luxembourg, la première contre-mesure est la capacité de bloquer des adresses IP à l'aide d'Eyepatriot, un outil développé en interne.

Cet outil génère un fichier texte contenant toutes les adresses IP suspectes ou malveillantes détectées sur l'infrastructure du client. Le pare-feu du client lit ensuite ce fichier et met à jour sa table de blocage pour interdire tout trafic provenant de ces IP.

Ci-dessous se trouve un exemple du formulaire utilisé pour effectuer le blocage d'IP :

example of the form used to perform IP blocking

 

📌 Isolation d'un hôte via EDR/XDR

Si un comportement suspect est détecté sur un hôte, l'isoler grâce aux capacités EDR/XDR permet d'empêcher la propagation de la menace au reste du réseau.

Pour autoriser cette action, les clients définissent simplement le périmètre dans lequel l'isolation est permise et donnent au SOC l'autorisation de l'effectuer.

Voici l'exemple illustrant la procédure d'isolation d'un appareil à l'aide de Defender XDR :

example of how to isolate a device using Defender XDR

📌 Révocation d'un compte utilisateur

Si le compte d'un utilisateur présente un comportement suspect, le SOC peut, lorsqu'il y est autorisé, réinitialiser le mot de passe de l'utilisateur et révoquer toutes les sessions actives jusqu'à ce que la situation soit clarifiée. Cela empêche toute activité malveillante supplémentaire pendant que le client mène son investigation.

Voici un exemple de la manière de révoquer la session d'un utilisateur depuis Azure AD :

example of how to revoke a user session from Azure AD

Exemple de contre-mesure : un schéma de connexion suspect

Illustrons cela avec un cas (fictif) :

Un schéma de geo hopping suspect est détecté pour un utilisateur nommé « Bilbo ». Il se connecte habituellement depuis la Belgique, mais quelques minutes plus tard, une connexion apparaît depuis l’Indonésie. C’est soit physiquement impossible, soit hautement suspect.

Une analyse plus poussée révèle que l’adresse IP indonésienne ne fait pas partie d’un VPN public. Nous observons également de nombreuses tentatives de connexion globales ciblant le compte de Bilbo.

Cela constitue un fort indicateur de compromission de compte (attaque par force brute via botnet).

Action imméditates effectuées : 

▪️ Toutes les sessions actives de l'utilisateur sont terminées.

▪️ Le mot de passe de l'utilisateur est réinitialisé avec un mot de passe fort et aléatoire.

Le client est invité à mettre en place une MFA (authentification multi facteurs) et à appliquer d’autres mesures de sécurité. Dans le même temps, nous détectons l’installation de one_ring.exe, connu pour être utilisé par le groupe malveillant « Sauron » pour l’exfiltration de données. Le trafic réseau confirme une communication avec un serveur de commande et de contrôle.

Contre mesures supplémentaires appliquées :

▪️ Le dispositif compromis est isolé.

▪️ L'adresse IP malveillante externe est ajoutée à Eyepatriot pour être bloquée.

▪️ Le client reçoit pour instruction de nettoyer l'équipement infecté.

Ces contre-mesures ont permis d'éviter une fuite de données ainsi que les dommages réputationnels qui auraient résulté d'informations divulguées.

Pour les clients devraient-ils activer les contre-mesures SOC ?

Activer les contre mesures n’est pas un détail technique, c’est une garantie pour l’activité :

📌 Mitigation plus rapide : les menaces sont immédiatement contenues, empêchant les mouvements latéraux et la perte de données.

📌 Réduction de l’impact sur l’activité : moins d’interruptions, moins de perturbations opérationnelles, et un risque financier maîtrisé.

📌 Temps gagné pour le DFIR : en gelant les actions de l’attaquant, le SOC offre un temps précieux aux équipes de Digital Forensics & Incident Response pour enquêter sereinement.

📌 Bénéfices en matière de conformité et de réglementation : une réponse rapide et des actions documentées aident à se conformer aux normes telles qu’ISO 27001, NIS2, DORA, ainsi qu’aux exigences du RGPD en matière de gestion d’incidents.

📌 Résilience cyber renforcée : votre organisation devient plus difficile à compromettre et plus rapide à rétablir.

Autoriser les contre mesures = donner à votre SOC les moyens de vous protéger lorsque cela compte le plus.

Conclusion

Comme démontré, les contre mesures sont essentielles pour protéger une infrastructure de manière efficace et rapide. Il est vital que les entreprises autorisent leur équipe de supervision 24/7 (SOC ou service de sécurité informatique) à effectuer ces actions à tout moment.

Cela accélère la mitigation des attaques, offre un temps précieux pour analyser des menaces plus profondes et renforce la protection globale.

Par ailleurs, les clients attendent de plus en plus une approche de surveillance proactive, et les contre mesures sont l’un des meilleurs moyens d’offrir ce niveau de protection.

Demandez à votre Service Delivery Manager quelles contre mesures sont activées pour votre organisation, et assurez vous que votre SOC a l’autorisation de vous protéger !

Contact us

En savoir plus sur ce sujet

cards image

Beyond the SOC as a detection center: holistic cybersecurity operations in the coming age
cards image

What is threat Hunting ?

cards image

Cyber Threat Intelligence Ep 2 - Nicolas talking about the Context and Strategy office