Services d'Ingénierie de Sécurité
Construisez des défenses qui tiennent — revue d'architecture, durcissement d'infrastructure et ingénierie de détection pour les organisations en Belgique et en Europe.
Qu'est-ce que l'ingénierie de sécurité
L'ingénierie de sécurité est la discipline qui consiste à concevoir et construire des systèmes qui restent fiables face à la malveillance, l'erreur et l'infortune. Là où les opérations de sécurité se concentrent sur la surveillance, la détection et la réponse aux menaces en temps réel, l'ingénierie de sécurité se concentre sur l'architecture, la configuration et les outils qui rendent les opérations efficaces possibles.
ForgeWork fournit des services d'ingénierie de sécurité aux organisations en Belgique et dans l'Union européenne.
Pensez-y de cette façon : les opérations de sécurité sont l'équipe qui surveille les caméras et répond aux alarmes. L'ingénierie de sécurité est l'équipe qui a conçu le bâtiment, installé les serrures, positionné les caméras et rédigé les règles d'alarme. Les deux sont essentielles, mais sans des fondations d'ingénierie solides, les équipes d'opérations se battent avec des outils cassés dans un bâtiment plein de portes non verrouillées.
Le fondement philosophique de l'ingénierie de sécurité est la défense en profondeur — le principe selon lequel aucun contrôle de sécurité unique ne devrait être la seule barrière entre un attaquant et un actif critique. Une défense efficace nécessite plusieurs couches : contrôles réseau, gestion des identités et des accès, protection des terminaux, sécurité applicative, protection des données et surveillance. Chaque couche doit être conçue de sorte que si elle échoue, les couches derrière elle fournissent encore une protection, et la défaillance elle-même est détectée.
La défense en profondeur n'est pas la même chose que la défense en redondance. Déployer simplement cinq pare-feu différents en série ne crée pas de profondeur s'ils échouent tous face à la même technique d'attaque. La véritable profondeur signifie superposer différents types de contrôles qui traitent différents vecteurs d'attaque, de sorte que les compétences et ressources nécessaires pour franchir chaque couche successive augmentent, et que l'opportunité de détection de l'attaquant se multiplie à chaque étape.
L'ingénierie de sécurité consiste aussi fondamentalement à faire les bons compromis. La sécurité parfaite est inatteignable et serait inutilisable si elle existait. Chaque décision d'ingénierie implique d'équilibrer la sécurité avec l'utilisabilité, la performance, le coût et la complexité opérationnelle. L'objectif n'est pas d'éliminer tout risque — c'est de réduire le risque à un niveau acceptable compte tenu du modèle de menace de l'organisation, de ses obligations réglementaires et de ses exigences métier.
Revue d'architecture
Une revue d'architecture examine la conception de l'environnement IT d'une organisation sous l'angle de la sécurité. C'est la mission fondamentale d'ingénierie de sécurité — comprendre comment les systèmes sont connectés, comment les données circulent, où existent les frontières de confiance et où la conception elle-même crée ou atténue le risque.
Ce que nous examinons
Topologie réseau
Comment le réseau est segmenté, où se trouvent les frontières de confiance, quels systèmes peuvent communiquer avec lesquels, et si la segmentation applique réellement la politique de sécurité prévue. Nous examinons les jeux de règles de pare-feu, les configurations de routage, les attributions VLAN et les implémentations de contrôle d'accès réseau (NAC). Les constats courants incluent : des réseaux plats où un poste de travail compromis a un accès direct aux serveurs de base de données, des règles de pare-feu excessivement permissives accumulées au fil d'années de demandes de changement, et des configurations VPN qui placent les utilisateurs distants sur le même segment réseau que l'infrastructure critique.
Gestion des identités et des accès
Comment les utilisateurs sont authentifiés, comment l'accès est autorisé, comment les privilèges sont gérés et comment l'infrastructure d'identité est sécurisée. Nous examinons l'architecture Active Directory (structure de forêt et de domaine, relations de confiance, configuration des stratégies de groupe), la gestion des accès à privilèges, le déploiement de l'authentification multifacteur, l'inventaire des comptes de service et les politiques de mots de passe. L'infrastructure d'identité est le composant le plus systématiquement ciblé dans les attaques d'entreprise — le Kerberoasting, les attaques Golden Ticket et les techniques de relais d'identifiants exploitent tous des faiblesses de l'architecture d'identité.
Analyse des flux de données
Où résident les données sensibles, comment elles circulent entre les systèmes, qui y a accès et quelles protections existent à chaque étape. Nous cartographions les flux de données pour les actifs informationnels les plus critiques de l'organisation — données clients, dossiers financiers, propriété intellectuelle, identifiants — et évaluons si le chiffrement, les contrôles d'accès et la surveillance sont appropriés à chaque point du flux. Cette analyse révèle fréquemment des expositions inattendues : des copies de bases de données de production dans les environnements de développement, des données sensibles transitant par des liens réseau internes non chiffrés, ou des systèmes de sauvegarde stockant des données avec des protections plus faibles que les systèmes primaires.
Architecture cloud
Pour les organisations utilisant AWS, Azure ou GCP, nous examinons la structure des comptes cloud, les politiques IAM, l'architecture réseau (VPC, groupes de sécurité, ACL réseau), la configuration du stockage de données, la configuration de la journalisation et de la surveillance, et la frontière entre les environnements cloud et sur site. Les architectures cloud évoluent souvent de manière organique, et la posture de sécurité des ressources de la première année correspond rarement aux standards de sécurité actuels de l'organisation.
Frontières de confiance
Les frontières de confiance définissent où un domaine de sécurité se termine et un autre commence. Une architecture efficace établit des frontières de confiance claires et les applique avec des contrôles appropriés. Nous examinons où existent les frontières de confiance (ou devraient exister), si les contrôles à chaque frontière sont adéquats, et si les hypothèses de confiance implicites de l'organisation correspondent à la réalité. Un constat courant : l'organisation traite son réseau interne comme de confiance, mais tout attaquant qui obtient un accès initial par phishing, compromission VPN ou attaque de la chaîne d'approvisionnement se retrouve immédiatement à l'intérieur de cette zone de confiance avec un mouvement latéral sans restriction.
Constats et recommandations courants
Les revues d'architecture font systématiquement apparaître plusieurs catégories de constats. La confiance implicite excessive — où les systèmes communiquent sans authentification ni autorisation simplement parce qu'ils partagent un segment réseau. Les comptes sur-privilégiés — où les comptes de service et les comptes administrateurs ont des permissions plus larges que leur fonction ne l'exige. La surveillance manquante — où les systèmes ou segments réseau critiques ne génèrent aucune télémétrie de sécurité et sont effectivement invisibles pour le SOC. Et la dette architecturale — où des décisions de conception héritées qui avaient du sens il y a des années créent maintenant des lacunes de sécurité dans l'environnement de menace actuel.
Durcissement d'infrastructure
Le durcissement d'infrastructure est le processus de réduction de la surface d'attaque des systèmes, réseaux et services en supprimant les fonctionnalités inutiles, en appliquant des configurations sécurisées et en mettant en oeuvre des contrôles de protection supplémentaires. C'est un travail méthodique, souvent peu glamour — mais il élimine les vulnérabilités faciles sur lesquelles les attaquants comptent pour l'accès initial et le mouvement latéral.
Durcissement des systèmes d'exploitation
Nous durcissons les systèmes d'exploitation conformément aux CIS Benchmarks (Center for Internet Security) — des référentiels de configuration standard de l'industrie pour Windows, Linux et macOS. Cela inclut : la désactivation des services et protocoles inutiles, la configuration des pare-feu basés sur l'hôte, la restriction de l'accès administrateur local, l'activation de la journalisation d'audit, le durcissement des mécanismes d'authentification, la suppression des comptes et identifiants par défaut, et l'application de permissions de système de fichiers suivant le moindre privilège. Les CIS Benchmarks fournissent deux niveaux de profil : Niveau 1 (durcissement pratique avec impact opérationnel minimal) et Niveau 2 (durcissement approfondi pour les environnements haute sécurité). Nous aidons les organisations à déterminer le bon profil pour chaque classe de système et à intégrer la vérification automatisée de conformité dans leur pipeline de déploiement.
Segmentation réseau
Une segmentation efficace limite le rayon d'impact d'une compromission en empêchant un attaquant de se déplacer librement entre les zones réseau. Nous concevons des stratégies de segmentation basées sur la sensibilité des données, la fonction des systèmes et le modèle de menace — séparant les postes de travail des utilisateurs des serveurs, la production du développement, les réseaux de gestion des réseaux de données, et les systèmes exposés sur Internet de l'infrastructure interne. La segmentation est mise en oeuvre par une combinaison de VLAN, de règles de pare-feu et, de plus en plus, de technologies de microsegmentation qui appliquent la politique au niveau de la charge de travail plutôt qu'au périmètre réseau.
Sécurité de la messagerie
La messagerie reste le vecteur d'accès initial le plus courant. Nous mettons en oeuvre et configurons les contrôles de sécurité de la messagerie incluant : SPF, DKIM et DMARC pour l'authentification de domaine (prévention de l'usurpation du domaine de l'organisation), configuration de passerelle de messagerie sécurisée avec sandboxing des pièces jointes et réécriture d'URL, journalisation d'audit de boîte aux lettres, marquage des emails externes, et politiques de gestion des données sensibles par email. Nous examinons également les configurations Exchange ou Microsoft 365 pour les mauvaises configurations courantes qui exposent l'organisation — comme les règles de flux de messagerie trop permissives, les boîtes aux lettres partagées avec un accès excessif, ou les protocoles d'authentification hérités qui contournent le MFA.
Sécurité DNS
Le DNS est à la fois une dépendance critique et un protocole fréquemment exploité. Nous mettons en oeuvre DNSSEC le cas échéant, configurons la journalisation DNS pour la surveillance de sécurité, déployons le filtrage DNS pour bloquer les domaines malveillants connus, et examinons l'architecture DNS interne pour les zones qui divulguent des informations de nommage interne. Les attaques basées sur le DNS — y compris le tunneling DNS pour l'exfiltration de données, le DNS rebinding et l'empoisonnement de cache — sont souvent négligées dans les programmes de durcissement, mais elles restent efficaces dans les environnements qui traitent le DNS comme purement un service d'infrastructure sans pertinence sécuritaire.
Protection des terminaux
Nous examinons et optimisons les déploiements de plateformes de protection des terminaux (EPP) et de détection et réponse sur les terminaux (EDR). Cela inclut : la validation de la couverture (s'assurer que chaque terminal est inscrit et rapporte), le calibrage des politiques pour équilibrer protection et impact opérationnel, la configuration de fonctionnalités avancées comme la protection mémoire, la prévention du vol d'identifiants et la détection comportementale, et la garantie que la télémétrie EDR alimente le SIEM pour la corrélation avec d'autres sources de données. De nombreuses organisations déploient l'EDR mais n'utilisent qu'une fraction de ses capacités — le faisant souvent fonctionner en mode « détection uniquement » indéfiniment, ou ne calibrant jamais les règles de détection comportementale pour leur environnement.
Ingénierie de détection
L'ingénierie de détection est la pratique de conception, construction, test et maintenance des règles de détection et analyses qui identifient l'activité malveillante au sein d'un environnement. C'est le pont entre les outils de surveillance de sécurité (SIEM, EDR, NDR) et les analystes qui répondent aux alertes. Bien faite, elle produit des alertes de haute fidélité qui font apparaître les vraies menaces. Mal faite, elle produit de la fatigue d'alerte, des attaques manquées et une équipe SOC noyée sous les faux positifs.
Construction de règles de détection
Une détection efficace commence par une compréhension claire de ce que vous essayez de détecter. Nous utilisons le développement de détection informé par les menaces : partant des techniques d'attaque connues (cartographiées sur MITRE ATT&CK), identifiant les sources de télémétrie qui révéleraient chaque technique, et construisant une logique de détection qui identifie de manière fiable la technique tout en minimisant les faux positifs dans l'environnement spécifique du client.
Par exemple, détecter le Kerberoasting (ATT&CK T1558.003) nécessite : les logs d'événements de sécurité Windows avec les événements de demande de ticket de service Kerberos (Event ID 4769), le filtrage des types de chiffrement indiquant des tickets crackables hors ligne (RC4, spécifiquement le type de chiffrement 0x17), et une analyse de base pour distinguer les demandes de tickets de service légitimes des patterns d'attaque. La logique de détection doit tenir compte du comportement normal de l'environnement — un serveur web qui demande légitimement des centaines de tickets de service par jour ne devrait pas générer la même alerte qu'un poste de travail utilisateur qui demande soudainement des tickets pour 50 comptes de service différents.
Calibrage du SIEM
La plupart des déploiements SIEM souffrent de l'un des deux problèmes : trop d'alertes de faible qualité (fatigue d'alerte), ou trop peu d'alertes avec des lacunes critiques de couverture. Le calibrage traite les deux. Nous examinons les règles de détection existantes, éliminons ou affinons celles avec des taux de faux positifs élevés, identifions les lacunes de couverture en cartographiant les détections par rapport à ATT&CK, et établissons des processus de calibrage continu qui traitent les règles de détection comme du code nécessitant de la maintenance.
Métriques de qualité des alertes
On ne peut pas améliorer ce qu'on ne mesure pas. Nous aidons les organisations à établir des métriques pour leur capacité de détection :
- Précision : Le pourcentage d'alertes représentant de vrais événements de sécurité positifs. Une faible précision signifie que le temps des analystes est gaspillé à investiguer des faux positifs.
- Rappel : Le pourcentage d'événements de sécurité réels qui génèrent une alerte. Un faible rappel signifie que des menaces passent inaperçues.
- Temps moyen de détection (MTTD) : Le délai entre l'action de l'attaquant et la génération d'une alerte. Plus bas est mieux.
- Temps moyen de réponse (MTTR) : Le délai entre la génération de l'alerte et l'achèvement des actions de réponse initiales. Cela mesure l'efficacité combinée de la détection et des opérations.
Detection-as-Code
L'ingénierie de détection moderne traite les règles de détection de la même manière que l'ingénierie logicielle traite le code applicatif : versionné, revu par les pairs, testé et déployé via un pipeline CI/CD. Le Detection-as-Code fournit : le suivi des changements (qui a modifié cette règle et pourquoi), la capacité de retour en arrière, les tests automatisés contre des données bonnes et mauvaises connues, et un déploiement cohérent entre les environnements. Nous aidons les organisations à mettre en oeuvre des pipelines Detection-as-Code en utilisant des outils comme les règles SIGMA (un format de règle de détection indépendant du fournisseur) qui peuvent être compilées pour la plateforme SIEM spécifique du client.
Règles SIGMA
SIGMA est un standard ouvert pour écrire des règles de détection dans un format YAML indépendant du SIEM. Une seule règle SIGMA peut être compilée en Splunk SPL, Elastic Query Language, Microsoft Sentinel KQL, ou des dizaines d'autres plateformes. Cela élimine le verrouillage fournisseur pour le contenu de détection, permet le partage de la logique de détection à travers la communauté, et permet aux organisations de maintenir un ensemble canonique unique de règles de détection quelle que soit leur plateforme SIEM. ForgeWork développe des règles SIGMA personnalisées pour les environnements clients et contribue au dépôt de règles SIGMA open source.
Architecture Zero Trust
Le Zero Trust est un modèle de sécurité basé sur le principe qu'aucun utilisateur, appareil ou segment réseau ne devrait être intrinsèquement de confiance. Au lieu de l'approche traditionnelle château-et-douves (où tout à l'intérieur du périmètre est de confiance), le Zero Trust exige une vérification continue de chaque demande d'accès basée sur tout le contexte disponible.
Le concept est né avec John Kindervag chez Forrester Research en 2010 et a été formalisé par le NIST dans la publication spéciale 800-207 (Zero Trust Architecture). Il repose sur trois principes fondamentaux :
Vérifier explicitement
Chaque demande d'accès est authentifiée et autorisée sur la base de tous les points de données disponibles : identité de l'utilisateur, état de santé de l'appareil, localisation, sensibilité de la ressource et anomalies comportementales. Cela contraste avec les modèles traditionnels où l'authentification se produit une seule fois (à la passerelle VPN ou à la connexion au domaine) et l'accès ultérieur au sein de la zone de confiance est largement non vérifié. Dans un modèle Zero Trust, un utilisateur qui s'est authentifié il y a cinq minutes doit encore passer la vérification lors de l'accès à une nouvelle ressource, et la vérification peut considérer un contexte supplémentaire — est-ce un appareil géré ? Le comportement de l'utilisateur est-il cohérent avec ses habitudes normales ? La ressource demandée est-elle cohérente avec son rôle ?
Moindre privilège
L'accès est accordé au niveau minimum requis pour la tâche en cours, en utilisant des politiques d'accès juste-à-temps (JIT) et d'accès juste-suffisant (JEA). L'accès à privilèges est limité dans le temps et spécifique à un objectif plutôt que persistant. Cela limite le rayon d'impact des identifiants compromis — si le compte d'un utilisateur est compromis, l'attaquant n'accède qu'aux ressources que cet utilisateur peut atteindre, et l'accès administrateur nécessite des étapes de vérification supplémentaires que l'attaquant peut ne pas pouvoir satisfaire.
Présumer la violation
Concevoir les systèmes et contrôles en partant de l'hypothèse qu'un attaquant est déjà présent dans l'environnement. Cela pousse l'investissement dans la surveillance, la détection d'anomalies, la microsegmentation et la réponse automatisée — car si vous présumez que le périmètre a déjà été franchi, vous vous concentrez sur la limitation de ce que l'attaquant peut faire une fois à l'intérieur, plutôt que uniquement sur le fait de le maintenir à l'extérieur.
Mise en oeuvre pratique
Le Zero Trust est une stratégie, pas un produit. La mise en oeuvre est un parcours pluriannuel qui commence typiquement par l'identité (authentification forte, politiques d'accès conditionnel, gestion des accès à privilèges) et s'étend progressivement à la vérification de l'état de santé des appareils, la microsegmentation réseau, les contrôles d'accès au niveau applicatif et les politiques pilotées par la classification des données. ForgeWork aide les organisations à développer une feuille de route Zero Trust pragmatique qui apporte des améliorations de sécurité incrémentales à chaque étape, plutôt que d'attendre une transformation complète qui pourrait ne jamais arriver.
Posture de sécurité cloud
Les environnements cloud introduisent un modèle de sécurité fondamentalement différent. Le modèle de responsabilité partagée signifie que le fournisseur cloud sécurise l'infrastructure, mais le client est responsable de la sécurisation de ses configurations, données, politiques d'accès et charges de travail. La mauvaise compréhension de cette frontière est la cause racine de la plupart des incidents de sécurité cloud.
Cloud Security Posture Management (CSPM)
Les outils CSPM surveillent en continu les configurations cloud par rapport aux référentiels de sécurité et cadres de conformité. Nous aidons les organisations à déployer et calibrer des solutions CSPM, établir des workflows de remédiation pour les constats, et construire les processus organisationnels pour suivre le rythme de changement de configuration dans les environnements cloud. Sans CSPM, les mauvaises configurations cloud peuvent persister des mois avant d'être découvertes — si elles sont découvertes avant qu'un attaquant ne les trouve.
Revue IAM
L'IAM cloud est le composant le plus critique et le plus complexe de la sécurité cloud. Nous examinons les politiques IAM pour les accès excessivement permissifs, analysons les patterns d'accès inter-comptes, identifions les rôles dormants et orphelins, évaluons les rôles liés aux services et leurs permissions, et évaluons l'utilisation d'identifiants temporaires par rapport aux clés d'accès à longue durée de vie. Une seule politique IAM trop permissive peut annuler tous les autres contrôles de sécurité dans l'environnement cloud.
Chiffrement et protection des données
Nous examinons les implémentations de chiffrement pour les données au repos (stockage, bases de données, sauvegardes) et en transit (configurations TLS, gestion des certificats, chiffrement du trafic interne). Nous évaluons les pratiques de gestion des clés — qui a accès aux clés de chiffrement, comment sont-elles renouvelées, sont-elles stockées de manière sécurisée — et identifions les magasins de données qui manquent de chiffrement ou de contrôles d'accès appropriés.
Journalisation et surveillance
Les environnements cloud génèrent des pistes d'audit étendues — CloudTrail dans AWS, Activity Log dans Azure, Cloud Audit Logs dans GCP — mais de nombreuses organisations ne parviennent pas à activer toutes les sources de logs pertinentes, à stocker les logs pour une période de rétention adéquate, ou à les surveiller réellement pour des événements de sécurité. Nous examinons la configuration de la journalisation, nous assurons que les événements critiques sont capturés et transmis au SIEM, et construisons des règles de détection spécifiques aux techniques d'attaque cloud.
Sécurité des conteneurs et du serverless
Les environnements de conteneurs (Docker, Kubernetes) et les plateformes serverless (Lambda, Azure Functions, Cloud Functions) introduisent des considérations de sécurité uniques : gestion des vulnérabilités d'images, protection en temps d'exécution, gestion des secrets, application de politiques réseau, et la surface d'attaque élargie créée par les APIs d'orchestration de conteneurs. Nous examinons les configurations de sécurité des conteneurs, évaluons les politiques RBAC Kubernetes, évaluons les pipelines de scan d'images et de contrôle d'admission, et testons les configurations de fonctions serverless pour les vulnérabilités courantes.
Notre modèle de livraison
Les missions d'ingénierie de sécurité suivent un modèle de livraison structuré conçu pour produire des améliorations durables — pas seulement un rapport décrivant ce qui devrait être fait, mais une mise en oeuvre réelle et un transfert de connaissances qui laisse l'équipe du client plus compétente.
Phase d'évaluation
Nous commençons par comprendre l'état actuel : examen de l'architecture, des configurations et de la documentation existantes ; entretiens avec le personnel technique clé ; et cartographie de la posture de sécurité de l'environnement par rapport aux cadres et référentiels pertinents. Cette phase produit un rapport d'évaluation détaillé avec des constats priorisés et des recommandations.
Phase de conception
Sur la base des constats d'évaluation et des priorités du client, nous concevons des solutions qui comblent les lacunes identifiées. Le travail de conception inclut : schémas d'architecture, spécifications de configuration, plans de mise en oeuvre et — de manière critique — une définition claire des critères de succès qui seront utilisés pour valider la mise en oeuvre. Les documents de conception sont examinés avec l'équipe technique du client avant le début de la mise en oeuvre, garantissant l'alignement et faisant apparaître toute contrainte opérationnelle en amont.
Mise en oeuvre
Nous mettons en oeuvre les solutions conçues dans l'environnement du client, en travaillant aux côtés de leur équipe technique. Pour les changements à haut risque (modifications de segmentation réseau, changements d'infrastructure d'identité, déploiements de règles de détection), nous suivons une approche par étapes : mise en oeuvre en mode surveillance d'abord, validation du comportement, puis application. Cette approche minimise les perturbations opérationnelles tout en garantissant l'efficacité des améliorations de sécurité.
Transfert de connaissances
Chaque mission d'ingénierie inclut des sessions dédiées de transfert de connaissances où nous présentons à l'équipe du client ce qui a été mis en oeuvre, pourquoi cela a été mis en oeuvre de cette façon, comment le maintenir, et comment l'étendre à mesure que l'environnement évolue. Nous fournissons des runbooks pour les opérations courantes et des guides de dépannage pour les problèmes fréquents. L'objectif est que l'équipe du client possède et exploite les nouvelles capacités de manière autonome après la fin de la mission.
Documentation
Tout le travail est documenté : décisions d'architecture, changements de configuration, logique des règles de détection, procédures opérationnelles et exigences de maintenance. La documentation est livrée dans le format préféré du client et intégrée dans ses systèmes de documentation existants. Une bonne documentation fait la différence entre une amélioration de sécurité qui perdure et une qui se dégrade dès que l'équipe de conseil part.
Ressources associées
- Évaluation des Menaces & Tests d'Intrusion — Identifiez les lacunes avant de concevoir les solutions.
- ForgeWork Insights — Articles techniques sur les sujets d'ingénierie de sécurité.
Construisez une sécurité qui dure
Que vous ayez besoin d'une revue d'architecture, d'un durcissement d'infrastructure, d'ingénierie de détection ou d'une feuille de route vers le Zero Trust — les ingénieurs sécurité de ForgeWork apportent une expérience opérationnelle à chaque mission. Parlons du renforcement de vos défenses.