Non ? Et pourtant vous devriez ... Car avant de mettre en place des outils très sophistiqués pour tracker les failles ou les intrusions, votre SI exprime déja spontanément un certain certain nombre de signaux qui devrait être écouté. Comme le médecin, avant de lancer des examens coûteux (scanner, analyse, etc), l'écoute du patient est un art qui révèle déja beaucoup d'information sur la maladie...
Quelques exemples :
- sur les postes de travail : les Logs du journal de sécurité de windows, le taux de modification de la base de registre, la taille des logs, le niveau de mise a jour du parc , le nombre de logiciel inconnus ou non autorisés
- sur le réseau : le taux de bande passante inconnu, l'évolution du parc d'adresse IP, les "TOP talker", la charge de certain routeur, des flux inconnus, des échanges improbable entre des adresses (ah le any-to-any ...) etc...
- sur les applications : les variations d'espace disques, de consommations CPU, des usages hors horaires, etc
Et la liste n'est pas exhaustive (mais vous avez probablement des idées la-dessus?)...
A ce point de la discussion, vous allez arguer que remonter et traiter ces informations est une charge trop lourdes ! Peut être...
En attendant, pourquoi ne pas imaginer des campagnes régulieres de sondanges (dans l'industrie, on ne goûte pas tous les boîtes de conserve et on ne teste pas toutes les piles). Alors depuis à quand remonte votre dernier échantillonage ?
