Toute la chaîne amont peut être impeccable, un artefact compromis ou une faille exploitée se manifestera quand même en production. Le domaine Runtime & exploitation (RUN) est le filet de sécurité de toute la chaîne.
La sécurité amont réduit la probabilité d'incident, elle ne l'annule pas :
une CVE publiée après la release, un comportement malveillant déclenché en prod
(comme un worm postinstall) ou une exfiltration n'apparaissent qu'à
l'exécution. Sans observabilité ni réponse préparée, on découvre la
compromission trop tard. Le domaine enchaîne donc quatre temps qui se répètent :
observer et détecter (journalisation centralisée, détection comportementale
runtime via eBPF, alerte sur anomalie), répondre (confiner la charge, notifier
dans les délais NIS2), restaurer une version saine (sauvegardes testées,
rollback, PCA/PRA), puis investiguer (forensique, cause racine) pour ne pas
rejouer l'incident.
Concrètement, ces exigences parent : la charge compromise qui agit en silence faute de surveillance, l'incident impossible à reconstituer sans journaux ni forensique, la réponse improvisée le jour J, et l'arrêt d'activité prolongé sans sauvegardes testées ni plan de reprise. Cette page couvre les 17 exigences SOCLE du domaine, des fondamentales (R1) aux souveraines (R3).
En production, détection et réponse limitent l'impact d'une compromission (exfiltration, latéral, wiper).
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Les exigences essentielles
Section intitulée « Les exigences essentielles »Quatre exigences forment la base : surveiller les charges, gérer les vulnérabilités en production, disposer d'une réponse à incident, et préserver la collecte forensique.
surveillance runtime des charges (comportement, réseau).#
Tous les contrôles amont franchis, c'est l'exécution qui reste la dernière ligne. Surveiller le comportement et le réseau des charges en production détecte ce qui a échappé au build (exfiltration, processus anormal) : sans cette observation, une charge compromise agit en toute discrétion une fois déployée.
- Preuve attendue
- Configuration de surveillance runtime (comportement, réseau).
- Outillage
- Falco
Correspondances & menaces parées 4 standards · 3 menaces
Une charge compromise exfiltre des données ou des secrets en production vers un système contrôlé par l'attaquant. La détection comportementale runtime est la dernière ligne, une fois les contrôles amont franchis ATT&CK. Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK. Un attaquant ayant obtenu l'exécution sur un hôte implante une persistance furtive au niveau du noyau ou du système : programme eBPF malveillant, extension système (systemd-sysext), module noyau ou hook de chargement. Le code survit aux redéploiements applicatifs, masque ses processus et connexions, et intercepte secrets et trafic. Les contrôles applicatifs et l'analyse d'image ne le voient pas : il vit sous la charge de travail, dans le plan hôte MITRE ATT&CK T1014 MITRE ATT&CK T1547.006 CNCF Runtime.
gestion des vulnérabilités en production : suivi et délais de correction.#
Une CVE publiée sur un composant déjà en production devient exploitable immédiatement. Suivre les vulnérabilités du déployé avec des délais de correction garantit qu'on patche ce qui tourne réellement, pas seulement ce qu'on construit : la sécurité ne s'arrête pas à la livraison.
- Preuve attendue
- Processus de gestion des vulnérabilités en production ; délais de correction suivis.
- Outillage
- Trivy Dependency-Track
Correspondances & menaces parées 4 standards · 2 menaces
Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK. Un attaquant ayant obtenu l'exécution sur un hôte implante une persistance furtive au niveau du noyau ou du système : programme eBPF malveillant, extension système (systemd-sysext), module noyau ou hook de chargement. Le code survit aux redéploiements applicatifs, masque ses processus et connexions, et intercepte secrets et trafic. Les contrôles applicatifs et l'analyse d'image ne le voient pas : il vit sous la charge de travail, dans le plan hôte MITRE ATT&CK T1014 MITRE ATT&CK T1547.006 CNCF Runtime.
détection et réponse aux incidents (procédure définie).#
Détecter un incident sans procédure de réponse mène à l'improvisation sous stress, où l'on aggrave souvent les choses. Une procédure définie (qui fait quoi, dans quel ordre) transforme la détection en action coordonnée : on contient et on éradique selon un plan, pas dans la panique du moment.
- Preuve attendue
- Procédure de détection et réponse aux incidents documentée.
- Outillage
- Falco
Correspondances & menaces parées 4 standards · 1 menace
Une charge détruit données, dépôts ou systèmes (wiper, suppression) pour saboter ou couvrir ses traces. La résilience (sauvegardes éprouvées, immuabilité) conditionne la capacité de reprise ATT&CK.
collecte forensique et capacité d'investigation préservée.#
Sans collecte forensique, un incident reste inexplicable : on ignore comment l'attaquant est entré et ce qu'il a touché, donc on rejoue la même faille. Préserver la capacité d'investigation (artefacts, logs, images) permet de reconstituer l'attaque et de corriger la cause, pas seulement le symptôme.
- Preuve attendue
- Dispositif de collecte forensique ; capacité d'investigation préservée.
- Outillage
- Falco
Correspondances & menaces parées 4 standards · 2 menaces
Une charge compromise exfiltre des données ou des secrets en production vers un système contrôlé par l'attaquant. La détection comportementale runtime est la dernière ligne, une fois les contrôles amont franchis ATT&CK. Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK.
Observer et détecter
Section intitulée « Observer et détecter »On journalise les charges (applicatif, système, réseau) de façon centralisée et conservée, on ajoute une détection comportementale (processus, fichiers, réseau, via eBPF), on alerte sur les écarts de comportement, et au souverain, on corrèle dans un SIEM.
journalisation centralisée des charges (applicatif, système, réseau), horodatée et conservée.#
Des journaux éparpillés sur chaque charge sont impossibles à corréler et effaçables par l'attaquant. Une journalisation centralisée (applicatif, système, réseau), horodatée et conservée, rassemble la preuve hors de portée de la machine compromise, base de toute détection et investigation crédible en production.
- Preuve attendue
- Journalisation centralisée horodatée et conservée (applicatif, système, réseau).
- Outillage
- Falco Tetragon
Correspondances & menaces parées 3 standards · 1 menace
Une charge compromise exfiltre des données ou des secrets en production vers un système contrôlé par l'attaquant. La détection comportementale runtime est la dernière ligne, une fois les contrôles amont franchis ATT&CK.
détection comportementale runtime (processus, fichiers, réseau ; ex. eBPF) sur les charges de production.#
Vérifier la configuration ne dit rien de ce qu'une charge fait réellement à l'exécution. La détection comportementale runtime (processus, fichiers, réseau, via eBPF) observe le comportement réel et repère l'anomalie, comme une connexion sortante inattendue, que ni le code ni la config ne laissaient prévoir.
- Preuve attendue
- Détection comportementale runtime (eBPF/agent) sur les charges de production.
- Outillage
- Falco Tetragon
Correspondances & menaces parées 2 standards · 2 menaces
Une charge compromise exfiltre des données ou des secrets en production vers un système contrôlé par l'attaquant. La détection comportementale runtime est la dernière ligne, une fois les contrôles amont franchis ATT&CK. Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK.
détection d'anomalies et alerte sur écart de comportement attendu.#
Observer sans règle de réaction ne sert à rien : l'écart passe inaperçu. Une détection d'anomalies avec alerte sur écart de comportement attendu transforme l'observation en signal actionnable : un processus ou un flux qui sort de la normale déclenche une réaction, au lieu de se noyer dans les journaux.
- Preuve attendue
- Détection d'anomalies et alertes sur écart de comportement.
- Outillage
- Falco Tetragon
Correspondances & menaces parées 2 standards · 2 menaces
Une charge compromise exfiltre des données ou des secrets en production vers un système contrôlé par l'attaquant. La détection comportementale runtime est la dernière ligne, une fois les contrôles amont franchis ATT&CK. Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK.
surveillance renforcée et corrélation SIEM pour les charges sensibles.#
Les charges sensibles méritent plus qu'une surveillance standard. Une surveillance renforcée et la corrélation SIEM croisent leurs signaux avec le reste du SI pour détecter des attaques discrètes qu'un suivi isolé manquerait, concentrant l'effort d'observation là où l'impact d'une compromission serait le plus lourd.
- Preuve attendue
- Surveillance renforcée et corrélation SIEM pour charges sensibles.
- Outillage
- Falco Tetragon
Correspondances & menaces parées 2 standards · 1 menace
Répondre à l'incident
Section intitulée « Répondre à l'incident »La réponse est préparée, pas improvisée : une procédure documentée (rôles, délais, alignée NIS2), une capacité de confinement rapide d'une charge compromise, la notification réglementaire dans les délais, et des exercices (game days) réguliers.
procédure de réponse à incident documentée, avec rôles et délais (alignée NIS2).#
Improviser une réponse à incident coûte un temps précieux et des erreurs. Une procédure documentée avec rôles et délais, alignée NIS2, garantit que chacun sait quoi faire et dans quel ordre dès la détection : la réponse devient un réflexe organisé plutôt qu'une course désordonnée contre la montre.
- Preuve attendue
- Procédure de réponse à incident documentée (rôles, délais).
Correspondances & menaces parées 2 standards · 2 menaces
Une charge compromise exfiltre des données ou des secrets en production vers un système contrôlé par l'attaquant. La détection comportementale runtime est la dernière ligne, une fois les contrôles amont franchis ATT&CK. Une charge détruit données, dépôts ou systèmes (wiper, suppression) pour saboter ou couvrir ses traces. La résilience (sauvegardes éprouvées, immuabilité) conditionne la capacité de reprise ATT&CK.
capacité de confinement / isolation rapide d'une charge compromise.#
Une charge compromise laissée active continue d'exfiltrer ou de se propager. La capacité de confinement/isolation rapide (couper le réseau, geler, retirer) stoppe l'hémorragie dès la détection : on contient l'incident à son périmètre au lieu de le laisser s'étendre pendant qu'on délibère.
- Preuve attendue
- Capacité de confinement/isolation rapide d'une charge compromise.
Correspondances & menaces parées 2 standards · 2 menaces
Après une intrusion initiale, l'attaquant se déplace latéralement et installe des mécanismes de persistance pour conserver l'accès. La compromission s'étend dans le temps et l'espace faute de détection et de segmentation ATT&CK. Une charge détruit données, dépôts ou systèmes (wiper, suppression) pour saboter ou couvrir ses traces. La résilience (sauvegardes éprouvées, immuabilité) conditionne la capacité de reprise ATT&CK.
notification réglementaire d'incident dans les délais (NIS2).#
NIS2 impose de notifier certains incidents dans des délais stricts, sous peine de sanction. Disposer du processus de notification garantit de tenir l'échéance le jour venu, plutôt que de découvrir l'obligation en pleine crise et d'ajouter le risque juridique au risque technique déjà en cours.
- Preuve attendue
- Procédure de notification réglementaire d'incident (NIS2).
Correspondances & menaces parées 2 standards · 1 menace
Une charge détruit données, dépôts ou systèmes (wiper, suppression) pour saboter ou couvrir ses traces. La résilience (sauvegardes éprouvées, immuabilité) conditionne la capacité de reprise ATT&CK.
exercices de réponse à incident (game days) réguliers et tracés.#
Une procédure de réponse jamais éprouvée s'effondre au premier incident réel. Des exercices réguliers (game days), tracés, révèlent les failles du plan (rôles flous, outils manquants) à froid, quand on peut corriger : on s'entraîne avant le match, pas pendant la crise où l'erreur coûte cher.
- Preuve attendue
- Comptes rendus d'exercices de réponse à incident.
Correspondances & menaces parées 2 standards · 1 menace
Une charge détruit données, dépôts ou systèmes (wiper, suppression) pour saboter ou couvrir ses traces. La résilience (sauvegardes éprouvées, immuabilité) conditionne la capacité de reprise ATT&CK.
Restaurer et assurer la continuité
Section intitulée « Restaurer et assurer la continuité »On garde la capacité de revenir à un état sain : sauvegardes chiffrées et restauration testée, rollback rapide d'une version saine, et un plan de continuité (PCA/PRA) éprouvé.
sauvegardes chiffrées et restauration testée régulièrement.#
Une sauvegarde non testée est une fausse assurance : on découvre qu'elle est inutilisable quand on en a besoin. Des sauvegardes chiffrées avec restauration testée régulièrement garantissent une reprise réelle après panne, corruption ou rançongiciel, et le chiffrement protège ces copies si elles tombent en de mauvaises mains.
- Preuve attendue
- Sauvegardes chiffrées ; restauration testée.
Correspondances & menaces parées 3 standards · 1 menace
Une charge détruit données, dépôts ou systèmes (wiper, suppression) pour saboter ou couvrir ses traces. La résilience (sauvegardes éprouvées, immuabilité) conditionne la capacité de reprise ATT&CK.
capacité de rollback / redéploiement rapide d'une version saine.#
Quand une version déployée se révèle compromise ou défaillante, l'incapacité à revenir vite prolonge l'incident. La capacité de rollback/redéploiement rapide d'une version saine connue raccourcit le temps d'exposition : on restaure un état de confiance en minutes au lieu de subir la version cassée le temps d'un correctif.
- Preuve attendue
- Capacité de rollback/redéploiement rapide d'une version saine.
Correspondances & menaces parées 2 standards · 1 menace
Une charge détruit données, dépôts ou systèmes (wiper, suppression) pour saboter ou couvrir ses traces. La résilience (sauvegardes éprouvées, immuabilité) conditionne la capacité de reprise ATT&CK.
plan de continuité / reprise (PCA/PRA) documenté et éprouvé.#
Un plan de continuité qui n'existe que sur le papier ne tient pas face à un sinistre majeur. Un PCA/PRA documenté et éprouvé garantit qu'on sait reconstruire et reprendre l'activité après une perte grave (ransomware, panne régionale), avec des délais connus, plutôt que de découvrir l'ampleur du trou en pleine catastrophe.
- Preuve attendue
- Plan de continuité/reprise (PCA/PRA) éprouvé.
Correspondances & menaces parées 3 standards · 1 menace
Une charge détruit données, dépôts ou systèmes (wiper, suppression) pour saboter ou couvrir ses traces. La résilience (sauvegardes éprouvées, immuabilité) conditionne la capacité de reprise ATT&CK.
Investiguer après coup
Section intitulée « Investiguer après coup »Au souverain, on préserve les preuves : collecte forensique (artefacts, logs, images) avec chaîne de preuve, et une capacité d'investigation post-incident outillée (timeline, root cause) pour corriger la cause durablement.
collecte forensique préservée (artefacts, logs, images) avec chaîne de preuve.#
Des preuves collectées sans rigueur sont inexploitables, et juridiquement nulles. Une collecte forensique (artefacts, logs, images) avec chaîne de preuve préserve l'intégrité des éléments d'investigation : on peut reconstituer l'attaque et, si besoin, soutenir une procédure, plutôt que de manipuler des indices contaminés.
- Preuve attendue
- Collecte forensique préservée avec chaîne de preuve.
Correspondances & menaces parées 2 standards · 3 menaces
Une charge compromise exfiltre des données ou des secrets en production vers un système contrôlé par l'attaquant. La détection comportementale runtime est la dernière ligne, une fois les contrôles amont franchis ATT&CK. Une charge détruit données, dépôts ou systèmes (wiper, suppression) pour saboter ou couvrir ses traces. La résilience (sauvegardes éprouvées, immuabilité) conditionne la capacité de reprise ATT&CK. Un attaquant ayant obtenu l'exécution sur un hôte implante une persistance furtive au niveau du noyau ou du système : programme eBPF malveillant, extension système (systemd-sysext), module noyau ou hook de chargement. Le code survit aux redéploiements applicatifs, masque ses processus et connexions, et intercepte secrets et trafic. Les contrôles applicatifs et l'analyse d'image ne le voient pas : il vit sous la charge de travail, dans le plan hôte MITRE ATT&CK T1014 MITRE ATT&CK T1547.006 CNCF Runtime.
capacité d'investigation post-incident (timeline, root cause) outillée.#
Sans outillage d'investigation, reconstruire la timeline et la cause racine d'un incident est artisanal, lent et incomplet. Une capacité outillée (corrélation, reconstitution) permet de comprendre vite ce qui s'est passé et de corriger la vraie cause, condition pour ne pas rejouer le même incident.
- Preuve attendue
- Capacité d'investigation post-incident outillée (timeline, root cause).
- Outillage
- Falco
Correspondances & menaces parées 2 standards · 2 menaces
Une charge compromise exfiltre des données ou des secrets en production vers un système contrôlé par l'attaquant. La détection comportementale runtime est la dernière ligne, une fois les contrôles amont franchis ATT&CK. Une charge détruit données, dépôts ou systèmes (wiper, suppression) pour saboter ou couvrir ses traces. La résilience (sauvegardes éprouvées, immuabilité) conditionne la capacité de reprise ATT&CK.
Pièges courants
Section intitulée « Pièges courants »- Logs sans détection : journaliser sans analyser ne repère rien (RUN-X1-2).
- Réponse improvisée : sans procédure ni exercices, on perd un temps critique (RUN-0-3, RUN-X2-4).
- Sauvegardes non testées : on découvre qu'elles sont inexploitables pendant l'incident (RUN-X3-1).
- Notification oubliée : NIS2 impose des délais ; les rater expose à sanction (RUN-X2-3).
- Pas de forensique : sans préservation des preuves, l'analyse de cause est impossible (RUN-0-4).
À retenir
Section intitulée « À retenir »- Le runtime est le filet de sécurité : il rattrape ce qui a échappé à l'amont.
- Les essentielles : surveiller, gérer les vulnérabilités en prod, répondre, préserver le forensique.
- La détection comportementale (eBPF) repère ce que les logs seuls ratent.
- La réponse se prépare (procédure, confinement, notification NIS2, exercices).
- La restauration (sauvegardes testées, rollback) et l'investigation ferment la boucle.