Mise à jour : 4 novembre 2025 Excellente nouvelle, chers coureurs ! Nous avons ajouté de nouveaux codes pour vous donner un coup de pouce dans ThrottleX ! ThrottleX est sans aucun doute l’une des expériences de conduite les plus remarquables sur Roblox. Avec un vaste monde ouvert rempli de paysages à couper le souffle, […]
Les fans de Jujutsu Kaisen sont en effervescence alors que Gege Akutami et Yuji Iwasaki continuent d’élargir l’univers captivant de Modulo. L’histoire longtemps attendue des énigmatiques Simurians se déroule actuellement, éclairant leur soudaine apparition sur Terre. Êtes-vous impatient d’en savoir plus? Plongeons dans les détails clés concernant le prochain chapitre 9 de Jujutsu Kaisen Modulo. […]
Mis à jour : 4 novembre 2025 Nous avons cherché de nouveaux codes ! Loomian Legacy offre une aventure délicieuse où vous capturez et bataillez avec des créatures charmantes connues sous le nom de Loomians. En naviguant dans le monde du jeu, vous résoudrez des mystères intrigants tout en construisant votre collection de ces compagnons […]
Meta est actuellement sous le feu des critiques pour une prétendue erreur qui s’est transformée en un procès très médiatisé. Le géant technologique, qui s’est recentré sur le métavers et l’IA, est accusé par les sociétés de films pour adultes Strike 3 Holdings et Counterlife Media d’avoir téléchargé illégalement des milliers de vidéos pornographiques pour […]
YouTube a fêté ses vingt ans d’existence, et malgré de nombreux changements, la plateforme conserve la même philosophie : permettre à des millions de créateurs de partager leurs vidéos et, pour beaucoup, d’en faire leur métier. Si l’expérience utilisateur s’est nettement améliorée au fil des années : meilleure qualité d’image, codecs modernes, interface repensée, certaines […]
La Lune sera un peu plus grosse et un peu plus lumineuse que d'habitude mercredi, en raison de la pleine Lune et de son orbite proche de la Terre, un épisode fréquent appelé Super Lune.
Si le phénomène est largement annoncé sur les réseaux sociaux, il ne faut toutefois pas s'attendre à une vision d'apocalypse, avec le satellite de la Terre occupant de toute sa taille l'horizon: selon les calculs, la Lune devrait être plus grande visuellement de 5,7%, et plus lumineuse de 11,7%.
"Pour nous les astronomes, il ne se passe rien demain.
Rassurant pour certains, effrayant pour d’autres, il existe désormais une intelligence artificielle capable de prédire les probabilités que vous attrapiez une maladie dans les vingt prochaines années.
Après une petite baisse des températures dimanche et lundi matin, le mercure va grimper de manière vertigineuse ce mercredi : les températures seront dignes du printemps sur l’ensemble de la France !
Lorsque vous effectuez vos achats en ligne, il est toujours plus sûr d’utiliser un VPN fiable, surtout si vous vous connectez à un réseau Wi-Fi public. Découvrez pourquoi cette précaution est essentielle et quel VPN choisir entre ExpressVPN et Proton VPN.
L’iPad A16 affiche une grande polyvalence et séduit de nombreux utilisateurs de tablettes tactiles. Actuellement proposé à prix réduit chez Rakuten, ce modèle récent s’adapte aussi bien aux usages professionnels qu’aux moments de détente, que ce soit pour travailler, prendre des notes, regarder...
« Sur une technologie de SIEM, quand le travail est bien fait en amont sur les équipements, on a surtout de la donnée technique. Pas de données à caractère personnel, pas de données sensibles particulières« .
Keran Campeon justifie ainsi le fait que son équipe n’utilise pas la version SecNumCloud de l’offre Sekoia.
L’intéressé est, depuis décembre 2021, responsable du SOC de l’Urssaf Caisse nationale (agence centrale du réseau des Urssaf).
Sur un effectif global d’environ 17 000 collaborateurs, 1300 travaillent à la DSI. Le parc informatique sur l’ensemble du réseau comprend quelque 15 000 serveurs, 22 000 postes de travail et 800 applications, développées en interne.
Une direction adjointe à la DSI porte les thèmes de l’infrastructure, de l’architecture et de la sécurité. Le département SSI y est divisé en deux secteurs, dits tactique et opérationnel. Le premier décline les stratégies de haut niveau en stratégies opérationnelles (écriture d’exigences non fonctionnelles de sécurité, analyse de risques opérationnels au sens régalien du terme, gestion des vulnérabilités/pentests, etc.). Le second comprend, entre autres, des équipes sur la gestion des identités, une équipe intégratrice de solutions techniques… et le SOC.
Ce dernier réunit un peu moins de 20 personnes. Son activité était englobée dans celles d’un centre d’expertise technique jusqu’à la décision, en avril 2017, de créer une équipe dédiée.
2017 : une stack ELK pour commencer
« On démarre à 4 ou 5, et sans outils, déclare Keran Campeon. Il existe une stack ELK qui sert à la production. On s’appuie dessus. On met des tableaux de bord en place. On y ajoute un élément open source : ElastAlert, qui nous permet de faire des règles d’alerting basiques.«
En 2019, des études de NDR sont lancées. Elles se révèlent concluantes. L’expérimentation qui s’ensuit est néanmoins arrêtée au bout d’un an. Elle répondait à un besoin, mais apportait une vue purement télémétrie réseau. L’Urssaf n’avait alors pas de vision des endpoints (EDR en cours de déploiement). Elle n’avait pas non plus de SIEM. En la matière, un projet avait bien été enclenché à la fin des années 2000, mais ne s’était pas concrétisé. « On avait déployé toute la partie infrastructure et réseau. Mais on n’est jamais allé au bout du sujet sur les endpoints et la supervision système« , reconnaît Keran Campeon. Le projet manquait d’autant plus d’un pilotage bien défini que son initiateur était parti en cours de route. Par ailleurs, l’équipe mobilisée était réduite (3 personnes, non dédiées). Et les technologies de SIEM n’étaient pas les mêmes qu’aujourd’hui (parseurs développés à base de regex).
Il n’était, de surcroît, pas facile de déterminer un périmètre pour le NDR. « Tout étant interconnecté chez nous, on se retrouve vite à devoir projeter un déploiement sur l’intégralité du SI. Avec un prix qui, à l’époque, approche grandement de celui d’un déploiement SIEM [sur ce même périmètre]. » Dans ce contexte, l’Urssaf décide donc de plutôt achever le déploiement de l’EDR, puis de mettre en place le SIEM.
2020 : le choix d’un SOC hybride
Toujours en 2019, les travaux sur la stack ELK permettent de constater que les services Urssaf exposés sur Internet subissent régulièrement des incidents. « Des access brokers venaient […] faire du credential stuffing sur nos portails pour valider des comptes et leur donner de la valeur à la revente, explique Keran Campeon. Quelques jours après il pouvait y avoir de la réutilisation de certains de ces comptes pour des tentatives de fraude. C’est particulièrement apparu [lors de la mise en place de nouvelles offres de services].«
Fin 2020, une étude est lancée en vue d’une surveillance 24/7 sur ce périmètre grâce à un SOC managé, la gestion du legacy devant reposer sur les équipes internes aux heures ouvrées. Quasiment en parallèle démarre la veille sur une solution de SIEM.
2022 : le début du PoC SIEM
En novembre 2021, le projet de déploiement du SOC hybride est lancé. Le passage en prod sur le service managé intervient en mars 2022. Débute alors le PoC SIEM. 9 solutions sont évaluées sur papier. 3 sont retenues. Parmi elles, un pure player, un éditeur déjà présent sur le SI au niveau de la gestion des vulnérabilités… et Sekoia, arrivé au moment opportun. « On terminait les deux autres PoC. On avait un peu de temps avant de rendre la copie« , précise Keran Campeon.
L’évaluation s’est faite sur 22 critères regroupés en 9 « fonctions ».
Fonction
Critères
COLLECTE
Intégration de la solution dans le SI
Gestion des sources de données
INTERFACE
Gestion des accès (AAA)
Prise en main de la console
DETECTION
Règles de détection
Gestion des alertes
Threat Intelligence
ANALYSE
Contextualisation des données
Analyse des incidents
Analyse comportementale
Accès aux logs bruts
Threat hunting
Gestion des requêtes
REPONSE
SOAR
REPORTING
Tableau de bord / Rapport
SUPPORT
Support technique
Relation client
Documentation
DIVERS
Marge de progression
Souveraineté des données
Ressentis évaluateurs
FINANCIER
Projection sur 5 ans et 50 000 assets
Techniquement, Sekoia n’était pas forcément au-dessus des autres. Il s’est en revanche distingué sur l’aspect relationnel et le support. « On avait des idées d’évolutions possibles. Ils [les ont] prises très au sérieux. Ils en ont même inscrit dans la roadmap dès la phase de PoC« , se réjouit Keran Campeon. Lequel apprécie aussi l’approche normative de l’éditeur, basée sur des standards : Sigma comme langage de détection, ECS pour les requêtes sur la télémétrie, STIX/TAXII pour la CTI…
La solution du pure player présentait une exploitation complexe et soulevait des difficultés sur la prévision budgétaire (licence à la consommation), en plus de l’absence de cadre d’achat existant.
L’autre solution passée en PoC était en avance technologiquement, mais proposait des scénarios de détection peu évolutifs. Il lui manquait, de surcroît, des sources critiques, comme le WAF. L’Urssaf percevait également qu’elle ne pourrait pas avoir beaucoup d’influence sur l’évolution du produit.
2023 : de l’expérimentation à la généralisation du SIEM
Sekoia sélectionné, une expérimentation d’un an est lancée. Elle est centrée sur les postes utilisateurs, pour couvrir les menaces les plus courantes. Il s’agit alors d’intégrer, au minimum, les événements des contrôleurs de domaine, des antivirus/EDR, des proxys de navigation, de la messagerie (antispams, sandbox) et de l’environnement Office 365. Il s’agit aussi d’améliorer la capacité de réponse aux requêtes judiciaires et de favoriser l’exploitation des IOC tranmis par l’ANSSI.
Les objectifs ont été atteints en quelques mois, nous assure-t-on. Keran Campeon fait remarquer l’ouverture de la plate-forme, « agnostique » des autres éditeurs. Et de souligner que chez certains fournisseurs, des fonctionnalités XDR comme le moteur d’analyse comportementale ne marchent que si on source les briques sous-jacentes chez eux (leur firewall, leur NDR, etc.).
Fin 2023, le déploiement est généralisé sur le périmètre initialement défini pour le SOC interne. À la suite de quoi l’Urssaf envisage d’aller plus loin sur la surveillance de ses applications. L’idée est alors de dépasser la phase initiale axée sur sur le trafic des usagers à travers les logs du WAF, pour couvrir les socles qui portent ces applications (partie système).
2024 : l’Urssaf enclenche la réinternalisation du SOC managé
Rapidement, les dérapages potentiels du le modèle à l’EPS [événements par seconde] sont constatés. Une étude est donc réalisée sur la capacité à réinternaliser ce périmètre. D’autant plus qu’entre-temps, l’équipe a grandi. La démarche est effectivement lancée en novembre 2024. La relation avec le fournisseur du SOC managé ne s’arrête pas totalement : elle bascule vers le sujet CSIRT. En avril 2025, tout est opéré en interne. Au cours de l’été, le déploiement est massifié. La partie navigation des usagers est intégrée.
Pour gérer ses alertes, l’Urssaf a intégré un « petit plus » : un serveur Ollama avec un playbook qui déclenche une analyse des événements sur un LLM. Les équipes du SOC bénéficient ainsi d’un premier récapitulatif. Particulièrement utile pour l’analyse de commandes système avec plein d’arguments, selon Keran Campeon. »
Sekoia a son propre LLM Roy, qu’il héberge en interne. « On l’utilise, mais encore de manière trop ponctuelle« , reconnaît Keran Campeon. Il en souligne néanmoins le potentiel sur la création – partielle, tout au moins – de règles Sigma. « C’est un peu comme quand on utilise un LLM aujourd’hui : ça nous permet surtout de ne pas partir d’une feuille blanche.«
2026 : basculer le case management sur Sekoia
Roy est aussi intégré au niveau du case management. L’Urssaf a un enjeu fort sur cet aspect : elle espère, d’ici à mi-2026, le basculer sur Sekoia. Elle est satisfaite de son outil actuel, mais la synchronisation de l’information n’est pas évidente à maintenir. Sekoia a, de plus, récemment livré une évolution intéressante : le rapprochement d’alertes semblant correspondre à un incident et la création automatique de cases sur cette base.
Du point de vue de Keran Campeon, les notebooks font partie du sujet de case management. Pour son équipe, ils sont un moyen de décrire des « fiches réflexes » (typologie, critères de sévérité, actions à mener). « On est en discussion pour pouvoir générer, au sein des cases, des champs personnalisés requêtables. On a effectivement un sujet sur les indicateurs à sortir : je dois remonter des informations à mes décideurs.«
La question s’est posée de faire la bascule dès septembre 2025 (la licence de l’outil de ticketing arrivait à échéance début octobre). « On a hésité tout l’été. Techniquement, pour les analystes, on était prêt. La chose qui nous manquait, c’était cette partie des indicateurs.«
L’Urssaf a également adopté le detection as code (gestion des règles de détection sur un git). Elle y trouve un intérêt majeur pour la gestion de ses filtres. « Quand une application génère plein d’alertes, on va potentiellement avoir besoin de mettre son identifiant sur plein de règles. Aller le faire en clique-bouton, c’est vite pénible. Copier-coller dans un git, c’est facile« , résume Keran Campeon.
Propos recueillis lors de Assises de la cybersécurité 2025
Tesla vient d’émettre un dixième rappel pour son Cybertruck. 10 % de la flotte entière est concernée, et c’est tout bonnement dramatique pour le constructeur. Un désastre industriel à venir ?
Dans le vide intersidéral, il se trouve quelques molécules organiques complexes à base de carbone dont la forme rappelle celle d'un ballon de foot. Si leur existence est bien documentée, leur origine reste débattue.
Vous vous souvenez de l'époque où les pubs Coca-Cola de Noël nous donnaient envie d'en boire pendant les fêtes ? Nous non plus, car depuis deux ans la compagnie derrière la fameuse boisson gazeuse s'est mise en tête de produire des publicités festives conçues avec l'intelligence artificielle, et le résultat continue de diviser.Tilly Norwood : la prem...
Les Nums, l’émission, c'est notre rendez-vous mensuel sur Twitch pour déchiffrer et mieux comprendre l’actu et les grandes thématiques qui animent le monde de la tech et du numérique. Le deuxième épisode, c'est ce soir à partir de 18h30 sur la chaîne des Numériques.Cette fois, nous allons parler de cybersurveillance, de censure et de lutte contre la...
La marque Eufy élargit sa gamme de produits de sécurité connectés avec la SoloCam E42, une caméra de surveillance 4K conçue pour fonctionner sans raccordement électrique, grâce à un panneau solaire amovible de 3 watts. Elle vise les particuliers à la recherche d'un dispositif autonome et simple à installer pour la protection de leur domicile.La SoloC...
Top départ pour les promos de fin d’année chez Dell Technologies ! L’occasion de se faire plaisir tout en réalisant de belles économies. Entre remises exceptionnelles, bonus Dell Rewards, livraison offerte et garantie du meilleur prix, les raisons de craquer ne manquent pas. Et pour vous aider à dénicher les meilleures offres, on vous a préparé une s...
Vous êtes à la recherche d’un antivirus pour sécuriser vos appareils ? Si vous privilégiez également l’aspect économique, deux offres se démarquent actuellement sur le marché : Surfshark Antivirus à seulement 59,13 € pour 27 mois et Avira Antivirus Pro à partir de 20,95 € la première année.Surfshark Antivirus n’a été lancé qu’en 2021 et est intégré d...
Connexion
