Cybersécurité défensive · Cas d'étude synthétique · France · 2026

HELIOS Micro-SOC
XDR

Un laboratoire multi-client reproductible couvrant Endpoint, Identity, Cloud, Mobile et Network — de la collecte des traces à la remédiation, avec règles versionnées, exclusions gouvernées, playbooks et pilotage opérationnel.

Le système relie les événements normalisés, les règles de détection, le tuning, la corrélation, l'investigation, le confinement, la remédiation, les preuves et les indicateurs de service dans une chaîne auditable.

3 clients synthétiques1 790 actifs75 000 événementsSigma + KQLWazuh + SuricataEDR / XDRCloud + MobilePython + Excel
System snapshot
HELIOS · v1.0Operational
75 000
Événements normalisés
255
Alertes après tuning
39
Incidents confirmés
94,87 %
Respect des SLA
Alertes brutesAlertes après tuningIncidents

Toutes les données, identités, entreprises et infrastructures sont fictives. Les méthodes, contrôles et formats de preuve sont conçus pour être reproductibles.

Pilotage opérationnel

Performance Micro-SOC sur 30 jours

Dix indicateurs synthétisent la chaîne de détection et réponse du 1er au 30 juin 2026, du signal brut à l'incident qualifié et au respect des engagements de service.

75 000
Événements normalisés
776
Alertes brutes
255
Alertes après tuning
67,14 %
Réduction du bruit
43
Cas corrélés
39
Incidents confirmés
90,70 %
Précision des cas
32 min
MTTD médian
106 min
Confinement médian
94,87 %
Respect des SLA
92,88 %
Couverture télémétrique
Cible 95 %
99,21 %
Parsing réussi
Cible 99 %
70,00 %
Couverture ATT&CK prioritaire
Cible 80 %
96,88 %
Tests de règles réussis
Cible 95 %

Les deux écarts assumés — télémétrie et couverture ATT&CK — alimentent un backlog priorisé plutôt qu'un statut artificiellement parfait.

HELIOS démontre une chaîne XDR complète : compréhension du système d'information, intégration multi-source, détection portable, tuning gouverné, diagnostic d'incident, réponse, preuves, reporting technique et synthèse opérationnelle.

Detection engineering

24 règles, 5 formats, 96 tests.

Incident response

5 playbooks, 39 incidents, délais mesurés.

Service governance

SLA, exclusions, ATT&CK, QA et feuille de route.

Chaîne analytique

Une chaîne gouvernée du signal à la preuve

Chaque étape produit un objet traçable et un contrôle vérifiable, avec cloisonnement par client et liens explicites entre événement, alerte, cas, incident, playbook et preuve.

Étape 1
Sources de télémétrie

EDR, Entra ID, cloud, MTD, Suricata et Zeek

traces brutes
Étape 2
Ingestion & normalisation

collecteurs, API, agents, syslog, schéma canonique

75 000 événements
Étape 3
Detection engineering

Sigma, KQL, Wazuh, Suricata et corrélation

24 règles versionnées
Étape 4
Tuning gouverné

seuils, déduplication et exclusions expirables

67,14 % de bruit réduit
Étape 5
Corrélation & triage

contexte client, actif, identité, technique et campagne

43 cas
Étape 6
Investigation

chronologie, preuves, cause racine et qualification

39 incidents confirmés
Étape 7
Réponse

confinement, remédiation, recovery et réversibilité

5 playbooks
Étape 8
Pilotage

SLA, ATT&CK, QA, reporting client et roadmap

décisions traçables
EVT → ALT → CAM → INC → PLAYBOOK → EVIDENCE

Cloisonnement systématique par client_id.

Traçabilité règle → alerte → cas → incident → preuve.

Aucune exclusion globale d'une détection critique.

Detection engineering

24 règles portables, versionnées et testées

Le catalogue couvre cinq domaines et cinq formats de détection. Chaque règle est reliée à une technique ATT&CK, une sévérité, un propriétaire, une fréquence de revue et un jeu de tests positifs et négatifs.

Source : 75 000 événements normalisés
Le tuning réduit le volume de 67,14 % tout en maintenant une précision de cas de 90,70 %. Les exclusions sont temporaires, approuvées, justifiées et expirables.
1,03 %
Alertes / événements
32,86 %
Alertes conservées
16,86 %
Cas / alertes qualifiées
90,70 %
Incidents / cas
6
Sigma
6
KQL
5
Corrélation
4
Suricata
3
Wazuh
Endpoint 8Cloud 5Identity 4Network 4Mobile 3

Catalogue de règles

IDRègleDomaineSévéritéTechniqueFormat
R001PowerShell encodé ou obfusquéEndpointHighT1059.001Sigma
R002Accès suspect à LSASSEndpointCriticalT1003.001Sigma
R003Processus enfant inhabituel de Microsoft OfficeEndpointHighT1204.002Sigma
R004Renommage massif de fichiersEndpointCriticalT1486Sigma
R005Téléchargement via LOLBinEndpointHighT1105Sigma
R006Échecs puis succès d’authentificationIdentityHighT1110KQL
R007Connexion géographiquement impossibleIdentityHighT1078KQL
R008Consentement OAuth à privilèges élevésCloudHighT1098.003KQL
R009Attribution administrateur globalCloudCriticalT1098KQL
R010Stockage cloud rendu publicCloudHighT1530KQL
Hypothèse → règle → test positif → test négatif → revue → production → mesure → tuning → révision
93 tests réussis sur 96 · 96,88 %

Un test échoué bloque le quality gate de la règle concernée.

Incident response

Diagnostic, confinement et remédiation mesurés

Les incidents sont qualifiés par chronologie, cause racine, techniques ATT&CK, playbook, actions de confinement, délais et respect du SLA.

Incidents par sévérité
Opérations par client
32 min
MTTD
51 min
MTTA
106 min
Confinement
3,96 h
Remédiation
INC-2026-001Escalade et exfiltration cloud
Client FR-INDMedium
  1. 02:52 — première activité
  2. 03:18 — détection
  3. 04:15 — acquittement
  4. 06:40 — confinement
  5. 11:30 — résolution
Techniques : T1098 · T1098.001 · T1530
Cause racine : Secret cloud compromis puis élévation de privilèges et extraction.
Playbook : PB03 — Cloud Privilege Abuse
Action : Révoquer les sessions et secrets, retirer le rôle, isoler la ressource, préserver les preuves et lancer la rotation contrôlée.
PB01
Endpoint Malware
Portée : Endpoint
Déclencheur : Malware, PowerShell obfusqué, accès LSASS ou comportement ransomware
  • Isoler l’hôte
  • Préserver les preuves
  • Bloquer les IOC
  • Éradiquer et restaurer
PB02
Identity Compromise
Portée : Identity
Déclencheur : Brute force, impossible travel, MFA fatigue ou authentification legacy
  • Révoquer les sessions
  • Réinitialiser les secrets
  • Revoir les privilèges
  • Surveiller les comptes liés
PB03
Cloud Privilege Abuse
Portée : Cloud
Déclencheur : Attribution de rôle, secret compromis, stockage public ou exfiltration
  • Révoquer les jetons
  • Retirer le rôle
  • Isoler la ressource
  • Rotation contrôlée des secrets
PB04
Mobile Risk
Portée : Mobile
Déclencheur : Root/jailbreak, sideload à risque ou menace réseau mobile
  • Mettre en quarantaine
  • Bloquer l’accès conditionnel
  • Collecter les artefacts MTD
  • Réinscrire ou réinitialiser
PB05
Ransomware
Portée : Cross-domain
Déclencheur : Renommage massif, chiffrement, staging et mouvement latéral
  • Isoler les actifs
  • Désactiver les comptes compromis
  • Bloquer la propagation
  • Recovery contrôlé
Deux incidents Medium dépassent la cible de confinement : INC-2026-008 et INC-2026-027, 310 min pour une cible de 240 min. Ils déclenchent une revue de capacité, d'escalade et d'automatisation réversible.
Observabilité

Couverture et qualité de collecte multi-domaine

Quinze connecteurs mesurent l'onboarding, la qualité de parsing et la latence d'ingestion pour trois environnements synthétiques.

92,88 %
Couverture pondérée
Cible 95 %
99,21 %
Parsing pondéré
Cible 99 %
82–84 s
Latence P95
Cible < 90 s
95 %
Cible de couverture
Cible 95 %
FR-RET Mobile80,91 % · WatchFR-SAN Mobile89,17 % · WatchFR-IND Network87,50 % · Watch

Connecteurs

ClientDomaineConnecteurAttendusConnectésCouvertureParsingLatence P95Statut
FR-RETEndpointMDE/Wazuh + Sysmon49046394.49%99.21%83.2sHealthy
FR-RETIdentityEntra ID Sign-in & Audit11100%99.23%83.6sHealthy
FR-RETCloudAzure Activity + CloudTrail5050100%99.26%82.4sHealthy
FR-RETMobileIntune + MTD22017880.91%99.4%82.8sWatch
FR-RETNetworkSuricata + Zeek181794.44%99.31%82.3sHealthy
FR-SANEndpointMDE/Wazuh + Sysmon37035796.49%99.04%83.1sHealthy
FR-SANIdentityEntra ID Sign-in & Audit11100%99.32%83.8sHealthy
FR-SANCloudAzure Activity + CloudTrail3030100%98.94%83.9sHealthy
FR-SANMobileIntune + MTD12010789.17%99.28%81.5sWatch
FR-SANNetworkSuricata + Zeek121191.67%99.03%82.8sHealthy
FR-INDEndpointMDE/Wazuh + Sysmon39036693.85%99.3%83sHealthy
FR-INDIdentityEntra ID Sign-in & Audit11100%99.14%83.5sHealthy
FR-INDCloudAzure Activity + CloudTrail403997.5%99.42%81.8sHealthy
FR-INDMobileIntune + MTD807391.25%99.3%83.1sHealthy
FR-INDNetworkSuricata + Zeek161487.5%98.89%81.9sWatch
Le risque résiduel principal ne provient pas du parsing, mais de l'onboarding incomplet des terminaux mobiles et de certains capteurs réseau.
P1 — onboard 42 terminaux mobiles FR-RET.
P1 — restaurer 2 capteurs réseau FR-IND.
P2 — revoir la santé du connecteur MTD FR-SAN.
P2 — contrôler les actifs sans événement depuis 72 h.
Threat coverage

21 techniques couvertes sur 30 priorisées

La couverture de 70,00 % est mesurée sur une liste priorisée issue des scénarios de risque, et non sur l'intégralité du catalogue ATT&CK.

30
Techniques priorisées
21
Couvertes
70,00 %
Coverage
80 %
Cible

Execution

T1059.001P1
PowerShell
1 règle(s)Validated
T1204.002P2
Malicious File
1 règle(s)Validated
T1047P2
WMI
0 règle(s)Gap

Credential Access

T1003.001P1
LSASS Memory
1 règle(s)Validated
T1110P2
Brute Force
1 règle(s)Validated
T1621P1
MFA Request Generation
1 règle(s)Validated

Impact

T1486P2
Data Encrypted for Impact
1 règle(s)Validated
T1496P2
Resource Hijacking
0 règle(s)Gap
T1485P2
Data Destruction
0 règle(s)Gap

Command and Control

T1105P1
Ingress Tool Transfer
1 règle(s)Validated
T1071.004P2
DNS
1 règle(s)Validated
T1071.001P2
Web Protocols
1 règle(s)Validated

Defense Evasion

T1078P2
Valid Accounts
2 règle(s)Validated
T1625P1
Impair Defenses Mobile
1 règle(s)Validated
T1562.001P1
Disable Tools
2 règle(s)Validated
T1550.003P2
Pass the Ticket
0 règle(s)Gap
T1218.011P2
Rundll32
0 règle(s)Gap

Persistence

T1098.003P1
Additional Cloud Roles
1 règle(s)Validated
T1098P1
Account Manipulation
1 règle(s)Validated
T1098.001P1
Cloud Credentials
1 règle(s)Validated
T1053.005P2
Scheduled Task
0 règle(s)Gap
T1547.001P2
Run Keys
0 règle(s)Gap
T1136.003P2
Cloud Account
0 règle(s)Gap

Collection

T1530P2
Data from Cloud Storage
2 règle(s)Validated
T1437P2
Mobile Protocol
1 règle(s)Validated
T1560.001P1
Archive via Utility
1 règle(s)Validated

Initial Access

T1476P2
Malicious App
1 règle(s)Validated

Lateral Movement

T1021.002P1
SMB Shares
1 règle(s)Validated
T1021.001P1
RDP
1 règle(s)Validated

Exfiltration

T1041P2
Exfiltration over C2
0 règle(s)Gap

Backlog P1

21 techniques couvertes · 9 en gap P2.

Tuning governance

Des exclusions ciblées, approuvées et réversibles

L'objectif est de réduire le bruit sans créer de zones aveugles permanentes. Chaque exception est limitée, documentée, approuvée, mesurée et soumise à expiration.

8
Exclusions approuvées
2
Demandes rejetées
39
Alertes supprimées
Scoped
Portée
Demande → analyse du faux positif → portée minimale → approbation → expiration → mesure → revue ou retrait
IDRègleChampValeurDécisionPortéeExpirationSupprimées
EXC-001R001actorsvc_sccmApprovedScoped2026-08-159
EXC-002R004actorsvc_backupApprovedScoped2026-08-202
EXC-003R017actorsvc_vulnscanApprovedScoped2026-07-284
EXC-004R011actorsvc_migrationApprovedScoped2026-07-315
EXC-005R021actorsvc_cloudopsApprovedScoped2026-09-035
EXC-006R024actorsvc_backupApprovedScoped2026-08-052
EXC-007R005actorsvc_sccmApprovedScoped2026-07-205
EXC-008R010actorsvc_migrationApprovedScoped2026-07-257
EXC-009R002actor*RejectedScoped2026-12-310
EXC-010R016actorNetworkRejectedScoped2026-12-310

EXC-009 et EXC-010 illustrent des demandes rejetées : preuve de gouvernance, non des erreurs.

Jamais désactiver globalement une règle Critical.
Justification et approbateur obligatoires.
Expiration obligatoire.
Test de non-régression après modification.
Mesure des alertes supprimées.
Control model

Un modèle Excel avancé relié aux preuves Python

Le workbook consolide actifs, alertes, incidents, SLA, couverture, tests, ATT&CK, exclusions et brief client avec des formules, contrôles croisés et un code couleur explicite.

18
Feuilles
17 457
Formules
1 790
Lignes d'actifs
776
Alertes brutes
255
Alertes qualifiées
39
Incidents
96
Tests de règles
93
Tests réussis
COUNTIFSSUMIFSSUMPRODUCTINDEX/MATCHMEDIANRANK.EQIFERROR
Architecture du workbook
READMEParametersDashboardKPI EngineClientsAssetsRaw AlertsQualified AlertsIncidentsSLATelemetryATT&CKRulesRule TestsExclusionsRoadmapClient BriefQA
Bleu sur jaune — hypothèses saisissables.
Vert sur vert clair — sorties Python / modèle.
Noir — formules Excel.
Méthodologie

Une méthode reproductible fondée sur des standards publics

Les standards structurent la collecte, la cartographie des menaces, les règles, la réponse à incident, la minimisation des traces et les contrôles, sans prétendre reproduire un environnement de production réel.

Journalisation

recommandations ANSSI

architecture et exigences de collecte
Analyse de risque

EBIOS Risk Manager

scénarios et priorisation
Threat mapping

MITRE ATT&CK Enterprise & Mobile

techniques prioritaires
Incident response

NIST SP 800-61 Rev. 3

cycle de réponse
Detection as code

Sigma, KQL, Wazuh et Suricata

règles portables et versionnées
Traçabilité & minimisation

principes CNIL

conservation et preuve proportionnées
Cadrage → scénarios de menace → schéma de données → génération synthétique → ingestion → détection → tuning → corrélation → réponse → KPI → QA → amélioration continue

Les chiffres décrivent une simulation reproductible. Ils ne constituent ni un canonical design de performance d'un SOC réel, ni une certification d'un produit, ni une affirmation sur une infrastructure tierce.

Quality assurance

Chaque résultat principal possède un contrôle

Quinze contrôles réconcilient les volumes, les ratios, les durées, les seuils et les politiques d'exclusion entre les données, Python, Excel et le site.

IDContrôleStatut
QA-0013 clientsPASS
QA-0021 790 actifsPASS
QA-003776 alertes brutesPASS
QA-004255 alertes qualifiéesPASS
QA-00539 incidentsPASS
QA-006Réduction ≥ 65 %PASS
QA-007Précision ≥ 85 %PASS
QA-008MTTD ≤ 45 minPASS
QA-009Confinement ≤ 120 minPASS
QA-010SLA ≥ 90 %PASS
QA-011Parsing ≥ 99 %PASS
QA-012Tests de règles ≥ 95 %PASS
QA-013Aucun actif orphelinPASS
QA-014Aucune durée négativePASS
QA-015Aucune exclusion approuvée hors politiquePASS
Pipeline reproductible
python run_pipeline.py
Tests automatiques
pytest -q · 1 passed
Rule tests
93 / 96 passed
Workbook formulas
17 457
Data parsing
99,21 %
SHA-256 manifest
repository evidence
python run_pipeline.py
pytest -q
# 1 passed
Décisions

Ce que les résultats changent opérationnellement

Le tuning réduit le bruit de 67,14 % sans perte visible de signaux critiques dans les tests.
La précision des cas de 90,70 % confirme l'intérêt de la corrélation multi-source.
Les deux breaches SLA Medium identifient un besoin d'escalade plus précoce et d'automatisation réversible.
La collecte Mobile et Network constitue le principal risque de visibilité résiduel.
Le backlog ATT&CK doit prioriser les techniques P1 non couvertes avant d'élargir le catalogue.
30 jours
Priorités
  • Onboarding Mobile/Network
  • Correction des trois tests échoués
  • Alerte à 75 % du SLA
Critères de sortie
  • Télémétrie ≥ 95 %
  • Tests ≥ 99 %
60 jours
Priorités
  • Règles ATT&CK P1
  • Exercices PB03/PB04
  • Revue des exclusions
Critères de sortie
  • ATT&CK ≥ 80 %
  • Zéro exclusion échue active
90 jours
Priorités
  • Enrichissement automatisé
  • Confinement réversible orchestré
  • Revue de service
Critères de sortie
  • MTTD < 30 min
  • SLA ≥ 97 %
Reproductibilité

Des livrables directement reliés aux résultats

Le rapport, le modèle, les règles, les playbooks, les notebooks, les données synthétiques, les preuves et les contrôles sont structurés pour être consultés et rejoués.

data/ → src/ → rules/ → playbooks/ → notebooks/ → model/ → docs/ → evidence/ → qa/ → website/