JOUCLA CYBERDÉFENSE
Accueil
SOC Entreprise

Sécurisez votre SI avec un SOC complet

Centre opérationnel de sécurité externalisé : surveillance 24/7, détection, analyse et réponse aux incidents pour protéger votre entreprise.

Appeler

Surveillance 24/7

Monitoring continu de l'ensemble de vos systèmes, réseaux et applications.

Détection des menaces

Corrélation d'événements, détection d'anomalies et alertes en temps réel.

Réponse aux incidents

Confinement rapide, investigation forensique et plan de remédiation.

Threat Hunting

Recherche proactive de menaces avancées et APT dans votre infrastructure.

Threat Intelligence

Veille sur les menaces émergentes et indicateurs de compromission (IOC).

Reporting

Tableaux de bord, rapports hebdomadaires et comités de sécurité mensuels.

Ce que couvre notre SOC

  • Endpoints (postes, serveurs, mobiles)
  • Réseau et pare-feu
  • Applications web et API
  • Cloud (Azure, AWS, GCP)
  • Messagerie et anti-phishing
  • Active Directory et IAM
  • Conformité RGPD et journalisation

Technologies utilisées

  • Wazuh (SIEM / XDR open source)
  • Suricata (IDS/IPS réseau)
  • YARA & Sigma (règles de détection)
  • MITRE ATT&CK (cadre d'analyse)
  • TheHive / Cortex (gestion d'incidents)
  • Elastic Stack (visualisation)
  • Automatisation SOAR
Cas réel

Détection d'un ransomware sur un Active Directory

Incident réel intercepté par notre SOC chez un client — cabinet d'avocats de 25 postes

Le scénario d'attaque

Une assistante juridique reçoit un email de phishing ciblé maquillé en facture. La pièce jointe Word contient une macro qui télécharge un beacon Cobalt Strike. L'attaquant latéralise pendant plusieurs jours, dump les credentials via Mimikatz, prend le contrôle du contrôleur de domaine et déploie un ransomware via GPO — toute cette chaîne est classique et serait passée inaperçue sans détection en temps réel.

Phishing ciblé (J+0) → Macro Word → Beacon Cobalt Strike

Reconnaissance AD + dump credentials (J+2)

Compromission du contrôleur de domaine (J+4)

Déploiement ransomware via GPO (J+5 à 3h du matin)

La détection déployée

Agents Wazuh sur tous les endpoints et serveurs, Suricata en coupure réseau, règles Sigma personnalisées pour Cobalt Strike et Mimikatz, mapping MITRE ATT&CK automatique. Dès la phase de reconnaissance, l'analyste de garde reçoit une alerte corrélée et déclenche l'isolation du poste via TheHive.

Endpoints + serveurs → Wazuh agents → Manager central

Suricata NIDS → Détection beacon C2 (trafic chiffré anormal)

Corrélation Sigma + MITRE → Alerte P1 en 3 minutes

Isolation automatique + ticket TheHive + SMS analyste

Couches de détection

Wazuh FIM — Renommage massif de fichiers, modifications sensibles
Wazuh Rootcheck — Détection rootkits, processus cachés, persistance
Règles Sigma — Cobalt Strike, Mimikatz, comportement ransomware
Suricata NIDS — Signatures C2, DNS tunneling, exfiltration
YARA — Signatures Conti, LockBit, Ryuk, BlackCat, Akira
MITRE ATT&CK — Mapping automatique (T1486, T1027, T1055, T1110)
TheHive + Cortex — Ticketing, enrichissement IOC, playbooks SOAR
Threat Intel — MISP, AlienVault OTX, Abuse.ch, Sekoia

Infrastructure SOC

Wazuh Manager
France (Paris) — Cluster HA actif/passif, 500 agents
Elastic Indexer
France (Gravelines) — Rétention logs 90 jours chiffrés
TheHive + Cortex
France (Gravelines) — Ticketing incidents et playbooks
Grafana + alerting
Italie (Milan) — Dashboards temps réel, astreinte

Hébergement 100% France (hors monitoring), souveraineté des données garantie. Backups chiffrés répliqués en multi-régions. Conformité RGPD et hébergement compatible santé (HDS) possible sur demande.

Supervision 24/7 et reporting

Alerte critique par SMS/appel < 5 min
Dashboard MITRE ATT&CK en temps réel
Analyse des IOC actifs (IP, domaines, hash)
Threat hunting proactif hebdomadaire
Rapport d'incident détaillé sous 24h
Comité sécurité mensuel avec KPI
Suivi MTTD / MTTR / faux positifs
Audit trail complet conformité RGPD

Résultat

Détection en 3 minutes
Alerte P1 levée dès la phase de reconnaissance AD
0 fichier chiffré
Aucun impact sur les données de production du client
Latéralisation bloquée
Isolation automatique du poste compromis via playbook SOAR
Hardening AD déployé
Tiering, LAPS, gMSA et stratégies Kerberos durcies en 48h
Post-mortem partagé
IOC partagés à la communauté via MISP, formation équipes
Client protégé 24/7
Surveillance continue depuis plus de 2 ans, 0 incident majeur

Tarifs

SOC Essentiel
990€/mois TTC
  • SIEM Wazuh déployé
  • Surveillance 24/7
  • Analyse des incidents
  • Rapport mensuel détaillé
  • Jusqu'à 100 endpoints
PME / ETI
SOC Complet
2 990€/mois TTC
  • Tout du SOC Essentiel
  • Threat hunting proactif
  • Réponse aux incidents (IR)
  • Threat intelligence
  • Endpoints illimités
  • Ingénieur sécurité dédié
SOC Premium
Sur devis
  • Tout du SOC Complet
  • Red Team continu
  • Forensique avancé
  • Comité sécurité mensuel
  • SLA garanti < 30 min

Besoin d'un accompagnement ?

Diagnostic gratuit de votre infrastructure. Réponse sous 24h.

06 24 47 36 51
Appeler