SYS::STATUS SOC · OPÉRATIONNEL
FR / EN
cl
CostLink Systèmes
v.2026.05 · soc·mtl
portail
~ / approche
[ROOT] · MÉTHODOLOGIE OPÉRATIONNELLE

Le comment
compte plus que
le quoi.

N'importe quelle firme peut vendre du « MDR ». Ce qui distingue un mandat — et ce qui détermine si vous serez réveillé à 3 h du matin pour rien ou pour la bonne raison — c'est la méthodologie. Voici précisément comment nous opérons.

approach.md · index toc
01Cinq doctrines opérationnelles 02Pipeline MDR · de l'événement au rapport 03Cadre d'intervention sur incident 04Cadrage des évaluations offensives 05Onboarding · J–14 à J+30
[01] · DOCTRINES

$ doctrines --core

Cinq décisions méthodologiques qui structurent tout le reste — de la qualité du triage au format du rapport. Ce sont les choses sur lesquelles nous ne négocions pas.

01
// SIGNAL MULTIPLE
Quatre signaux, pas un.
EDR seul rate les compromissions cloud. Le SIEM seul rate ce qui ne génère pas de log. Notre détection corrèle terminal · réseau · infonuagique · identité — toujours les quatre. Une alerte qui touche trois signaux est P1 d'office.
02
// TRIAGE HUMAIN
L'humain avant l'escalade.
Aucune alerte ne quitte le centre sans avoir été vue par un analyste. Pas d'automatisation aveugle qui appelle un cadre client à 3 h pour un faux positif. Le SOAR sert à enrichir et préparer — pas à décider de votre nuit.
03
// CONFINEMENT D'ABORD
Contenir · ensuite expliquer.
Le débat « est-ce vraiment grave » n'a pas lieu pendant un incident. Sur compromission confirmée, l'isolation est automatique — terminal, identité, segment réseau. L'analyse fine vient après. Vingt-deux minutes au 95e centile.
04
// PREUVE NOMMÉE
Tout est signé.
Chaque rapport, chaque preuve documentaire, chaque escalade porte un nom et un rôle — pas « équipe CostLink ». Si un auditeur ou un assureur a une question, il sait qui appeler. Si nous nous trompons, nous portons le nom.
05
// MÉMOIRE ORGANISATIONNELLE
Apprendre de chaque incident.
Chaque incident, même résolu en 12 minutes, génère un encart dans notre base de connaissance interne. La règle de détection qui aurait permis de voir plus tôt est codée, partagée, mise en production sur tous les tenants. Votre incident protège les autres clients — et inversement.
06
// SORTIE RESPECTÉE
La porte de sortie
est ouverte.
Vos logs vous appartiennent. Vos politiques vous appartiennent. Vos preuves vous appartiennent. À la fin du mandat, vous obtenez tout — formats standards, sans rétention captive. C'est dans le contrat avant même la première facture.
[02] · PIPELINE MDR

$ pipeline --mdr

Sept étapes — de l'événement brut à l'alerte fermée. Chaque étape est mesurée, chaque transition est journalisée. Le rapport mensuel reproduit ces étapes pour chaque incident significatif.

pipeline.metrics
SLA TRANSITIONS
ingestion → triage< 60 sec
triage → enrichissement< 3 min
enrichissement → décision< 8 min
décision → confinement< 15 min méd.
confinement → escalade< 18 min méd.
escalade → fermetureselon contexte
[T+00s] · ÉTAPE 01
Ingestion
L'événement brut entre — log EDR, signal Sentinel, métrique réseau, télémétrie cloud. Tout passe par un parseur normalisé (schéma OCSF interne). 412 384 événements/jour en moyenne sur le réseau CostLink.
[T+<60s] · ÉTAPE 02
Détection · règle
Sigma · YARA · règles propriétaires. Trois types : règle stricte (P1), règle comportementale (P2), corrélation multi-signal (P1 si trois signaux touchés). Une règle qui produit plus de 3 % de faux positifs est désactivée et révisée.
[T+<3min] · ÉTAPE 03
Enrichissement automatique
SOAR injecte le contexte — l'utilisateur impliqué, son département, ses derniers accès, la criticité de l'actif touché, les CTI internes, les indicateurs OSINT publics. L'analyste ouvre un dossier déjà annoté.
[T+<8min] · ÉTAPE 04
Triage humain
L'analyste Tier 1 ou Tier 2 prend la main. Quatre décisions possibles : confirmer (escalade), confiner sans alerter (observation contrôlée), classer faux positif (avec ajustement règle), élever en Tier 3 (incident formel).
[T+<15min] · ÉTAPE 05
Décision · confinement
Sur compromission confirmée — isolation terminal, révocation session, blocage IP, désactivation compte. L'action est réversible et journalisée. Si l'action touche un actif critique défini au contrat, escalade au directeur opérations client en parallèle.
[T+<22min] · ÉTAPE 06
Escalade · communication
Le client est joint via le canal négocié (téléphone direct au contact technique, courriel au cadre, ticket portail). Le message contient toujours : ce qui a été vu, ce qui a été fait, ce qui est attendu de leur côté.
[T+variable] · ÉTAPE 07
Fermeture · post-mortem
L'incident est documenté formellement. Si la cause racine a permis de raffiner une règle, le changement est codé, testé, déployé sur tous les tenants. Encart résumé dans le rapport mensuel signé.
[03] · INTERVENTION

$ ir-framework --5-phases

Cadre PICERL (NIST SP 800-61r2) adapté au contexte québécois. Chaque phase a ses livrables précis et ses preuves opérationnelles. Le client garde la main sur la communication externe — nous gérons l'opérationnel et la liaison régulateur.

Disponible en mandat ponctuel ou en rétainer (40 h bloquées · tarif fixe · SLA déclenchement < 2 h). Le rétainer évite la négociation tarifaire en pleine crise.

[T+00 — T+02h] · PHASE 1 · MOBILISATION
Préparation · briefing · périmètre
Appel d'ouverture. Identification du chef d'incident côté CostLink et côté client. Pont de communication établi. Première lecture des indicateurs disponibles. Périmètre provisoire fixé pour les premières heures.
[T+02 — T+24h] · PHASE 2 · IDENTIFICATION + CONFINEMENT
Détection complète · isolation
Déploiement des outils forensiques (Velociraptor pour terminaux, captures réseau). Identification de tous les actifs touchés. Confinement actif — isolation, révocation, blocage réseau. Préservation des preuves selon les bonnes pratiques d'investigation.
[T+24 — T+96h] · PHASE 3 · ÉRADICATION
Investigation · cause racine
Reconstitution de la chaîne d'attaque (kill chain · MITRE ATT&CK). Identification du vecteur initial et des techniques utilisées. Éradication des persistances. Si rançon impliquée — négociation séparée par notre équipe dédiée, jamais conseillée par défaut.
[T+96h — T+14j] · PHASE 4 · REPRISE
Restauration contrôlée · durcissement
Retour graduel à l'opérationnel par groupes contrôlés. Durcissement immédiat des points faibles identifiés (politiques, configuration, formation ciblée). Validation continue qu'aucune persistance résiduelle ne réactive l'attaque.
[T+14 — T+45j] · PHASE 5 · LEÇONS
Rapport · communication régulateur · feuille de route
Dossier d'incident complet signé. Communication formelle aux régulateurs si applicable (Loi 25 art. 3.5, AMF, BSIF, CCCS). Feuille de route post-incident — quick wins, 30 jours, 90 jours, stratégique. Présentation au comité de direction.
[04] · ÉVALUATION OFFENSIVE

$ pentest-method --scoped

Trois cadres possibles selon le mandat — le test à profondeur fixe (cadrage prévisible), la red team objectif (objectif libre choisi par CostLink, restrictions minimales), et le programme continu sur 12 mois.

// ÉTAPES STANDARDS (TEST À PROFONDEUR FIXE)
[J+00] · CADRAGE
Règles d'engagement signées
Périmètre, hors-portée, fenêtre d'exécution, contacts d'urgence, niveau d'agressivité, formats de livrable. Tout est dans un document signé avant le premier paquet.
[J+02] · RECONNAISSANCE
OSINT · cartographie de la surface
Empreinte publique, sous-domaines, technologies exposées, comptes employés divulgués, fuites historiques. Maltego, Recon-ng, dorks ciblés, monitoring fuites.
[J+04] · ÉNUMÉRATION + VULN
Cartographie active · cibles potentielles
Scans contrôlés (Nmap, Nessus, Burp, BloodHound côté AD). Validation manuelle systématique — pas de rapport vomi par un scanner.
[J+07] · EXPLOITATION
Preuves d'exploitation reproductibles
Chaque vulnérabilité identifiée est exploitée à hauteur du seuil d'engagement convenu. Captures, journaux, étapes de reproduction documentées pour le rapport. Aucun dommage destructif.
[J+10] · POST-EXPLOITATION
Mouvement latéral · objectifs internes
Une fois sur le LAN — élévation AD, mouvement latéral, accès aux données critiques convenues. Domain admin médian : 2,3 jours sur les 43 derniers mandats.
[J+14] · RAPPORT
Livraison · débriefing technique
Rapport exécutif + rapport technique détaillé. Cotation CVSS 4.0 + risque métier. Plan de remédiation phasé. Débriefing live avec votre équipe technique. Retest gratuit des correctifs · 60 jours.
redteam.scope
RED TEAM · CONTEXTE LIBRE

Objectif unique fixé avec le commanditaire (typiquement : exfiltrer un échantillon de données convenu, ou accéder à un système précis). Aucune limite sur les techniques — phishing, prétextage, accès physique, abus chaîne d'approvisionnement.

Durée4 — 8 sem.
Équipe3 — 5 op.
Connaissance préalablecellule
Détection ciblevotre SOC
Cibles compromises 12m9 / 11
PROGRAMME CONTINU · BUG BOUNTY PRIVÉ

Pour les organisations qui veulent un testing continu plutôt qu'annuel. Vagues mensuelles · cibles tournantes · rapports trimestriels. Équivalent à un programme bug bounty privé — sans la surface d'exposition publique.

12 mois · 4 vagues · rapport trimestriel signé
[05] · ONBOARDING

$ onboarding --J-14 --J+30

Six étapes entre la signature et la couverture monitoring active. Les premières alertes pertinentes sortent typiquement entre J+7 et J+10. Couverture monitoring complète à J+14.

J–14
// 01 — ATELIER DE LANCEMENT
Cadrage · deux
demi-journées.
Rencontre technique sur site (ou visio). Inventaire des actifs, identification des accès critiques, contacts d'escalade, fenêtres de maintenance, exigences réglementaires propres. Sortie : carte d'environnement signée.
J–7
// 02 — CONNECTIVITÉ
Branchement des
signaux.
Connexion EDR (BYOL ou managed), forwarding logs vers le SIEM tenant, intégration M365/Azure/AWS, déploiement collecteurs réseau si applicable. Configuration des comptes de service avec privilèges strictement nécessaires.
J–3
// 03 — CALIBRAGE
Réglage fin des règles.
Période de tuning supervisée. Identification de votre baseline normale (heures de travail, géographie des utilisateurs, applications légitimes). Désactivation des règles inapplicables, ajustement des seuils.
J+00
// 04 — BASCULE
Monitoring actif.
Bascule officielle vers le quart 24/7. Premier ticket-test fait par CostLink pour valider les canaux d'escalade. Communication interne client annoncée par votre direction.
J+07
// 05 — TABLETOP D'INSPECTION
Test réel en équipe.
Tabletop d'incident à blanc — votre comité de gestion de crise et notre intervenant simulent un scénario adapté à votre secteur. Identifie les angles morts en communication interne.
J+30
// 06 — PREMIER RAPPORT
Premier rapport
signé.
Premier rapport mensuel — événements vus, alertes triées, incidents confirmés, ajustements de règles, recommandations. Revue avec le directeur opérations CostLink en visio ou sur place.
[06] · POUR ALLER PLUS LOIN

Vous voulez voir cette méthodologie
appliquée à votre contexte ?

Quatre semaines d'évaluation initiale. Un directeur passe par votre environnement, applique ces principes à votre réalité, vous remet un rapport signé. Sans engagement.

demander l'évaluation parcourir les services