1. Introduction

Ce document présente une méthodologie exhaustive pour l'audit de sécurité d'une plateforme Cortex XSOAR (anciennement Demisto) intégrée dans un système d'information d'entreprise. L'audit couvre l'ensemble des aspects techniques, organisationnels et conformité.

Cortex XSOAR est une plateforme SOAR (Security Orchestration, Automation and Response) développée par Palo Alto Networks, conçue pour orchestrer et automatiser les processus de réponse aux incidents de sécurité.

1.1 Objectifs de l'audit

Le déroulement d’un Pentest

Thoughts, stories and ideas.

Citiz3nCitiz3n

•        Évaluer la posture de sécurité de l'installation XSOAR

•        Vérifier la conformité aux bonnes pratiques et standards (ISO 27001, NIST)

•        Identifier les vulnérabilités et risques potentiels

•        Valider la correcte intégration avec le SI existant

•        Examiner les contrôles d'accès et la gestion des privilèges

•        Évaluer la traçabilité et la journalisation

2. Architecture et Déploiement

2.1 Topologie réseau

Points de vérification

☐     Segmentation réseau : XSOAR dans un VLAN dédié

☐     DMZ appropriée pour les connecteurs externes

☐     Pare-feu entre XSOAR et le réseau de production

☐     Flux réseau documentés et justifiés

Commandes de vérification réseau

# Vérifier les interfaces réseau et configuration IP
ip addr show
ip route show

# Vérifier les règles de pare-feu local
sudo iptables -L -n -v
sudo netstat -tuln | grep LISTEN

# Vérifier les connexions actives
ss -tunap | grep demisto

2.2 Configuration système

Vérifications OS et services

# Version et patchs système
cat /etc/os-release
uname -a
sudo yum updateinfo list security # RHEL/CentOS

# État des services XSOAR
sudo systemctl status demisto
sudo systemctl status demisto-d2
sudo systemctl status elasticsearch

# Vérifier les logs système
sudo tail -f /var/log/demisto/server.log
sudo journalctl -u demisto -f

Chemins critiques

3. Sécurité de la Plateforme XSOAR

3.1 Configuration SSL/TLS

Interface graphique : Settings → About → Troubleshooting

•        Naviguer vers Settings (icône engrenage)

•        Sélectionner About → Troubleshooting

•        Vérifier la section Server Configuration

•        Contrôler les paramètres SSL/TLS activés

Vérification en ligne de commande

# Vérifier le certificat SSL
openssl s_client -connect localhost:443 -showcerts
openssl x509 -in /etc/demisto/certs/server.crt -text -noout

# Tester les versions TLS supportées
nmap --script ssl-enum-ciphers -p 443 localhost
testssl.sh https://votre-xsoar.domaine.local

# Vérifier la configuration dans le fichier
sudo cat /etc/demisto.conf | grep -i ssl

3.2 Gestion des accès et authentification

Interface graphique : Settings → Users & Roles

•        Accéder à Settings → Users → User Management

•        Vérifier la liste des utilisateurs actifs

•        Examiner Settings → Users → Roles pour les rôles configurés

•        Contrôler Settings → Integrations → Authentication pour SSO/SAML/LDAP

Vérifications à effectuer

☐     Pas de compte admin par défaut actif

☐     Authentification multifacteur (MFA) activée

☐     Intégration LDAP/AD ou SSO SAML configurée

☐     Politique de mot de passe robuste (complexité, expiration)

☐     Principe du moindre privilège respecté

☐     Sessions inactives avec timeout configuré

API REST pour audit des utilisateurs

# Lister tous les utilisateurs
curl -k -H 'Authorization: YOUR_API_KEY' \
  https://xsoar-server/user
  
# Vérifier les rôles configurés
curl -k -H 'Authorization: YOUR_API_KEY' \
  https://xsoar-server/roles
  
# Auditer les sessions actives
curl -k -H 'Authorization: YOUR_API_KEY' \
  https://xsoar-server/user/sessions

3.3 Contrôle des API Keys

Interface graphique : Settings → Integrations → API Keys

•        Naviguer vers Settings → Integrations → API Keys

•        Auditer toutes les clés API créées

•        Vérifier les permissions associées à chaque clé

•        Contrôler les dates de création et d'expiration

Points de vigilance

☐     Rotation régulière des clés API (tous les 90 jours max)

☐     Pas de clés avec permissions administrateur global

☐     Clés API stockées de manière sécurisée (vault, secrets manager)

☐     Traçabilité de l'utilisation de chaque clé

4. Intégrations et Connecteurs

4.1 Inventaire des intégrations

Interface graphique : Settings → Integrations

•        Accéder à Settings → Integrations

•        Filtrer par Installed Integrations

•        Examiner chaque intégration active

•        Vérifier les instances et leur configuration

API pour lister les intégrations

# Lister toutes les instances d'intégration
curl -k -H 'Authorization: YOUR_API_KEY' \
  https://xsoar-server/settings/integration
  
# Tester la connectivité d'une intégration
curl -k -X POST -H 'Authorization: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  https://xsoar-server/settings/integration/test

4.2 Sécurité des intégrations

Checklist de sécurité par intégration

Intégrations critiques à auditer

•        SIEM (Splunk, QRadar, ArcSight, Elastic)

•        EDR/Antivirus (CrowdStrike, Carbon Black, Defender ATP)

•        Firewall/IPS (Palo Alto, Fortinet, Check Point)

•        Active Directory / LDAP

•        Threat Intelligence (VirusTotal, ThreatConnect, MISP)

•        Ticketing (ServiceNow, Jira, BMC Remedy)

•        Email (Office 365, Gmail, Exchange)

5. Playbooks et Automatisation

5.1 Inventaire et gouvernance des playbooks

Interface graphique : Playbooks

•        Accéder au menu Playbooks depuis la navigation principale

•        Filtrer par Active Playbooks

•        Examiner chaque playbook : auteur, date de création, dernière modification

•        Vérifier les playbooks avec actions sensibles (suppression, modification)

API pour auditer les playbooks

# Lister tous les playbooks
curl -k -H 'Authorization: YOUR_API_KEY' \
  https://xsoar-server/playbook
  
# Exporter un playbook pour analyse
curl -k -H 'Authorization: YOUR_API_KEY' \
  https://xsoar-server/playbook/export/PLAYBOOK_ID

5.2 Sécurité des playbooks

Points de contrôle

☐     Workflow de validation avant déploiement en production

☐     Actions destructives nécessitent validation manuelle

☐     Gestion de versions des playbooks (Git integration)

☐     Tests en environnement de dev/staging avant production

☐     Documentation des playbooks (description, cas d'usage)

☐     Revue régulière des playbooks actifs (tous les 6 mois)

☐     Pas de credentials en dur dans les playbooks

Actions sensibles à vérifier

Vérification fichiers playbooks

# Lister les playbooks stockés localement
ls -la /var/lib/demisto/scripts/
find /var/lib/demisto -name '*.yml' -type f

# Rechercher credentials en dur (à ne jamais faire)
grep -r 'password' /var/lib/demisto/scripts/
grep -r 'api_key' /var/lib/demisto/scripts/

6. Logs et Traçabilité

6.1 Configuration de la journalisation

Interface graphique : Settings → About → Logs

•        Naviguer vers Settings → About → Logs

•        Vérifier le niveau de log configuré (INFO recommandé, DEBUG temporaire)

•        Examiner les logs récents pour anomalies

Fichiers de logs système

# Logs principaux XSOAR
sudo tail -f /var/log/demisto/server.log
sudo tail -f /var/log/demisto/playground.log
sudo tail -f /var/log/demisto/integration.log

# Logs d'audit des actions utilisateur
sudo tail -f /var/log/demisto/audit.log
grep -i 'login' /var/log/demisto/audit.log

# Rechercher les erreurs critiques
grep -i 'error\|critical\|failed' /var/log/demisto/server.log
awk '/ERROR|CRITICAL/ {print}' /var/log/demisto/server.log

6.2 Audit trail des incidents

Interface graphique : Incidents → War Room

•        Ouvrir un incident traité

•        Examiner le War Room pour l'historique complet

•        Vérifier que toutes les actions automatisées sont tracées

•        Contrôler l'horodatage et l'attribution des actions

Points de contrôle traçabilité

☐     Tous les événements d'authentification enregistrés

☐     Création/modification/suppression d'objets tracée

☐     Exécution de playbooks enregistrée avec détails

☐     Actions API tracées avec clé utilisée

☐     Logs exportés vers SIEM externe

☐     Rétention des logs conforme à la politique (min 1 an)

☐     Logs protégés en intégrité (signature, horodatage certifié)

Configuration Syslog/SIEM

# Vérifier la configuration syslog
sudo cat /etc/rsyslog.conf | grep demisto
sudo systemctl status rsyslog

# Tester l'envoi vers le SIEM
logger -p local0.info 'Test XSOAR syslog'
tcpdump -i any port 514 -n

7. Sauvegarde et Continuité d'Activité

7.1 Stratégie de sauvegarde

Points de contrôle

☐     Sauvegardes automatiques configurées (quotidien minimum)

☐     Sauvegardes stockées sur emplacement distant

☐     Tests de restauration réguliers (trimestriel)

☐     Chiffrement des sauvegardes au repos et en transit

☐     Documentation procédure de restauration à jour

Commandes de sauvegarde

# Backup manuel de la configuration
sudo /usr/local/demisto/bin/demisto-backup.sh
ls -lh /var/backup/demisto/

# Backup via API
curl -k -X POST -H 'Authorization: YOUR_API_KEY' \
  https://xsoar-server/system/backup

7.2 Haute disponibilité

☐     Architecture redondante (plusieurs serveurs XSOAR)

☐     Load balancer configuré

☐     Base de données en cluster ou réplication

☐     Plan de continuité documenté et testé

☐     RTO et RPO définis et validés

8. Conformité et Documentation

8.1 Conformité réglementaire

Référentiels applicables

•        ISO 27001 : Système de management de la sécurité

•        RGPD : Protection des données personnelles

•        NIST Cybersecurity Framework

•        PCI-DSS : Si traitement de données de cartes bancaires

•        Directives sectorielles (santé, finance, etc.)

Documents à vérifier

☐     Politique de sécurité XSOAR approuvée

☐     Procédures d'exploitation documentées

☐     Matrice de responsabilités (RACI)

☐     Plan de réponse aux incidents

☐     Registre des traitements (RGPD)

☐     Analyse d'impact sur la vie privée (PIA)

8.2 Gestion des changements

☐     Processus de change management formalisé

☐     Approbations requises pour changements majeurs

☐     Tests en pré-production obligatoires

☐     Documentation des changements dans CMDB

☐     Plan de rollback pour chaque changement

9. Schéma d'Entretien Technique avec le Personnel

Cette section propose un guide structuré d'entretien avec les différentes parties prenantes pour compléter l'audit technique par des aspects organisationnels, politiques et de gestion.

9.1 Entretien avec l'équipe SOC/SecOps

Gouvernance et organisation

1.     Qui sont les administrateurs XSOAR ? Combien de personnes ont un accès admin ?

2.     Comment sont attribués les rôles et permissions dans XSOAR ?

3.     Quelle est la fréquence de révision des accès ? Qui la réalise ?

4.     Existe-t-il une matrice de délégation claire pour les actions automatisées ?

5.     Comment gérez-vous les départs de collaborateurs ayant accès à XSOAR ?

Opérations et processus

6.     Décrivez le workflow typique de traitement d'un incident dans XSOAR

7.     Quels types d'incidents sont automatiquement traités ? Lesquels nécessitent validation humaine ?

8.     Comment assurez-vous la supervision des actions automatisées ?

9.     Avez-vous des métriques KPI définies pour mesurer l'efficacité de XSOAR ?

10.  Comment gérez-vous les faux positifs et les améliorations de playbooks ?

Formation et compétences

11.  Quelle formation initiale ont reçu les utilisateurs de XSOAR ?

12.  Existe-t-il un programme de formation continue ?

13.  Comment documentez-vous les bonnes pratiques internes ?

14.  Y a-t-il des exercices de simulation d'incidents utilisant XSOAR ?

9.2 Entretien avec l'équipe Infrastructure/IT

Architecture et déploiement

15.  Décrivez l'architecture de déploiement de XSOAR (on-premise, cloud, hybride)

16.  Quels sont les flux réseau autorisés depuis/vers XSOAR ?

17.  Comment est assurée la haute disponibilité de la plateforme ?

18.  Quelle est la stratégie de dimensionnement et de scalabilité ?

19.  Comment gérez-vous les mises à jour et correctifs de sécurité ?

Sauvegardes et continuité

20.  Quelle est la politique de sauvegarde de XSOAR ?

21.  Où sont stockées les sauvegardes ? Sont-elles chiffrées ?

22.  Quelle est la dernière date de test de restauration ?

23.  Quel est le RTO et RPO défini pour XSOAR ?

24.  Existe-t-il un plan de continuité documenté en cas d'indisponibilité ?

Monitoring et supervision

25.  Quels outils de monitoring sont en place pour superviser XSOAR ?

26.  Comment sont gérées les alertes de performance ou d'erreur ?

27.  Quels sont les seuils critiques définis (CPU, mémoire, disque) ?

28.  Existe-t-il une astreinte dédiée pour XSOAR ?

9.3 Entretien avec le RSSI/Direction Sécurité

Stratégie et gouvernance

29.  Quels étaient les objectifs métier lors du déploiement de XSOAR ?

30.  Comment XSOAR s'intègre-t-il dans la stratégie globale de cybersécurité ?

31.  Quels indicateurs utilisez-vous pour mesurer le ROI de XSOAR ?

32.  Comment est assuré le suivi budgétaire (licences, maintenance, évolutions) ?

33.  Quelle est la roadmap d'évolution de la plateforme ?

Risques et conformité

34.  Une analyse de risques spécifique à XSOAR a-t-elle été réalisée ?

35.  Comment sont gérés les risques identifiés sur la plateforme ?

36.  XSOAR est-il inclus dans les audits de conformité réguliers ?

37.  Comment assurez-vous la conformité RGPD des données traitées ?

38.  Existe-t-il des exigences contractuelles spécifiques (clients, partenaires) ?

Incidents et retour d'expérience

39.  Des incidents de sécurité majeurs ont-ils été traités via XSOAR ?

40.  Quels enseignements en avez-vous tirés ?

41.  Des incidents liés à XSOAR lui-même ont-ils été rencontrés ?

42.  Comment capitalisez-vous les retours d'expérience ?

9.4 Entretien avec le DPO (Délégué à la Protection des Données)

Protection des données

43.  Quels types de données personnelles XSOAR traite-t-il ?

44.  Ce traitement est-il inscrit au registre RGPD ?

45.  Quelle est la base légale du traitement ?

46.  Comment sont gérés les droits des personnes (accès, rectification, effacement) ?

47.  Quelle est la durée de conservation des données dans XSOAR ?

48.  Comment est assurée la minimisation des données collectées ?

Transferts et partage

49.  Des données sont-elles transférées hors UE via XSOAR ?

50.  Quelles garanties encadrent ces transferts (clauses contractuelles, BCR) ?

51.  Comment gérez-vous le partage de données avec des tiers (fournisseurs TI) ?

9.5 Matrice de synthèse des entretiens

10. Conclusion et Recommandations

10.1 Synthèse des constats

À l'issue de l'audit technique et des entretiens avec le personnel, une synthèse consolidée doit être établie, identifiant :

•        Points forts de l'intégration XSOAR

•        Vulnérabilités et faiblesses identifiées

•        Non-conformités aux standards et réglementations

•        Écarts entre processus documentés et pratiques réelles

10.2 Plan d'actions prioritaires

Les recommandations doivent être classées par criticité :

•        CRITIQUE : Actions à implémenter dans les 30 jours

○      Vulnérabilités de sécurité majeures

○      Non-conformités réglementaires critiques

○      Absence de contrôles d'accès essentiels

•        MAJEUR : Actions à implémenter dans les 90 jours

○      Améliorations de sécurité importantes

○      Optimisations architecturales

○      Renforcement des processus

•        MINEUR : Actions à implémenter dans les 6 mois

○      Améliorations continues

○      Optimisations de performance

○      Documentation complémentaire

10.3 Suivi et réaudit

Il est recommandé de :

•        Établir un comité de suivi mensuel pour les actions critiques

•        Réaliser un audit de suivi à 6 mois

•        Planifier un audit complet annuel

•        Intégrer XSOAR dans les audits réguliers de conformité

Note importante : Ce document constitue un guide d'audit. Chaque organisation doit l'adapter à son contexte spécifique, sa taille, son secteur d'activité et ses exigences réglementaires.