Malgré les nombreuses ressources consacrées à l’amélioration de la cybersécurité, de nouvelles menaces continuent de voir le jour à un rythme plus rapide que celui des capacités de défense. Les équipes chargées des opérations de sécurité sont en outre confrontées à un défi de taille : sauvegarder d’énormes quantités de données dans des formats très divers ; qu’il s’agisse de fichiers non structurés ou non. Les entreprises ont donc besoin d’adopter des outils solides leur permettant d’identifier, de hiérarchiser et de réagir le plus rapidement possible aux comportements suspects dans leurs environnements IT. Les technologies de gestion des informations et des événements de sécurité (SIEM) constituent l’une des options qui s’offrent à elles.
Qu’est-ce que le SIEM ?
Les outils SIEM sont des plateformes logicielles qui regroupent les données des journaux d’événements de plusieurs systèmes et applications, serveurs et dispositifs de sécurité. Ces historiques générés en temps réel peuvent être combinés avec des informations contextuelles sur les utilisateurs, les actifs, les menaces et les vulnérabilités. Les données sont ensuite mises en corrélation et analysées à l’aide de règles qui facilitent l’identification des menaces ; telles que l’activité de logiciels malveillants, les tentatives de connexion infructueuses ou l’escalade des privilèges. Lorsque le SIEM détecte un problème de sécurité potentiel, elle alerte alors les équipes de sécurité compétentes ou d’autres parties prenantes désignées. Les plateformes SIEM sont donc utiles pour surveiller les événements de sécurité du réseau et les activités des utilisateurs, ainsi que pour analyser l’historique, les incidents et les rapports de conformité. La plupart des solutions SIEM combinent des capacités de gestion des événements de sécurité (SEM), de gestion des informations de sécurité (SIM) et de corrélation des événements de sécurité (SEC) en une seule solution.
Les avantages du SIEM
- Surveillance de base — La recherche dans le pool de journaux et la production de rapports constituent les applications les plus simples du SIEM. Les organisations peuvent obtenir des réponses à des questions telles que « Qui s’est connecté au système pendant ces heures ? ».
- Détection des menaces — Les solutions SIEM peuvent aider les organisations à détecter les menaces internes et externes, grâce à la surveillance des événements de sécurité en temps quasi réel, aux alertes automatisées et à l’analyse de l’activité des applications ou des utilisateurs.
- Enquête sur les incidents de sécurité et intervention en cas d’incident — Les solutions SIEM permettent d’effectuer des recherches dans les données historiques, afin de réagir aux incidents de sécurité et de réaliser des analyses forensiques.
- Contrôle de la conformité — Au-delà des impératifs de sécurité, les entreprises utilisent également la technologie SIEM pour se conformer aux exigences de reporting imposées par les normes de conformité telles que HIPAA, PCI/DSS, SOX, FERPA et HITECH.
- Conservation des journaux — Le stockage à long terme des journaux est souvent nécessaire à des fins de forensique et pour se conformer aux normes sectorielles telles que PCI DSS, HIPAA et SOX. En général, les organisations génèrent quotidiennement un volume important de données de journaux, et les solutions SIEM peuvent les accompagner dans leur conservation.
Les inconvénients et limites
Le SIEM peut constituer une composante précieuse d’une stratégie de cybersécurité mature. Mais avant de se lancer dans un achat, il est essentiel d’examiner les principales limites qui pourraient rendre une organisation vulnérable aux cyberattaques.
- Complexes et coûteuses. Leur fonctionnement est complexe et nécessite donc un niveau élevé de maturité en matière de sécurité IT, ainsi qu’une expertise spécialisée (et donc coûteuse) de l’équipe IT. Ces outils exigent également des ajustements fréquents et d’autres formes de gestion, car les environnements IT et le paysage des menaces sont en constante évolution.
- Fausses alertes. Les organisations achètent généralement des produits SIEM dans l’espoir de recevoir des alertes de sécurité fiables qui fournissent des informations pertinentes sur les menaces, pour réagir rapidement et empêcher les compromissions. Cependant, sans un paramétrage adéquat, les SIEM tendent à générer un flot incessant d’alertes et ne fournissent pas toujours les données utiles requises pour une analyse et une réponse appropriée. Les équipes IT finissent par consacrer énormément de temps chasser les faux positifs, et redoutent de passer à côté de véritables incidents de sécurité.
- Non conçus pour identifier les vulnérabilités. Les SIEM collectent, mettent en corrélation et analysent les données des événements afin de détecter les menaces actives. Cependant, ces outils ne sont pas conçus pour identifier les lacunes en matière de sécurité afin d’aider les organisations à réduire leur surface d’attaque, ce qui constitue un élément essentiel d’une stratégie de sécurité fondée sur les risques.
- Pas de détails sur la sensibilité des données. Cette limitation est critique lorsque le SIEM est utilisée à des fins de conformité et lorsqu’elle est utilisée pour la sécurité et la réponse aux incidents. De nombreuses normes de conformité exigent en effet bien plus que la mise en place d’une politique de confidentialité. Les organisations doivent notamment être en mesure de détecter et de signaler les violations dans un délai limité. Avec pour seule assistance une solution SIEM, les équipes de sécurité doivent vérifier manuellement si une violation concerne des données réglementées par une législation particulière, ce qui expose l’organisation à un risque supplémentaire de sanctions sévères en cas de non-conformité. De plus, sans informations précises indiquant si un incident de sécurité particulier concerne des données sensibles, les équipes IT risquent de perdre du temps à examiner des événements moins importants et de laisser perdurer des attaques critiques sans les contrôler.
Finalement, pour tirer le meilleur parti d’un outil SIEM, il est clé d’évaluer les types de données dont l’entreprise dispose, les menaces auxquelles elle est confrontée ainsi que ses points faibles, et déterminer les données qui nécessitent une protection approfondie. En outre, les organisations doivent prendre connaissance des intégrations possibles entre le SIEM et d’autres solutions. Par exemple, de nombreuses solutions SIEM peuvent être intégrées à des flux de renseignements sur les menaces qui fournissent en continu des indicateurs de compromission, tels que des URL, des adresses électroniques et IP, et des hachages de logiciels malveillants connus pour être liés à des cyberattaques.
Par Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix