Il est souvent utile de prêter une oreille attentive aux signaux faibles. Celui qui concerne le rachat progressif des systèmes de gestion des informations et des événements de sécurité que sont les SIEM par les acteurs majeurs du marché est de ceux-là. Et le moins que l’on puisse dire est qu’il place actuellement les responsables de la sécurité des systèmes d’information (RSSI) devant un choix stratégique important.
Des dépenses globalisées, gérées par les achats
Que se passe-t-il donc ? De plus en plus de RSSI constatent actuellement qu’ils sont en train de perdre le contrôle du SIEM. La raison est simple : des mouvements de fusions et acquisitions interviennent au sein de l’écosystème des systèmes de gestion des informations et des événements de sécurité. Dans le même temps, certains acteurs majeurs – à l’image de Microsoft et de Google – proposent à leurs clients des solutions globalisées.Du côté des organisations, l’impact est réel : un nombre croissant d’entreprises sont en train d’ajuster leurs dépenses via des contrats d’ensemble conclus avec Microsoft et Google, dans le cadre de solutions de stockage massif. Dans une majeure partie des cas, ces outils Big Data sont déployés à travers des stratégies d’accords-cadres d’entreprises. Résultat : c’est la direction des Achats de l’organisation qui influe directement sur les options techniques prises par les RSSI, et non plus les responsables de la sécurité eux-mêmes. De facto, ces derniers peuvent estimer qu’ils sont coupés de leur mission première, voire de leur ADN…
Deux options possibles, mais une stratégie gagnante
Pour ces responsables de la sécurité des systèmes d’information, un tel changement de contexte les entraîne en réalité vers deux grandes solutions. La première peut les amener à développer la cyber-détection au sein même du cloud. Complexe, cette option a toutefois quelques effets de bord : entrer et sortir de la donnée peut parfois occasionner des coûts d’exploitation importants. Sans compter le fort investissement en temps que cela nécessite.La seconde solution qui s’offre aux RSSI est celle de l’opiniâtreté : elle consiste à tirer le meilleur parti de la situation actuelle et à passer au SOC 2.0. En déployant un Security Operations Center de nouvelle génération, ils auront la possibilité d’utiliser des outils de détection automatiques, dotés de fortes capacité d’investigation. C’est le cas des EDR (Endpoint Detection and Response), des NDR (Network Detection and Response), des IDR (Identity Detection and Response) et des CDR (Cloud …).
Cette stratégie renouvelée peut être menée à bien en utilisant des outils qui sont et resteront sous la responsabilité des équipes RSSI, en termes de choix comme de gestion. Elle réduit en outre la complexité d’exploitation du SIEM, ainsi que son coût. Dans ce cas, le fait de maitriser les sources de collecte, les algorithmes de traitement et l’intégration de l’ensemble des éléments permet de réduire beaucoup l’adhérence qui existe entre le processus de détection et le SIEM. Bien entendu, l’investigation et certains besoins de conformité obligent à conserver une base de données des évènements. La collecte de données et l’archivage des logs ont donc encore de beaux jours devant eux.
Comment faire d’une apparente faiblesse une force ? Voilà tout l’enjeu de résilience qui incombe actuellement aux responsables de la sécurité des systèmes d’information des organisations. Afin de pérenniser et consolider leur mission originelle, ces RSSI ont la possibilité d’arrêter de gérer massivement des logs et de s’appuyer sur des métadonnées cybernétiques pures. Grâce à des outils de détection et de réponse véritablement efficaces, ils parviendront à demeurer au cœur de leur mission : la riposte proactive face aux menaces de sécurité.
Par Christophe Jolly, Directeur Régional, Europe du Sud chez Vectra AI