Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Le SIEM, une garantie majeure pour sécuriser vos réseaux ?

Le SIEM, une garantie majeure pour sécuriser vos réseaux ?
2015-07-222015-07-23sécurité des réseauxfr
Un SIEM (Security Information and Event Management) a pour objectif de surveiller les réseaux en temps réel pour améliorer leur sécurité. Expert en analyse de logs et des processus opérationnels de sécurité, Cyrille Aubergier revient sur les principaux enjeux du SIEM.
Publié le 22 Juillet 2015 par Cyrille Aubergier dans sécurité des réseaux
Interview de Cyrille Aubergier
Le SIEM, une garantie majeure pour sécuriser vos réseaux

Un SIEM (Security Information and Event Management) a pour objectif de collecter et d’analyser tous les évènements de sécurité et d’en générer à la fois des rapports et des tableaux de bord. Le but est donc de surveiller les réseaux en temps réel pour améliorer leur sécurité. Expert en analyse de logs et des processus opérationnels de sécurité, Cyrille Aubergier revient sur les principaux enjeux du SIEM.

Quels sont selon vous les principaux critères de choix d’un bon SIEM ?

Quels que soient les SIEM, il n’existe pas entre eux de différences fondamentales. Leurs fonctions principales restent la collecte et l’analyse des logs, puis la génération de rapports et de tableaux de bord.

Toutefois, les trois points importants sur lesquels doivent se porter l’attention sont, selon moi :

  1. Le mode de licence : s'il est inadapté au nombre d’équipements, d’IP et de mégabits, la complexité et le coût peuvent devenir bloquants dans certains cas.
  2. Le potentiel de personnalisation et d’évolution du SIEM me paraît aussi déterminant. Un SIEM doit être capable par exemple de customiser des agents de collection de logs. Il doit aussi être en mesure de recevoir des logs d’application ou des notifications d’évènements à partir d’équipements développés en interne. Les rapports et tableaux de bord doivent être eux aussi personnalisables.
  3. La rapidité des mises à jour me semble enfin essentielle, puisque les anti-virus et les sondes de détection ont besoin d’être fréquemment mis à jour. De fait, le SIEM doit pouvoir l’être aussi.

Quelles sont les erreurs les plus fréquemment commises au moment d’installer un SIEM ?

Il ne faut pas se contenter d’installer un SIEM avec les configurations du constructeur et/ou par défaut, car elles ne sont souvent pas suffisantes. Les configurations doivent être personnalisées et adaptées aux besoins des utilisateurs. Il ne faut pas non plus penser que les rapports initiaux suffisent. Il faut créer ses propres rapports d’analyse, adaptés aux différentes menaces identifiées.

Une autre erreur fréquente est de mal anticiper la taille des données, que ce soit pour le stockage ou pour l’exploitation des bases de données. En effet, une base de données mal construite ou insuffisamment rapide restera à bien des égards inexploitable.

Un inventaire insuffisant des équipements sera aussi gênant. Ce serait clairement une erreur de ne pas assigner suffisamment de ressources à l’analyse des rapports et à la personnalisation de la détection de la menace. A cet égard, sur une base de 24/7, une équipe de 10 personnes me paraît nécessaire. L’équipe doit se répartir entre la recherche des accidents, la gestion des configurations et la recherche d’analyses.

Ensuite, l'activation des logs vers le SIEM doit impérativement faire partie des procédures de déploiement de n’importe quel équipement. Dès qu’un nouvel équipement ou un nouveau service est mis en place, ses logs doivent être envoyés vers le SIEM.

Comment améliorer la détection d’attaques dans un SIEM ?

Généralement, un tableau de bord de sécurité regroupe des équipements par fonction et périmètre. Par exemple, un tableau de bord peut regrouper tous les pare-feux entre Internet et l’interne. Pour renforcer la détection, l’idéal est de créer un tableau de bord centré sur la menace, en fonction d’une analyse de risque clairement définie. Il faut alors faire un focus sur une alerte spécifique, en listant les équipements qui vont fournir des logs selon un scénario d’attaque.

Il est possible également de réajuster les seuils de détection selon le nombre d’itérations dans une période de temps donnée. L’assignation de ressources dédiées à l’analyse et à la remise de rapports réguliers me paraît également utile.

Il est aussi possible de créer des nouvelles alarmes temps réel, basées sur un indice de compromission ou d'activité suspicieuse. Cela permettra à l'opérateur d'activer certaines fonctionnalités comme la capture du trafic ou bien d’initier de nouveaux indices adaptés à chaque fonctionnalité.

Quels sont les bénéfices d’un SIEM en termes de ROI ?

Le coût initial est souvent un frein au déploiement d’un SIEM, mais il est pleinement justifié car le fait de rassembler les logs des équipements sous une équipe unique en 24/7 permet d’économiser des ressources en termes d'analyse de logs et de rapports. Cela permet aussi d’exploiter pleinement les équipements, puisqu’on contrôle en temps réel leur bon fonctionnement. De plus, les rapports, une fois classés et analysés, renforcent l’analyse globale des évènements liés à la sécurité. Ils permettent d’intervenir en cas de mauvaise configuration de l’équipement, ce que tous les exploitants ne font pas, souvent par manque de temps ou de connaissances.

Il est possible par ailleurs de mutualiser les coûts en utilisant le SIEM sur des fonctions annexes. Par exemple :

  • l’inventaire des équipements ;
  • l’archivage de données pour des raisons régulatrices,
  • les réponses aux audits de compliance,
  • la surveillance de la disponibilité d’un équipement.

De manière générale, l’apport des SIEM est de constituer une garantie contre les désastres en matière de sécurité. Un SIEM est le seul outil qui permet réellement de comprendre ce qui se passe dans un réseau : il vous en donne l’état et le pouls. De ce point de vue, le gain est majeur !

Cyrille

Pour aller plus loin :

Du bon usage des logs de sécurité

Cloud Access Security Brokers (CASB) : le nouvel eldorado de la sécurité ?

 
Crédit photo : Fotolia

4 Commentaires

  • 9 Mars 2016
    2016-03-09
    par
    Christophe brunet
    Bon article; clair. J'aime bien le paragraphe sur la mutualisation. Par contre, je ne vois pas bien comment le SIEM s'articule avec les rapports que les UTM, les IDS, les IPS fournissent, ni avec certains outils de big data qui traitent d'evènements en général.
  • 15 Décembre 2015
    2016-03-09
    par
    Max
    Vous avez essayé Secnology ?
  • 14 Décembre 2015
    2016-03-09
    par
    Max
    Vous avez essayé Secnology ?
  • 5 Septembre 2015
    2016-03-09
    par
    Jean-Marc Rolland
    Quel SIEM recommandez-vous?

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage