Data Insider

Qu’est-ce qu'un SIEM ?

Les systèmes de gestion des événements et des informations de sécurité (SIEM) sont des systèmes centralisés qui offrent une visibilité totale sur l’activité de votre réseau et vous permettent ainsi de réagir aux menaces en temps réel. Ils collectent, lisent et catégorisent les données machine d’une grande diversité de sources, puis analysent celles-ci pour produire des renseignements qui vous permettront d'agir.

Une solution SIEM assimile et parcourt un grand volume de données en quelques secondes pour détecter et signaler les comportements inhabituels, et délivrer ainsi des renseignements en temps réel pour protéger votre entreprise, une tâche qui serait impossible à accomplir manuellement. À tout moment, le SIEM (que l’on prononce « sim ») peut fournir une vue d'ensemble de votre infrastructure IT tout en conservant et en gérant les données de log pour assurer votre conformité avec les réglementations industrielles. La possibilité d'analyser les données de toutes les applications et machines du réseau en temps réel permet de garder une longueur d'avance sur les menaces internes et externes.

Le SIEM existe depuis plus de dix ans et a considérablement évolué depuis que Gartner a inventé le terme en 2005. Il ne fait peut-être pas couler autant d’encre que les technologies d’IA, mais il reste crucial pour la détection des menaces dans un paysage IT et de sécurité toujours plus complexe et mouvant.

Les concepts de sécurité connexes sont le SEM (gestion des événements de sécurité) et le SIM (gestion des informations de sécurité). Le SIM se concentre sur la collecte et la gestion des logs et autres données de sécurité, tandis que le SEM se charge de l’analyse et du signalement en temps réel. Généralement, les systèmes SIEM réunissent ces deux disciplines de la gestion des informations de sécurité.

Dans cet article, nous allons aborder les caractéristiques et fonctions essentielles du SIEM et voir comment choisir le bon outil.

Comment fonctionne un SIEM ?

Un système SIEM agrège les données d'événements de sources disparates au sein de votre infrastructure réseau : serveurs, systèmes, appareils et applications, du périmètre à l’utilisateur final. À terme, une solution SIEM offre une vue centralisée de votre infrastructure enrichie de renseignements supplémentaires grâce à la combinaison d’informations de contexte sur vos utilisateurs, vos actifs et autres. Elle rassemble et analyse les données pour détecter les déviations par rapport aux normes comportementales définies par votre entreprise afin d’identifier les menaces potentielles.

Ses sources de données sont nombreuses :

  • Périphériques réseau : routeurs, commutateurs, bridges, points d'accès sans fil, modems, amplificateurs de ligne, hubs
  • Serveurs : web, proxy, messagerie, FTP
  • Dispositifs de sécurité : IDP/IPS, pare-feux, logiciels antivirus, dispositifs de filtrage de contenu, appliances de détection des intrusions
  • Applications : tous les logiciels installés sur les dispositifs ci-dessus

La solution analyse des attributs comme les utilisateurs, les types d’événements, les adresses IP, la mémoire, les processus et plus. Les produits SIEM classent les déviations en catégories : « échec de connexion », « modification de compte » ou « logiciel potentiellement malveillant » par exemple. En cas de déviation, le système avertit les analystes de sécurité et/ou agit pour mettre un terme à l’activité inhabituelle. C’est vous qui définissez ce qui déclenche une alerte et déterminez les procédures pour gérer les activités malveillantes.

Un système SIEM prend également en compte les tendances et les comportements anormaux : de ce fait, si un événement isolé ne suffit pas à donner l’alerte, le SIEM peut identifier une corrélation entre de multiples événements qui passeraient autrement inaperçus, et déclencher une alerte. Enfin, une solution SIEM va conserver ces logs dans une base de données propice à des investigations plus poussées et démontrant votre conformité aux exigences réglementaires.

Qu’est-ce qu’un outil SIEM ?

L’outil SIEM est le logiciel qui remplit la fonction de centre de commandes de sécurité axée sur l'analyse. Toutes les données d'événements sont rassemblées dans un emplacement centralisé. L’outil SIEM assure l'analyse et la catégorisation mais, surtout, il fournit un contexte qui donne aux analystes des renseignements plus précis sur les événements de sécurité de toute l’infrastructure.

Les technologies SIEM varient en envergure : les plus basiques assurent la gestion des logs et génèrent des alertes, quand certaines combinent de puissants tableaux de bord, du machine learning et l’exploration approfondie des données historiques à des fins d'analyse. Les meilleures solutions peuvent fournir des dizaines de tableaux de bord :

  • Vue d’ensemble des événements notables de votre environnement pouvant indiquer des incidents de sécurité potentiels.
  • Détail de tous les événements notables identifiés dans votre environnement, pour permettre leur tri.
  • Registre de toutes les investigations en cours, ce qui vous permet de suivre votre progression et votre activité lorsque vous enquêtez sur plusieurs incidents de sécurité.
  • Analyse des risques, pour évaluer les systèmes et les utilisateurs de votre réseau afin d’identifier les risques.
  • Intelligence des menaces, conçue pour apporter du contexte à vos incidents de sécurité et identifier les acteurs malveillants connus dans votre environnement.
  • Renseignement sur les protocoles, qui capture des données de paquet pour fournir des renseignements utiles sur le réseau à des fins d’investigations de sécurité, pour identifier le trafic, les activités DNS et les activités e-mail suspects.
  • Renseignement sur les utilisateurs, qui vous permettent d'investiguer et de superviser l'activité des utilisateurs et des actifs dans votre environnement.
  • Intelligence Web pour analyser le trafic web sur votre réseau.

Des outils non traditionnels entrent également dans l’espace du SIM, en particulier l’analyse des comportements des utilisateurs (UBA). L’UBA, qu’on appelle également analyse du comportement des utilisateurs et des entités (UEBA), est utilisée pour découvrir et corriger des menaces internes et externes. Si l'UBA est souvent considérée comme une application de sécurité plus sophistiquée, on l’intègre de plus en plus souvent dans la catégorie SIEM. Par exemple, le Magic Quadrant de Gartner pour les SIEM fournit également des informations sur les offres UBA/UEBA.

C’est la possibilité de découper les données, de fournir des renseignements plus détaillés et une détection plus fiable des menaces qui distingue un outil SIEM moderne des solutions plus anciennes. Ce type d'analyse est quasiment impossible à effectuer à la main, mais un outil SIEM peut s’en charger en quelques clics.

Les solutions SIEM modernes peuvent être déployées localement, dans le cloud ou dans un environnement hybride, et la plupart sont pensées pour évoluer avec votre entreprise et sa croissance.

SOC

Quel est le rôle du SIEM dans le SOC ?

 

Le rôle du SIEM est de fournir aux analystes du SOC (centre des opérations de sécurité) des renseignements consolidés provenant de l'analyse des données d'événements trop divers et volumineux pour une étude manuelle. L'analyse par un SIEM des données machine et des fichiers de log peut mettre au jour des activités malveillantes et déclencher des réponses automatisées, afin d'améliorer considérablement les délais de réponse aux attaques. 

Si le concept de SOC est antérieur au SIEM, celui-ci est indispensable pour que le SOC moderne remplisse sa mission : réagir aux attaques internes et externes, simplifier la gestion des menaces, minimiser les risques et obtenir une visibilité et une intelligence de sécurité sur toute l’entreprise.

Comment rentabiliserez-vous le SIEM au maximum ?

La meilleure manière de rentabiliser une solution SIEM au maximum est de comprendre les besoins de votre entreprise et les risques inhérents à votre industrie, d’investir du temps pour trouver la bonne solution puis de travailler continuellement à son amélioration.

Pour poser les solides fondations nécessaires pour concrétiser la valeur de votre outil SIEM, suivez ces bonnes pratiques :

  1. Prenez du temps pour planifier et réfléchir aux aspects suivants : Que voulez-vous que le SIEM fasse pour votre entreprise ? Fixez des objectifs spécifiques. C’est la clé pour être sûr de choisir le bon outil SIEM. Ne sous-estimez pas cette étape. Le SIEM est une solution complexe et son déploiement peut être long : les recherches initiales sont essentielles.
  2. N’imaginez pas que vous pouvez simplement l’installer et l’oublier : une fois que vous avez déployé votre système, l’outil ne fonctionnera pas correctement sans une bonne maintenance. Même les outils les plus intuitifs imposent d’examiner continuellement le système et d'apporter les ajustements nécessaires au fil de l'évolution de vos activités.
  3. Établissez des procédures et supervisez-les étroitement : vous devez déterminer les critères de génération d'alertes et les actions à accomplir face à une suspicion d'activité malveillante. Autrement, votre équipe informatique sera submergée d'alertes, qui seront en grande partie des faux positifs. Créez les procédures nécessaires et ajustez-les continuellement pour réduire le nombre de fausses alertes et permettre à votre personnel de se concentrer sur les menaces réelles.
  4. Recrutez du personnel expérimenté : le SIEM facilite la vie de vos services IT et de sécurité mais ne remplace pas les personnes. Vous devez former votre personnel à l’implémentation, la maintenance et l’ajustement continu de la solution afin de la maintenir à la hauteur d'un environnement IT et de sécurité toujours changeant.

Comment prendre un bon départ avec le SIEM ?

La première étape de tout déploiement de SIEM consiste à hiérarchiser les scénarios d’utilisation pour votre entreprise. Quels sont vos objectifs ? Si la plupart des outils SIEM prévoient des scénarios d’utilisation applicables à pratiquement tous les clients sous la forme de jeux de règles, ils ne se superposent pas forcément aux priorités de votre entreprise. Les besoins et les objectifs de la fabrication, de la santé, des services financiers, du commerce de détail, etc. varient considérablement.

Lorsque vous déterminerez comment mettre en œuvre le SIEM dans votre entreprise, demandez-vous :

  • Quelle quantité et quel type de données seront à votre disposition dans le système.
  • De quel niveau d’expertise interne vous disposez, et si vous avez la possibilité de former du personnel IT ou de sécurité pour implémenter et administrer le SIEM.
  • Si votre entreprise est en croissance, et si oui à quel rythme.
  • Quelle est l’envergure de votre réseau (en pensant au nombre de sites distants et au degré de mobilité de vos utilisateurs).
  • Vos obligations de conformité.
  • Votre budget.

Tous ces facteurs peuvent vous guider dans votre processus de décision et de mise en œuvre.

Identifiez aussi non seulement les besoins immédiats de votre entreprise mais aussi une voie pour agrandir votre fonction de sécurité en tenant compte à la fois des prévisions de croissance et de la maturité de la sécurité. Par exemple, une entreprise plus modeste ou un service de sécurité moins mature pourra commencer avec une collecte basique des événements, puis évoluer progressivement vers des capacités plus robustes telles que l’UEBA et le SOAR (orchestration, automatisation et réponse de sécurité).

Établir clairement vos scénarios d’utilisation et votre feuille de route de sécurité permettra à votre SOC et votre équipe IT d'étudier vos nombreuses sources de données d'événement et garantir l'apport de données correctes, complètes et utilisables à l’outil. La performance de votre SIEM dépend directement de la qualité des données que vous lui donnez.

Comment choisir la bonne solution SIEM ?

Quand vous serez prêt à prendre une décision, vous découvrirez que de nombreuses options s'offrent à vous. Pour faciliter votre évaluation des outils, voici les caractéristiques principales à rechercher dans un SIEM :

  1. Supervision en temps réel : les attaques surviennent rapidement, et plus vous attendez pour les prendre en charge, plus elles font de dégâts. Votre SIEM doit fournir une vue globale en temps réel de ce qui se passe sur votre réseau, en incluant les activités associées aux utilisateurs, appareils et applications, ainsi que toute activité qui n’est pas spécifiquement rattachée à une identité. Vous avez besoin de fonctions de surveillance applicables à tout groupe de données stocké localement, dans le cloud ou de façon hybride.
     
    Au-delà de la question de la supervision, il faut que vous puissiez synthétiser les informations dans un format utilisable. Choisissez un SIEM accompagné d'une bibliothèque de règles de corrélation personnalisables et prédéfinies, une console d'événements de sécurité qui présente en temps réel les incidents et les événements de sécurité, et des tableaux de bord montrant des visualisations en direct des activités menaçantes.
  2. Réponse aux incidents : surtout, un SIEM axé sur l’analyse doit inclure des capacités de réponse automatique pouvant interrompre les cyberattaques en cours. Il doit aussi permettre d’identifier les événements notables et leur état, indiquer la gravité des événements notables, lancer un processus de correction et fournir un audit de l’intégralité du processus entourant l’incident.
  3. Supervision des utilisateurs : certaines menaces sont internes, soit parce que les utilisateurs représentent une menace réelle ou parce que leur comportement expose l’entreprise aux menaces extérieures. Au niveau le plus basique, votre outil de SIEM doit offrir la possibilité d'analyser les données d'accès et d'authentification, établir le contexte de l’utilisateur et produire des alertes en cas de comportement suspect et d’infraction aux politiques de l’entreprise et directives réglementaires. Si vous êtes responsable des rapports de conformité, vous devrez sans doute aussi superviser les utilisateurs privilégiés (qui sont les plus susceptibles d’être visés par une attaque) comme l’imposent souvent les obligations de conformité des industries réglementées.
  4. Intelligence des menaces : votre SIEM doit vous aider à identifier les menaces externes clés telles que les exploits « zero-day » et les menaces persistantes avancées. L’intelligence des menaces permet non seulement de reconnaître les activités anormales mais aussi d’identifier les faiblesses de votre posture de sécurité avant qu’elles ne soient pas exploitées, et de planifier des réponses et des mesures de correction.
  5. Analyse avancée et machine learning : toutes les données du monde ne vous aideront pas si vous n’en tirez pas des renseignements clairs. L’analyse avancée emploie des méthodes quantitatives sophistiquées telles que les statistiques, l’exploration descriptive et prédictive des données , la simulation et l’optimisation pour produire des renseignements plus détaillés.
     
    Les outils SIEM qui s'appuient sur le machine learning peuvent apprendre au fil du temps ce qui correspond à un comportement normal et ce qui constitue véritablement une anomalie, améliorant ainsi leur précision. C’est particulièrement crucial aujourd'hui, à l'heure où la technologie, les vecteurs d'attaques et la sophistication des hackers progresse plus vite que jamais.
  6. Détection des menaces avancées : comme la plupart des pare-feux et des systèmes de protection contre les intrusions parviennent difficilement à s'adapter aux nouvelles menaces avancées, le SIEM doit pouvoir à la fois effectuer la surveillance de la sécurité du réseau, la détection des points de terminaison, l’isolement des problèmes et l’analyse des comportements pour identifier et mettre en quarantaine les nouvelles menaces potentielles. Il ne s'agit pas seulement de détecter les menaces. Il faut également comprendre la gravité de la menace, ses mouvements une fois qu’elle a été détectée, et comment la contenir.
  7. Gestion transparente des logs : votre SIEM ne doit pas seulement pouvoir collecter les données de centaines ou de milliers de sources, il doit aussi proposer une interface conviviale et intuitive utilisable pour gérer et obtenir les données de log.
  8. Évolutivité : veillez à ce que le SIEM de votre choix réponde autant à vos besoins actuels que futurs, en anticipant la croissance de votre entreprise et l’élargissement de votre empreinte informatique.
     

Quelle est la meilleure solution SIEM ?

C’est la question qui se pose naturellement une fois que vous comprenez les fondamentaux du SIEM : comment choisir la meilleure solution SIEM pour mon secteur, mon profil de menaces, mon organisation et mon budget ?

Tout dépend de ce que vous cherchez. L’outil doit pouvoir traiter les volumes actuels de données, gérer la sophistication des attaques d'aujourd’hui et déclencher des réponses intelligentes aux incidents, en temps réel. Téléchargez le "Magic Quadrant 2020..." de la gestion des événements et des informations de sécurité 2018 » pour en savoir plus sur les grands noms et les nouveaux visages de l’industrie.

Pour résumer : utilisez le SIEM

Dans un monde où les cybermenaces sont de plus en plus vigoureuses – et où l’environnement réglementaire est toujours plus dur et les conséquences des violations, toujours plus graves – les équipes de sécurité s'appuient de plus en plus sur la technologie SIEM pour la corrélation des événements, l’intelligence des menaces, l’agrégation des données de sécurité et plus encore. La sécurité des entreprises repose sur l’identification et la prise en charge rapide des problèmes de sécurité, et toute équipe de sécurité a intérêt à étudier les capacités des différents systèmes SIEM disponibles pour identifier celui qui répond le mieux à ses besoins.