Qu’est-ce qu’un logiciel SIEM ? Quelles fonctionnalités pour mon organisation quant à ma sécurité informatique ?

1

Pour optimiser leur sécurité informatique, les organisations et entreprises de toutes tailles doivent pouvoir surveiller leurs réseaux et systèmes d’information, afin d’identifier les actions malveillantes qui les menacent et de se prémunir de potentielles attaques avant qu’elles ne causent de graves dommages.

C’est alors que le SIEM entre en jeu. De l’anglais Security Information and Events Management, ou gestion des informations et des événements de sécurité en français, le SIEM, désigne un ensemble de technologies de détection des cyber-menaces, fournissant aux organisations une vue globale et holistique de l’état de leur sécurité informatique.

Si la définition de ce terme peut échapper à certains, il est aujourd’hui dans toutes les bouches quand il s’agit d’aborder des sujets de cybersécurité. Les technologies SIEM apportent aujourd’hui à ces organisations un ensemble de moyens permettant l’analyse, la gestion et la corrélation de logs afin de mettre en exergue la potentialité d’une menace – utilisées au sein de nombreux Security Operations Center.

Les technologies SIEM existent depuis plus d’une décennie et ont aujourd’hui beaucoup évolué :  elles combinent deux « briques », sur lesquelles nous reviendrons dans cet article, que sont la gestion des événements de sécurité (SEM) – qui analyse les données de journaux et d’événement en temps réel – avec la gestion des informations de sécurité (SIM).

Mais alors comment marche un SIEM ? Quelles sont les fonctionnalités qui sont aujourd’hui utiles pour la sécurité informatique de nos organisations ?  Comment choisir le bon outil ?

  • Comment marche un SIEM ?

Comme nous l’avons vu, un SIEM fonctionne comme une mémoire des évènements de sécurité. Premièrement, il faut savoir que celui-ci s’articule autour de plusieurs fonctions dites « principales » :

  • La collecte des évènements : passive ou active avec une mise en place directement sur les différents équipements ou à distance. La plupart des SIEM fonctionnent en déployant une multitude d’agents de collecte de manière hiérarchique.  Ces agents collectent alors des événements liés à la sécurité sur les appareils des utilisateurs, les serveurs, les équipements réseau, voire les équipements spécialisés de sécurité, tels que les pare-feux, ou encore les systèmes antivirus et anti-intrusions.
  • La normalisation des évènements : conservation des logs bruts pour valeur juridique puis enregistrement de ces logs dans un format interprétable.
  • Le stockage et l’archivage des évènements en fonction de leur nature.
  • La corrélation des informations recueillies : mise en place de règles de corrélation permettant d’alerter sur un incident en cours et permettant d’identifier les causes d’un événement a posteriori (recherches de l’origine d’une attaque).
  • Le reporting : génération de tableaux de bord et de rapports pour avoir une visibilité sur la sécurité et la conformité du SI.

Attention : il faut aussi garder à l’esprit que pour que ces technologies soient efficaces et marchent correctement ; il faut qu’en amont les alertes qui sont envoyées au SIEM soient de bonne qualité, qualifiées et exploitables.

Une fois ces fonctions identifiées, il est donc possible de comprendre comment marche un SIEM en revenant sur sa composition (et les deux « briques » qui le composent, donc nous vous parlions précédemment) :

  • Le système SEM centralise le stockage et l’interprétation des logs, et permet une analyse en quasi-temps réel. Il permet ainsi aux personnes chargées de la sécurité informatique de prendre plus rapidement des mesures défensives.
  • Le système SIM, quant à lui, collecte des données et les place dans un référentiel central à des fins d’analyse. La génération de rapports de conformité est automatisée et centralisée.

En regroupant ces deux fonctions, un SIEM accélère donc l’identification et l’analyse des événements de sécurité, ainsi que la restauration qui s’ensuit.

Le SIEM va donc aider les organisations sur plusieurs sujets et inquiétudes quant à leur sécurité informatique. Il va non seulement maintenir une surveillance continue de leur SI mais aussi détecter des attaques en cours et en expliquer rapidement l’origine grâce aux logs récoltés.

Aussi, il aidera au contrôle de la conformité de ces organisations à des contraintes règlementaires, à répondre aux incidents de sécurité, à détecter des comportements anormaux (utilisateurs/serveurs/réseaux) et enfin à élaborer des tableaux de bord de sécurité clairs et lisibles en fonction d’indicateurs précis.

  • SIEM et Intelligence Artificielle : le cas ITrust

L’un des principaux moteurs du développement grandissant de l’utilisation des logiciels SIEM pour sécuriser les systèmes d’information des organisations repose sur les nouvelles capacités contenues dans certains d’entre eux, notamment l’implémentation de moteurs de Threat Intelligence mais aussi d’Intelligence Artificielle.

Le SIEM proposé par ITrust est d’ailleurs l’un d’entre eux, offrant des fonctionnalités d’analyse comportementale du réseau et des utilisateurs pour déterminer si une activité indique une activité malveillante, et ce cela même avant qu’une attaque ne se produise.

Ce SIEM, intégré à nos offres SOC permet à nos experts en sécurité une maitrise totale des systèmes surveillés, alliant expertise machine et humaine pour une sécurité informatique des plus complètes.

Nos experts en sécurité vous accompagneront au déploiement mais aussi dans la mise en fonction au quotidien de ces SIEM, dans des cas de SOC managés. En effet, il faut souligner que s’ils ne sont pas déployés et maintenus correctement, les SIEM peuvent générer un grand nombre d’alarmes. Le nombre important de ces alertes rend parfois difficile l’interprétation et la distinction entre les vraies alertes de sécurité et les faux-positifs pour un membre personnel « lambda ».

Découvrez en plus sur notre site : https://www.itrust.fr/SIEM

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

1 comentario

Leave A Reply