18 mars 2013

Depuis quelques temps, nous constatons un retour du SIEM (Security Information and Event Management). Il est donc intéressant de se pencher sur les types de solutions disponibles sur le marché pour couvrir ce besoin. Mais avant cela, nous proposerons un petit rappel sur ce que le SIEM permet d’offrir et l’intérêt de cette solution pour améliorer la sécurité dans les réseaux des entreprises, enfin nous verrons les différents types de SIEM disponibles sur le marché.

Retour sur les origines du SIEM :

Le SIEM est la réunion d’un SIM (Security Information Management) et d’un SEM (Security Event Management). Le SIM permet d’offrir un certain nombre de fonctionnalités pour collecter les logs dans le but de stocker, d’archiver l’ensemble des logs et surtout pour se conformer avec les normes.

En effet, les législations obligent les entreprises à conserver toutes traces informatiques de tout équipement constituant le Système d’Informations (SI) et ceci avec une rétention différente en fonction du types de logs.  Le SIM offre une visibilité sur l’ensemble des logs grâce à des outils d’indexation permettant d’améliorer la recherche et d’analyser les logs rapidement. Avec ce type de solution, il est également possible de générer des rapports et d’avoir un état de l’art des événements circulant dans un SI.

Quant au SEM, il permet de manipuler et exploiter les événements en temps réel ou sur l’historique. L’ensemble des logs recueillis regorge d’une multitude d’informations qui sont aujourd’hui mal exploitées, voire pas du tout. Les logiciels SEM proposent de normaliser et catégoriser les logs afin de le rendre plus lisibles, plus exploitables. Ces solutions offrent également des outils de corrélations basés sur des règles prédéfinies et également sur des règles personnalisables. Ainsi le SIEM permet la détection des incidents de sécurité tels que les violations de politiques de sécurités, les tentatives d’exfiltrations de données, la détection d’un comportement anormal sur les réseaux (botnet, ver informatiques,..). Ce type de solution permet surtout de limiter le temps entre l’intrusion et la détection, un enjeu essentiel aujourd’hui.

En effet, l’enjeu aujourd’hui en termes de sécurité n’est plus vraiment de savoir comment bloquer les attaques ou les menaces parce que certains types de solutions permettent d’y répondre, notamment les solutions de type Firewall, WAF (Web Application Firewall), IPS (Intrusion Prevention System) ou encore anti-virus.

Les réel enjeu du SIEM dans la sécurité :

Le réel enjeu est de savoir si ces attaques ou menaces ont réellement été bloquées, si elles ont été détectées uniquement dans une partie du réseau, si elles n’ont pas affecté les utilisateurs. Le SIEM va permettre de traquer ces comportements anormaux et ceci sur l’ensemble du SI. Ainsi, les entreprises auront de la visibilité sur les éléments qui auront pu être affectés ou parcourus par ces menaces. La complexité ou l’hétérogénéité de certains environnements rendent le partage d’informations difficile, c’est pourquoi ce genre de solution permet d’avoir une réelle visibilité en termes de sécurité sur l’ensemble de son environnement et non uniquement sur une partie du SI.

Cette visibilité peut se représenter sous forme d’alerte remontée sur un comportement anormale ou par des rapports quotidiens, hebdomadaires ou encore mensuel sur l’activité au sien d’un environnement. On peut également se servir de celle-ci pour rechercher une information et identifier des potentiels problèmes dans son SI puisque ces solutions de SIEM offrent des outils d’aide au diagnostic tels que la possibilité de faire des recherches par mots clés, de positionner des filtres sur certains types de logs ou encore de cibler sur une plage horaire.

Cependant, toutes ces solutions de SIEM ont besoin de « connaître » l’environnement dans lequel elles évoluent. Plus la solution aura une connaissance approfondie de l’environnement et plus elle sera efficace pour détecter des anomalies. C’est notamment sur ces points que les éditeurs se démarquent.

Les solutions disponibles sur le marché :

Les types de solutions disponibles sur le marché actuel pour couvrir ce besoin sont multiples et peuvent avoir des philosophies différentes. En effet, on peut distinguer plusieurs types de produits. Certains fournissent des produits quasiment vierges en termes de règles de corrélations ou d’alertes et de rapports mais concentrent leurs forces sur la personnalisation, les performances des recherches et la capacité à s’adapter à n’importe quel environnement. Ainsi cette catégorie de solutions permet aux entreprises de créer leur propre SIEM afin de répondre exactement à leurs besoins et pour être le plus efficace possible puisque celui-ci sera façonné autour du SI de l’entreprise. Qui connait mieux le SI que les personnes l’ayant créé ou l’exploitant ? Ceci nécessite certes beaucoup d’investissement mais le bénéfice sera largement supérieur.

On peut avoir une autre catégorie de SIEM concentrant leurs valeurs sur leurs bases de règles de corrélation, d’alertes, de rapports et de parseurs (éléments permettant de catégoriser et normaliser les logs) prédéfinis. Cette catégorie offre également la possibilité d’approvisionner la base de connaissance de la solution afin d’avoir un maximum d’informations sur l’environnement dans lequel elle évolue comme par exemple renseigner les réseaux sensibles pour l’entreprise, les différents utilisateurs ou encore les différentes plateformes. Ces produits sont un peu plus difficile à appréhender parce qu’ils permettent une multitude de fonctionnalités et de possibilités.

Enfin nous avons une dernière catégorie offrant une solution plus axée sur du « plug and play ». Celles-ci contiennent une base existante de règles de corrélations, de parseurs et de rapports. Ces produits ne nécessitent que très peu d’investissement pour l’exploitation et sont généralement simples d’utilisation. Il est également possible de personnaliser les règles de corrélation et d’agrémenter le niveau de connaissance du produit par rapport à l’environnement pour améliorer la détection de menaces. Cependant, ces solutions semblent limitées en termes d’évolutivité et de fonctionnalités mais permettent de rapidement répondre aux besoins sans se noyer dans une solution complexe et difficilement gérable.

Les différentes fonctionnalités offertes par les outils de SIEM que ce soit l’archivage, la corrélation d’événements, la génération d’alertes, de rapports et des outils d’aide au diagnostic permettent de donner une réelle visibilité aux entreprises sur leurs SI en termes de sécurité ou de détection d’incidents.

Les solutions de sécurité actuelles permettant de se prémunir contre les attaques restent essentielles et sont nécessaires pour le bon fonctionnement des produits de corrélation. En effet, difficile d’identifier un comportement anormal sans information générée par un équipement de sécurité ou un système quel qu’il soit. Ce qui est également important à prendre en considération est l’investissement nécessaire pour mettre en place un SIEM et pour le faire évoluer. La mise en place d’une telle technologie demande par conséquent un engagement important de tous les acteurs informatiques (système, réseaux, sécurité, applicatif) d’une entreprise mais le résultat permet une maîtrise de bout en bout d’un SI en termes de sécurité.

N’hésitez pas à faire appel à notre expertise pour un audit & conseils pour la sécurité informatique de votre entreprise.

Partager :

Auteurs