Qu’est-ce qu'un SIEM ?

 

SIEM : définition

La gestion des événements et des informations de sécurité (SIEM) est un ensemble d’outils et de services combinant les fonctionnalités de gestion des événements de sécurité (SEM) et de gestion des informations de sécurité (SIM) afin de permettre aux analystes d’examiner les données des journaux et des événements, de comprendre les menaces et de s’y préparer, ainsi que de récupérer les données des journaux et d’établir des rapports sur cette base. La SIM se concentre sur la collecte et la gestion des journaux et autres données de sécurité, tandis que la SEM procède à des analyses et génère des rapports en temps réel. Les systèmes SIEM conjuguent la SEM et la SIM.

Les solutions SIEM procurent une visibilité sur les activités malveillantes. Pour ce faire, elles extraient des données dans les moindres recoins d’un environnement et les regroupent au sein d’une plateforme unique centralisée, où elles sont utilisées pour caractériser les alertes, produire des rapports et appuyer la réponse à incident. Dans la mesure où elles peuvent analyser à tout moment les données issues de l’ensemble des applications et du matériel au sein de leur réseau, les entreprises sont à même d’identifier les menaces pour la sécurité avant que celles-ci n’aient l’occasion de perturber leurs activités.

Quels sont les avantages d’une solution SIEM ?

Une solution SIEM offre aux entreprises quatre types d’avantages en matière de sécurité :

1. Efficacité

Une solution SIEM recourt à l’automatisation et au Machine Learning pour améliorer la visibilité, alléger la charge de travail du SOC et fournir des rapports plus fiables et plus performants aux équipes informatiques et de conformité.

2. Prévention et atténuation des menaces

Les solutions SIEM mettent de gros volumes de données à la portée de l’intelligence humaine. Les menaces peuvent ainsi être classées par priorité et recevoir une réponse plus facilement et plus rapidement, quel que soit l’endroit où elles surviennent au sein de l’environnement.

3. Économies

En automatisant les tâches de bas niveau et en accélérant le traitement des événements, une solution SIEM renforce l’efficacité de l’équipe de sécurité. Elle allège donc le coût d’exploitation d’un SOC.

4. Conformité

Les solutions SIEM peuvent intégrer des rapports de conformité qui signalent les infractions, en plus de faciliter et d’accélérer les audits. Les coûts de mise en conformité s’en trouvent également réduits.

Fonctionnalités d’une solution SIEM

Parallèlement aux divers avantages qu’offre une solution SIEM aux entreprises, il est important de bien comprendre les fonctionnalités spécifiques qu’une telle solution peut apporter aux équipes de sécurité.

• Agrégation des données : consolide les données issues d’une multitude de systèmes afin de faciliter et d’accélérer les recherches.
• Détection des menaces : analyse les données comportementales recueillies au sein de l’environnement et expose les comportements suspects.
• Investigations informatiques : analyse de manière approfondie les événements majeurs liés à la sécurité à l’aide d’outils avancés afin de fournir des preuves irréfutables qui pourront servir devant les tribunaux.
• Conformité et audit : assure la conformité à la norme PCI DSS, à la loi HIPAA, au RGPD, à la loi SOX et à d’autres réglementations par la mise en place d’une sécurité périmétrique robuste, une détection des menaces en temps réel, une visibilité sur les journaux, un contrôle d’accès, ainsi qu’une documentation et des rapports automatisés.

Cas d’usage d’une solution SIEM

• Surveillance, mise en corrélation et analyse des activités sur un large éventail de systèmes et applications
• Prévention des menaces externes et internes par la surveillance des activités des utilisateurs, notamment de ceux disposant d’un accès à privilèges (collaborateurs internes ou tiers) ou ayant accès à des données stratégiques comme des éléments de propriété intellectuelle, ainsi que des cadres
• Surveillance de l’accès aux ressources des serveurs et des bases de données et mise à disposition de fonctionnalités de surveillance des exfiltrations de données
• Rapports de conformité
• Atténuation des menaces IoT telles que les attaques par déni de service (DoS) et signalement des terminaux compromis ou à risque présents dans l’environnement
• Amélioration de l’orchestration et de l’automatisation des flux de réponse à incident

Comment fonctionne une solution SIEM ?

Une solution SIEM regroupe au sein d’une plateforme centralisée les données des journaux et des événements provenant des applications, des serveurs, des terminaux de sécurité et des systèmes d’une entreprise. Elle trie ensuite ces données par catégories et les analyse afin de déceler tout écart par rapport aux règles de comportement définies par les équipes informatiques en vue d’identifier les menaces. Par exemple, la solution SIEM peut classer les écarts en « activité de logiciel malveillant » ou « échec de connexion ». En cas d’écart, les analystes de sécurité ou les informaticiens sont invités à analyser plus en profondeur l’activité inhabituelle.

Fonctionnalités d’une solution SIEM

Une solution SIEM consiste en un ensemble d’outils et de services, notamment :

1. Tableau de bord

Une console unique permet à l’équipe du SOC d’interagir avec les données, de gérer les alertes, de suivre l’état et l’activité des solutions de protection contre les vulnérabilités et d’identifier les systèmes qui échappent à l’analyse des vulnérabilités.

2. Fonctionnalités analytiques

La solution SIEM tire des informations des gros volumes de données et applique le Machine Learning pour identifier automatiquement les menaces dissimulées. Les solutions SIEM analytiques associent données opérationnelles informatiques et cyberveille pour faciliter l’identification de vulnérabilités spécifiques.

3. Détection des menaces avancées

La solution SIEM utilise la surveillance de la sécurité du réseau, la détection et l’intervention sur les endpoints, l’analyse en environnement sandbox et l’analyse comportementale pour identifier et mettre en quarantaine les nouvelles menaces. Elle met en outre en corrélation les dispositifs de défense contre différents types de menaces persistantes avancées.

4. Cyberveille

La solution SIEM met en corrélation les données actuelles concernant les indicateurs de compromission et les tactiques, techniques et procédures des cyberadversaires et les contextualise avec d’autres informations sur les incidents et les activités pour faciliter le repérage des événements anormaux.

5. Rapports de conformité

Les journaux de chaque hôte devant être couvert par les rapports sont régulièrement et automatiquement transférés à la solution SIEM. Ils sont alors regroupés dans un rapport unique personnalisable en vue de la production de rapports de conformité enrichis portant sur un ou plusieurs hôtes. Les fonctionnalités de génération de rapports sont conformes aux exigences de la norme PCI DSS, de la loi HIPAA, du RGPD et de la loi SOX.

Limites d’une solution SIEM

Les solutions SIEM ne sont pas toujours à même de fournir le contexte intégral des données non structurées. Cette lacune peut donner lieu à des faux positifs. Face à l’avalanche d’alertes et de données fournies par la solution SIEM, les équipes de sécurité peuvent vite se retrouver débordées et éprouver des difficultés à analyser et diagnostiquer les événements de sécurité. Les réactions aux alertes risquent dès lors d’être retardées ou ignorées, les analystes ne sachant pas quelles alertes requièrent leur attention.

Les solutions SIEM ne remplacent pas les contrôles de sécurité de l’entreprise tels que les systèmes de prévention des intrusions, les pare-feux ou les technologies antivirus. Une solution SIEM en tant que telle ne surveille pas en temps réel les événements qui se produisent dans l’entreprise, mais utilise plutôt les données consignées dans les journaux par d’autres logiciels pour établir qu’un événement s’est produit.

Outils SIEM

Gartner recommande aux « responsables de la gestion des risques et de la sécurité de s’intéresser davantage aux solutions de gestion des informations et des événements de sécurité dotées de fonctionnalités de détection précoce, d’investigation et de neutralisation des attaques. Les utilisateurs doivent trouver un équilibre entre les fonctionnalités avancées d’une solution SIEM et les ressources nécessaires pour l’exécuter et l’adapter »2.

Splunk et IBM, deux partenaires de CrowdStrike, ont été nominés dans le rapport 2020 Magic Quadrant for Security Information and Event Management de Gartner.

Splunk

Splunk intègre la cyberveille et la protection des endpoints de nouvelle génération de CrowdStrike dans Splunk Enterprise Security (ES) pour aider les entreprises à prévenir, détecter et bloquer les menaces en temps réel. Son déploiement est rapide, évolutif et garant d’une détection et d’une neutralisation accélérées des menaces.

CrowdStrike et IBM

CrowdStrike et IBM unissent leurs talents pour fournir une vue d’ensemble du paysage des menaces d’une entreprise. Les utilisateurs peuvent ainsi adopter un comportement proactif reposant sur une visibilité globale et une cyberveille automatisée.