Qu’est-ce qu'un SIEM ?

Un système SIEM agrège les données d’événements de sources disparates au sein de votre infrastructure réseau : serveurs, systèmes, appareils et applications, du périmètre à l’utilisateur final. À terme, une solution SIEM offre une vue centralisée de votre infrastructure enrichie d’informations supplémentaires grâce à la combinaison ’de données de contexte sur vos utilisateurs, vos actifs et bien d’autres. Elle rassemble et analyse les données pour détecter les déviations par rapport aux normes comportementales définies par votre entreprise afin d’identifier les menaces potentielles.

Les sources de données d’une solution SIEM sont nombreuses :

• Périphériques réseau : routeurs, commutateurs, bridges, points d'accès sans fil, modems, amplificateurs de ligne, hubs ;
• Serveurs : web, proxy, messagerie, FTP ;
• Dispositifs de sécurité : IDP/IPS, pare-feux, logiciels antivirus, dispositifs de filtrage de contenu, appliances de détection des intrusions ;
• Applications : tous les logiciels installés sur les dispositifs ci-dessus.

En informatique, une solution SIEM analyse des attributs comme les utilisateurs, les types d’événements, les adresses IP, la mémoire, les processus et plus. Les produits SIEM classent les déviations en catégories : « échec de connexion », « modification de compte » ou « logiciel potentiellement malveillant » par exemple. En cas de déviation, le système SIEM viendra avertir les analystes de sécurité et/ou agira pour mettre un terme à l’activité inhabituelle. C’est vous qui définissez ce qui déclenche une alerte et déterminez les procédures pour gérer les activités malveillantes.

Un système SIEM prend également en compte les tendances et les comportements anormaux : de ce fait, si un événement isolé ne suffit pas à donner l’alerte, le SIEM, ou Security System and Event Management, peut identifier une corrélation entre de multiples événements qui passeraient autrement inaperçus, et déclencher une alerte. Enfin, une solution SIEM va conserver ces logs dans une base de données propice à des investigations plus poussées et démontrant votre conformité aux exigences réglementaires.

En informatique, un fichier de log (diminutif de logging) désigne un fichier qui permet de sauvegarder l’historique complet des événements survenus sur un serveur, un ordinateur, un logiciel, etc. Le log informatique permet ainsi d’obtenir un aperçu détaillé des activités informatiques enregistrées et d’agir en conséquence, en cas d’interruption de service, d’attaque informatique ou de tout autre dysfonctionnement identifié.

L’outil SIEM est le logiciel qui remplit la fonction de centre de commandes de sécurité axée sur l’analyse. Toutes les données d’événements sont rassemblées dans un emplacement centralisé. Ainsi, par définition, l’outil SIEM assure l’analyse et la catégorisation mais, surtout, il fournit un contexte qui donne aux analystes des informations plus précises sur les événements de sécurité de toute l’infrastructure.

En informatique, les technologies SIEM varient en envergure : les plus basiques assurent la gestion des logs et génèrent des alertes, quand certaines combinent de puissants tableaux de bord, du machine learning et l’analyse approfondie des données historiques à des fins d’analyse. Les meilleures solutions SIEM peuvent fournir des dizaines de tableaux de bord :

• Vue d’ensemble des événements notables de votre environnement pouvant indiquer des incidents de sécurité potentiels ;
• Détail de tous les événements notables identifiés dans votre environnement, pour permettre leur tri ;
• Registre de toutes les investigations en cours, ce qui vous permet de suivre votre progression et votre activité lorsque vous enquêtez sur plusieurs incidents de sécurité ;
• Analyse des risques, pour évaluer les systèmes et les utilisateurs de votre réseau afin d’identifier les risques ;
• Intelligence des menaces, conçue pour apporter du contexte à vos incidents de sécurité et identifier les acteurs malveillants connus dans votre environnement ;
• Renseignement sur les protocoles, qui capture des données de paquet pour fournir des renseignements utiles sur le réseau à des fins d’investigations de sécurité, pour identifier le trafic, les activités DNS et les activités e-mail suspects ;
• Renseignement sur les utilisateurs, qui vous permettent d'investiguer et de superviser l'activité des utilisateurs et des actifs dans votre environnement ;
• Intelligence Web pour analyser le trafic web sur votre réseau.

Des outils non traditionnels entrent également dans l’espace du SIM, en particulier l’analyse des comportements des utilisateurs (UBA). L’UBA, qu’on appelle également analyse du comportement des utilisateurs et des entités (UEBA), est utilisée pour découvrir et corriger des menaces internes et externes. Si l’UBA est souvent considérée comme une application de sécurité plus sophistiquée, on l’intègre de plus en plus souvent dans la catégorie des outils SIEM. Par exemple, le Magic Quadrant de Gartner pour les SIEM fournit également des informations sur les offres UBA/UEBA.

’Par définition, le SIEM offre la possibilité de découper les données, d'offrir des informations plus détaillées et une détection plus fiable des menaces. C’est ce qui distingue un outil SIEM moderne des solutions plus anciennes. Ce type d’analyse est quasiment impossible à effectuer à la main, mais un outil SIEM peut s’en charger en quelques clics.

Les solutions SIEM modernes peuvent être déployées localement, dans le cloud ou dans un environnement hybride, et la plupart sont pensées pour évoluer avec votre entreprise et sa croissance.

Le rôle du SIEM est de fournir aux analystes du SOC (centre des opérations de sécurité) des informations consolidées provenant de l’analyse des données d’événements trop divers et volumineux pour une étude manuelle. L’analyse par un outil SIEM des données machine et des fichiers de log peut mettre au jour des activités malveillantes et déclencher des réponses automatisées, afin d’améliorer considérablement les délais de réponse aux attaques. 

Si le concept de SOC est antérieur au SIEM, celui-ci est indispensable pour que le SOC moderne remplisse sa mission : réagir aux attaques internes et externes, simplifier la gestion des menaces, minimiser les risques et obtenir une visibilité et une intelligence de sécurité sur toute l’entreprise.

La meilleure manière de rentabiliser une solution informatique SIEM au maximum est de comprendre les besoins de votre entreprise et les risques inhérents à votre industrie, d’investir du temps pour trouver la bonne solution puis de travailler continuellement à son amélioration.

Pour poser les solides fondations nécessaires pour concrétiser la valeur de votre outil SIEM, suivez ces bonnes pratiques :

1. Prenez du temps pour planifier et réfléchir aux aspects suivants : que voulez-vous que votre système SIEM fasse pour votre entreprise ? Fixez des objectifs spécifiques. C’est la clé pour être sûr de choisir le bon outil SIEM. Ne sous-estimez pas cette étape. Le SIEM est une solution complexe et son déploiement peut être long : les recherches initiales sont essentielles.
2. N’imaginez pas que vous pouvez simplement l’installer et l’oublier : que voulez-vous que votre système SIEM fasse pour votre entreprise ? Fixez des objectifs spécifiques. C’est la clé pour être sûr de choisir le bon outil SIEM. Ne sous-estimez pas cette étape. Le SIEM est une solution complexe et son déploiement peut être long : les recherches initiales sont essentielles.
3. Établissez des procédures et supervisez-les étroitement : vous devez déterminer les critères de génération d’alertes SIEM et les actions à accomplir face à une suspicion d’activité malveillante. Autrement, votre équipe informatique sera submergée d’alertes, qui seront en grande partie des faux positifs. Créez les procédures nécessaires et ajustez-les continuellement pour réduire le nombre de fausses alertes et permettre à votre personnel de se concentrer sur les menaces réelles./li>
4. Recrutez du personnel expérimenté : le SIEM facilite la vie de vos services IT et de sécurité mais ne remplace pas les personnes. Vous devez former votre personnel à l’implémentation, la maintenance et l’ajustement continus de la solution afin qu’elle reste au niveau d’un environnement IT et de sécurité en constante évolution.

La première étape de tout déploiement d’une solution SIEM efficace consiste à hiérarchiser les scénarios d’utilisation pour votre entreprise. Quels sont vos objectifs ? Si la plupart des outils SIEM prévoient des scénarios d’utilisation applicables à pratiquement tous les clients sous la forme de jeux de règles, ils ne se superposent pas forcément aux priorités de votre entreprise. Les besoins et les objectifs de la fabrication, de la santé, des services financiers, du commerce de détail, etc. varient considérablement.

Lorsque vous déterminerez comment mettre en œuvre le système SIEM dans votre entreprise, demandez-vous :

• quelle quantité et quel type de données seront à votre disposition dans le système ;
• de quel niveau d’expertise interne vous disposez, et si vous avez la possibilité de former du personnel IT ou de sécurité pour implémenter et administrer le SIEM ;
• si votre entreprise est en croissance, et si oui à quel rythme ;
• quelle est l’envergure de votre réseau (en pensant au nombre de sites distants et au degré de mobilité de vos utilisateurs) ;
• vos obligations de conformité ;
• votre budget..

Tous ces facteurs peuvent vous guider dans votre processus de décision et de mise en œuvre performant de vos outils SIEM.

Identifiez aussi non seulement les besoins immédiats de votre entreprise mais aussi une voie pour agrandir votre fonction de sécurité en tenant compte à la fois des prévisions de croissance et de la maturité de la sécurité. Par exemple, une entreprise plus modeste ou un service de sécurité moins mature pourra commencer avec une collecte basique des événements, puis évoluer progressivement vers des capacités plus robustes telles que l’UEBA et le SOAR (orchestration, automatisation et réponse de sécurité).

Établir clairement vos scénarios d’utilisation et la feuille de route de votre SIEM permettra à votre SOC et votre équipe IT d’étudier vos nombreuses sources de données d’événement et garantir l’apport de données correctes, complètes et utilisables à l’outil. La performance de votre SIEM dépend directement de la qualité des données que vous lui fournissez.

Quand vous serez prêt à prendre une décision, vous découvrirez que de nombreuses options s’offrent à vous. Pour faciliter votre évaluation des outils, voici les caractéristiques principales à rechercher dans la mise en place d’une solution SIEM :

1. Supervision en temps réel : les attaques surviennent rapidement, et plus vous attendez pour les prendre en charge, plus elles font de dégâts. Votre SIEM doit fournir une vue globale en temps réel de ce qui se passe sur votre réseau, en incluant les activités associées aux utilisateurs, appareils et applications, ainsi que toute activité qui n’est pas spécifiquement rattachée à une identité. Vous avez besoin de fonctions de supervision applicables à tout groupe de données stocké localement, dans le cloud ou de façon hybride.
    
   Au-delà de la question de la supervision, il faut que vous puissiez synthétiser les informations dans un format utilisable. Choisissez un outil SIEM accompagné d’une bibliothèque de règles de corrélation personnalisables et prédéfinies, une console d’événements de sécurité qui présente en temps réel les incidents et les événements de sécurité, et des tableaux de bord montrant des visualisations en direct des activités menaçantes.
2. Réponse aux incidents : surtout, un SIEM axé sur l’analyse doit inclure des capacités de réponse automatique pouvant interrompre les cyberattaques en cours. Il doit aussi permettre d’identifier les événements notables et leur état, indiquer la gravité des événements notables, lancer un processus de correction et fournir un audit de l’intégralité du processus entourant l’incident.
   
3. Supervision des utilisateurs : certaines menaces sont internes, soit parce que les utilisateurs représentent une menace réelle ou parce que leur comportement expose l’entreprise aux menaces extérieures. Au niveau le plus basique, votre outil de SIEM doit offrir la possibilité d’analyser les données d’accès et d’authentification, établir le contexte de l’utilisateur et produire des alertes en cas de comportement suspect et d’infraction aux politiques de l’entreprise et directives réglementaires. Si vous êtes responsable des rapports de conformité, vous devrez sans doute aussi superviser les utilisateurs privilégiés (qui sont les plus susceptibles d’être visés par une attaque) comme l’imposent souvent les obligations de conformité des industries réglementées.
4. Intelligence des menaces : votre système SIEM doit vous aider à identifier les menaces externes clés telles que les exploits « zero-day » et les menaces persistantes avancées. La threat intelligence permet non seulement de reconnaître les activités anormales mais aussi d’identifier les faiblesses de votre posture de sécurité avant qu’elles ne soient pas exploitées, et de planifier des réponses et des mesures de correction.
5. Analyse avancée et machine learning : toutes les données du monde fournies par votre outil SIEM ne vous aideront pas si vous n’en tirez pas des informations claires. L’analyse avancée emploie des méthodes quantitatives sophistiquées telles que les statistiques, l’analyse descriptive et prédictive des données, la simulation et l’optimisation pour produire des informations plus détaillées.
    
   Les outils SIEM qui s’appuient sur le machine learning peuvent apprendre au fil du temps ce qui correspond à un comportement normal et ce qui constitue véritablement une anomalie, améliorant ainsi leur précision. C’est particulièrement crucial aujourd’hui, à l’heure où la technologie, les vecteurs d’attaques et la sophistication des hackers progressent plus vite que jamais.
6. Détection des menaces avancées : comme la plupart des pare-feu et des systèmes de protection contre les intrusions parviennent difficilement à s’adapter aux nouvelles menaces avancées, en termes de sécurité, le SIEM doit pouvoir à la fois assurer la supervision du réseau, la détection des points de terminaison, l’isolement des problèmes et l’analyse des comportements pour identifier et mettre en quarantaine les nouvelles menaces potentielles. Il ne s’agit pas seulement de détecter les menaces. Il faut également comprendre la gravité de la menace, ses mouvements une fois qu’elle a été détectée, et comment la contenir.
   
7. Gestion transparente des logs : votre SIEM ne doit pas seulement pouvoir collecter les données de centaines ou de milliers de sources, il doit aussi proposer une interface conviviale et intuitive utilisable pour gérer et obtenir les données de log.
   
8. Évolutivité : veillez à ce que le SIEM de votre choix réponde autant à vos besoins actuels que futurs, en anticipant la croissance de votre entreprise et l’élargissement de votre empreinte informatique.
   

C’est la question qui se pose naturellement une fois que vous comprenez les fondamentaux du Security Information and Event Management (SIEM) : comment choisir la meilleure solution SIEM pour mon secteur, mon profil de menaces, mon organisation et mon budget ?

Tout dépend de ce que vous cherchez. L’outil doit pouvoir traiter les volumes actuels de données, gérer la sophistication des attaques d’aujourd’hui et déclencher des réponses intelligentes aux incidents, en temps réel. Téléchargez le « Magic Quadrant 2020... » de la gestion des événements et des informations de sécurité 2018 pour en savoir plus sur les grands noms et les nouveaux visages de l’industrie.

Dans un monde où les cybermenaces sont de plus en plus vigoureuses (et où l’environnement réglementaire est toujours plus dur et les conséquences des violations toujours plus graves), les équipes de sécurité s’appuient sur le SIEM pour la corrélation des événements, la threat intelligence, l’agrégation des données de sécurité et plus encore. La sécurité des entreprises repose sur l’identification et la prise en charge rapide des problèmes de sécurité, et toute équipe de sécurité a intérêt à étudier les capacités des différents systèmes SIEM disponibles pour identifier celui qui répond le mieux à ses besoins.