Aujourd’hui, je vais vous parler d’un terme bien connu des professionnels de la sécurité informatique : SIEM (Security Information and Event Management). Je vais vous présenter les différents avantages d’utiliser un tel protocole pour garantir la sécurité des données de son entreprise.
Après une courte définition, je vous donnerais les clés pour comprendre le fonctionnement de ces systèmes de gestion des événements d’information et de sécurité. Vous verrez que les solutions SIEM sont nombreuses et indispensables à une entreprise :
- Surveiller les sources de données.
- Fournir une visibilité sur l’ensemble de l’écosystème informatique d’une entreprise.
- Traiter et agrémenter les données d’événements en temps réel sur tout le réseau informatique.
Sommaire
Qu’est ce que le SIEM ?
Comme je le soulignais, le terme est connu et apprécié dans l’environnement de la cybersécurité.
SIEM, est un type de logiciel utilisé depuis plus d’une décennie dans les services de sécurité informatique. Les systèmes SIEM offrent une vue complète et en temps réel de ce qui se passe sur le réseau et aident les équipes informatiques à gérer de manière proactive les menaces.
L’unicité des solutions SIEM réside dans la combinaison de la gestion des incidents de sécurité avec la gestion des informations sur l’environnement surveillé. Pour une organisation qui souhaite une visibilité et un contrôle complets en temps réel de ce qui se passe sur son réseau, les solutions SIEM sont essentielles.
Pourquoi les systèmes SIEM sont indispensables aujourd’hui ?
Personne ne doute aujourd’hui de la hausse des attaques informatiques contre les systèmes d’information, les entreprises, les administrations, ainsi que les particuliers. La diversité des menaces ne cesse de croître et c’est pourquoi il est indispensable de s’en prémunir.
Pour confirmer cela, je vous propose un vers le rapport Cybersécurité : des signalements plus nombreux en 2020. La surveillance des systèmes et des réseaux a toujours joué un rôle clé dans la protection contre les attaques. De nombreuses méthodes et techniques d’attaque interdépendantes ont évolué au fil des ans et il est rapidement devenu évident que la nature changeante de la cybercriminalité signifie que certaines menaces passent souvent inaperçues.
La centralisation de données provenant de sources multiples et la corrélation entre différents événements sont devenues nécessaires. Il en va de même pour la conservation de ces données pendant de longues périodes.
L’augmentation des attaques a rendu les exigences de conformité et de conformité de plus en plus strictes. HIPAA, ISO27001, GDPR, tout cela nécessite que l’entreprise mette en œuvre un système de contrôle de sécurité complet, comprenant la surveillance, l’audit et la création de rapports.
Toutes ces activités sont facilitées par le système SIEM.
Définition du SIEM
Ainsi, il est possible de définir SIEM avec des termes simples : c’est un système de sécurité doté de plusieurs composants pour la surveillance et l’analyse, conçu pour aider les organisations à détecter les menaces et à atténuer les effets des attaques.
Comme nous l’avons écrit ci-dessus, SIEM combine plusieurs disciplines et outils différents au sein d’un système cohérent :
- Log Management (LMS) : outils utilisés pour la collecte et le stockage de journaux traditionnels
- Gestion des informations de sécurité (SIM) : outils ou systèmes axés sur la collecte et la gestion des données liées à la sécurité à partir de plusieurs sources, telles que les pares-feux, les serveurs DNS, les routeurs, les antivirus
- Gestion des événements de sécurité (SEM) : systèmes basés sur une surveillance et une analyse proactive, y compris la visualisation des données, la corrélation des événements et les alertes
SIEM est un terme utilisé aujourd’hui dans un système de gestion qui combine tous les éléments ci-dessus en une seule plate-forme qui sait comment collecter et traiter automatiquement les informations provenant de sources distribuées, les stocker dans un emplacement centralisé, comparer divers événements et générer des alertes basées sur ces informations.
Fonctionnement du SIEM ?
SIEM fonctionne en collectant les journaux (listing des activités) et les événements générés par les hôtes, les systèmes de sécurité et les applications dans l’ensemble de l’infrastructure de l’organisation et en les compilant sur une plate-forme centralisée.
Des événements antivirus aux journaux de pare-feu, le SIEM identifie ces données et les catégorise, ce qui aide ensuite à intervenir pour solutionner un problème.
Comment cela fonctionne concrètement ?
Lorsque le logiciel détecte une activité pouvant constituer une menace pour l’entreprise ou l’administration, il génère des alertes pour mettre en évidence le problème potentiel et avertir rapidement les services de sécurité concernés.
Les alertes peuvent être définies avec une priorité faible ou élevée à l’aide d’un ensemble de règles prédéfinies.
Par exemple, si un compte d’utilisateur génère 10 tentatives de connexion infructueuses en 10 minutes, il peut être signalé comme une activité suspecte mais défini sur une priorité inférieure car il s’agit très probablement d’un utilisateur qui a oublié le mot de passe de son compte. Cependant, si un compte connaît 100 tentatives de connexion infructueuses dans les 5 minutes, il s’agira très probablement d’une attaque par force brute et l’incident sera signalé avec une priorité élevée.
Le SIEM n’est pas un outil ou une application unique, mais un ensemble de composants qui fonctionnent ensemble pour former un système cohérent. Il n’existe pas de norme ou de méthodologie de protocole spécifique pour les systèmes SIEM, mais pratiquement tous incluent les fonctionnalités suivantes :
- Administration système
- Accès à l’information en temps réel.
- Accès en temps réel aux détails des événements sur le réseau.
- Corrélation des données.
- Analyse des flux présents sur le réseau.
- Analyse du trafic et corrélation avec les activités prévues sur le réseau.
- Des centaines de programmes prédéfinies, comprenant des paramétrages spécifiques en fonction de l’environnement.
- Evolutivité avec des mises à jour régulière et des fonctionnalités ajoutées au fur et à mesure.
- Création de rapports détaillés basés sur l’ensemble des données.
- Sauvegarde des données entrantes et sortantes.
- Systèmes d’alarmes et automatisation de protocoles spécifiques.
- Interopérabilité avec d’autres plateformes de sécurité.
J’espère vous avoir aidé à comprendre ce qu’est un système SIEM. Pour résumer, retenons que les systèmes SIEM (Security Information and Event Management) vous permettent de combiner des données précises sur l’activité du réseau, d’identifier les menaces et les risques, ainsi que d’utiliser des réponses instantanées aux incidents.
Tout ceci est soutenu par une architecture de traitement et de gestion rapides des données permettant une combinaison efficace de nombreuses fonctionnalités dans une seule solution et un contrôle de l’ensemble à partir d’une seule console.
Il propose une logique de gestion de la sécurité avancée, des temps de réponse rapides aux incidents, une gestion des journaux sans tracas et des rapports de conformité complets.