Sergey Nivens - Fotolia

Ce qu’il faut savoir du SIEM en mode service avant de l’adopter

L’intérêt va croissant pour les systèmes de gestion des informations et des événements de sécurité en mode service. Mais les entreprises doivent bien connaître le modèle avant d’y faire appel.

Traditionnellement, lorsqu’une organisation a besoin d’un système de gestion des informations et des événements de sécurité (SIEM), deux options s’offrent à elle. Déployer, maintenir et exploiter son propre SIEM en interne. Ou faire appel à un prestataire de services de sécurité managés.

Mais de nouvelles alternatives ont émergent. Certains SIEM peuvent être déployés partiellement ou en totalité en environnement cloud. Et certains éditeurs n’ont pas manqué de commencer à parler de SIEM en mode "as a service".

Que change le SIEM en mode service ?

Lorsqu’une organisation décide de place un SIEM sur une infrastructure ou une plateforme en mode "service", les mêmes efforts d’installation, de configuration et de maintenance s’appliquent qu’avec un déploiement en interne, dans son propre centre de calcul. La seule différence concerne la plateforme ou l’infrastructure sous-jacente.

Pour un véritable modèle à la demande, la plateforme et l’infrastructure doivent être intégralement externalisés au fournisseur du service. Le client n’est en fait responsable que du développement des contenus au sein de l’application SIEM et de l’usage des données de sécurité. Ce déplacement considérable des responsabilités peut être bénéfique au client.

En outre, en configuration "service", nombre des coûts initiaux – licence, installation, et aussi souvent conseil – sont également déportés sur le fournisseur. Ce qui peut séduire une organisation qui souhaite gérer des dépenses régulières, prévisibles, ou qui ne dispose pas du capital nécessaire pour supporter l’investissement de départ.

A ces considérations comptables s’ajoutent des questions de compétences. Le déploiement et l’installation de SIEM tels que ceux de Splunk, d’IBM ou de McAfee requièrent des compétences très différentes de celles nécessaires à leur exploitation. Durant la phase de déploiement, un architecte SIEM peut être nécessaire pendant 12 mois ; alors qu’en phase de production, le besoin porte plutôt sur des analystes de sécurité.

Ces contraintes peuvent être onéreuses et complexes à gérer pour les entreprises. Mais avec un SIEM en mode service, ce n’est plus un problème. L’entreprise peut se concentrer sur les compétences nécessaires au développement des contenus et à l’analyse des données. Développeurs, architectes et administrateurs système relèvent de la responsabilité du fournisseur de service.

Ceci étant, quel que soit le mode de déploiement retenu, il convient de tenir compte scrupuleusement de ses besoins en bande passante réseau et en stockage. Un SIEM tire sa puissance des données avec lesquelles il est alimenté. On peut aisément parler là de milliards d’événements par semaine. Ce trafic réseau considérable peut représenter un coût non négligeable. Et c’est sans compter avec les contraintes d'archivage des données : leur stockage, dans le Cloud, n’est pas gratuit.

Conclusion

Le marché du SIEM en mode "service" est encore en phase de développement. Mais des offres très complètes et très intéressantes sont déjà apparues.

Si le modèle économique répond aux besoins de l’organisation et que les compétences ne sont pas disponibles pour un déploiement en interne, elles peuven être une bonne option.

Autre usage, le SIEM en mode service peut aussi être appréhendé comme une étape préparatoire, avant la mise en place d’un centre de sécurité opérationnel pleinement externalisé, avec une architecture de sécurité entièrement managée.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)