Sergey Nivens - Fotolia

Introduction aux services et produits SIEM

L’experte Karen Scarfone se penche sur les systèmes de gestion des événements et des informations de sécurité, et explique pourquoi ils sont essentiels à la sécurité des entreprises.

Les systèmes de gestion des informations et événements de sécurité (SIEM) fournissent des capacités de consolidation des logs et peuvent être utilisés pour analyser leurs contenus, voire s’en servir de base pour la production de rapports. Certains systèmes SIEM, qui peuvent être des produits comme des services, peuvent également être configurés pour stopper certaines attaques qu’ils détectent, généralement en pilotant la reconfiguration des contrôles de sécurité de l’organisation.

Traditionnellement, la plupart des organisations équipées utilisaient leur SIEM dans le cadre de leurs efforts de conformité réglementaire, ou pour ceux de détection et de gestion des incidents de sécurité. Mais de plus en plus, les organisations utilisent leur SIEM pour les deux, ce qui renforce la valeur ajoutée potentielle de cette technologie. Mais cela tend malheureusement à compliquer sa configuration et son administration.

De nombreux produits et services SIEM sont aujourd’hui disponibles pour répondre aux besoins d’une grande diversité d’entreprises. Prendre en compte chaque caractéristique de chacun d’entre eux est impossible. Cet article se concentre donc sur les fonctionnalités les plus répandues des services SIEM.

L’architecture des produits et services SIEM

Les produits et services SIEM sont proposés avec plusieurs architectures : logiciel à installer sur un serveur local, appliance physique à déployer en interne, appliance virtuelle, ou encore service en mode Cloud.

Chacune de ces architectures présente ses propres avantages et inconvénients. Et aucune ne s’avère généralement supérieure à une autre.

Mais l’un des aspects importants est la manière donc les données de logs sont transmises de la source au SIEM. Il y a deux approches de base : avec ou sans agent. La première suppose l’installation d’un agent résident sur chaque hôte surveillé et générant des logs. L’agent est responsable de l’extraction des données, de leur traitement, et de leur transmission au SIEM. L’autre approche implique une transmission directe des logs au SIEM, ou à un serveur intermédiaire, comme un serveur syslog. La plupart des produits supportent les deux approches afin de supporter le plus grand éventail de sources de logs possible.

Les environnements typiquement adaptés au SIEM

Les premiers produits et services SIEM avaient la réputation d’être conçus pour les grandes organisations aux capacités de sécurité avancées. La principale motivation de ces déploiements tenait à la duplication des logs des équipements de sécurité réseau en un emplacement centralisé afin de permettre aux analystes et administrateurs de les consulter via une unique console et éventuellement corréler des événements entre sources de logs afin d’accompagner les efforts de détection et de remédiation d’incidents.

Depuis, les SIEM ont évolué pour devenir un composant important au cœur des systèmes de défense des organisations : le nombre de sources de logs de sécurité a progressé, ainsi que le besoin pour consulter et analyser le contenu de ces logs à partir d’une seule console. Même les petites et moyennes organisations ont aujourd’hui généralement besoin d’un SIEM pour leurs exigences de conformité réglementaire – afin de générer automatiquement des rapports prouvant le respect de ces impératifs.

Le coût de l’adoption, du déploiement et de l’administration d’un SIEM

Les coûts d’adoption d’un SIEM dépendent largement de deux facteurs : la robustesse des capacités du SIEM, et l’architecture de déploiement. Certains SIEM offrent une solution « light » qui fournit des capacités de gestion de logs et de reporting de base, sans les capacités analytiques avancées d’autres systèmes. Ces SIEM « light » s’avère considérablement moins onéreux à acquérir que les autres. L’architecture de déploiement a également des implications pécuniaires évidentes. La plupart des SIEM nécessitent l’achat de matériel et/ou de logiciel, tandis que les services de SIEM en mode Cloud sont généralement facturés à l’usage.

Mais les coûts d’adoption du SIEM ne se limitent pas à l’acquisition du produit. Par exemple, les SIEM sont de plus en plus alimentés par des flux de renseignement sur les menaces, qui contiennent des informations actualisées sur les indicateurs de compromission observés par des organisations du monde entier. Ces flux peuvent considérablement améliorer la précision et l’efficacité des capacités de détection de menaces d’un SIEM. Mais les utiliser implique généralement de payer des frais d’abonnement substantiels.

Les coûts de déploiement de SIEM sont généralement similaires à ceux des principaux autres outils de sécurité, avec une exception notable : l’intégration. Un service de SIEM n’apporte aucune valeur s’il ne peut pas recevoir et traiter les données d’une grande variété de sources de logs. Activer cela peut nécessiter d’importants efforts de personnalisation, voire le développement de composants dédiés au traitement de sources spécifiques.

Et enfin vient l’administration. La plupart des organisations sous-estiment considérablement les coûts d’administrations induits par un déploiement SIEM réussi, en particulier lorsque l’outil est utilisé pour la détection et la gestion d’incidents. Dans ce cas, le SIEM nécessite des ajustements réguliers, personnalisation, et surtout des capacités de supervision permanente… pour valider les incidents et pouvoir y réagir rapidement.

Conclusion

Les produits et services SIEM remplissent deux fonctions : centraliser les logs de sécurité et le reporting au sein d’une organisation, et aider à la détection, à l’analyse, et à la maîtrise des incidents de sécurité. Les produits et services SIEM peuvent être proposés avec différentes architectures. Les offres SIEM actuelles apportent une valeur ajoutée considérable aux organisations de toues tailles, ne serait-ce que parce qu’elles centralisent et automatisent le reporting de sécurité pour la conformité réglementaire.

Les organisations envisageant l’acquisition d’un SIEM devraient scrupuleusement étudier ses coûts de déploiement et d’administration. Les contraintes d’intégration peuvent générer d’importants coûts. Et surtout, il convient de ne pas sous-estimer l’investissement en ressources d’administration pour véritable retirer toute la valeur de son SIEM.

Adapté de l’anglais.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)