Tirer pleinement profit de ses logs avec un SIEM
De quelle manière la gestion des logs peut-elle être utilisée pour renforcer la sécurité de l’information et améliorer la réponse aux incidents sans enfreindre la vie privée des utilisateurs ?
La plupart de nos équipements matériels et logiciels génèrent des logs qu’il est possible d’utiliser dans un contexte de sécurité de l’information. Mais comme nous ne le savons que trop bien, toute la technologie déployée dans les entreprises apporte son lot de défis, et cela touche aussi la gestion des logs.
Il n’y a pas seulement un log à gérer, mais des centaines, voire des milliers, qu’il peut être intéressant d’examiner : tout ce depuis Windows jusqu’aux pare-feu, en passant par les serveurs. Ce qui rend extrêmement difficile la collecte et l’étude de vastes quantités de logs de données, en particulier lorsqu’il est nécessaire d’en retirer rapidement des informations.
Les outils de gestion des événements
Cela ressemble à un problème de Big Data, et c’en est un. Comment trouver du sens dans toutes ces données et le mettre à profit ? Comme savoir quelles données collecter et sur quels aspects se concentrer ? C’est là qu’interviennent les outils de gestion des informations et des événements de sécurité, les SIEM. Ces outils offrent un moyen automatisé de rassembler toutes les données de logs générées par le réseau et les outils de sécurité pour les condenser en quelque chose de gérable.
Les SIEM permettent de donner aux équipes de sécurité les moyens de détecter, répondre et prévenir les incidents dans un environnement évoluant rapidement et générant d’importants volumes de données. Ces outils fournissent un moyen détecter les anomalies et les attaques sur un réseau en comparant le trafic à une norme, en temps réel. Les notifications peuvent être alors envoyées aux équipes de sécurité en charge de la réponse.
Cette fonctionnalité peut être étendue pour automatiser certaines actions. Par exemple, si le SIEM détecte un trafic anormalement important provenant d’un PC, symptôme d’une tentative d’exfiltration, il peut apprendre de ce comportement et le stopper lorsqu’il le détecte. Ce processus peut être effectué bien plus vite qu’à la main et constitue une amélioration significative.
La question de la vie privée
La gestion des logs et les SIEM peuvent améliorer considérablement le travail des équipes de sécurité. Mais ils ont un impact inévitable sur la vie privée des utilisateurs. Tous les appareils qui génèrent des logs ont une adresse IP ou une adresse MAC qui peut être utilisée pour remonter à l’utilisateur grâce à un système d’IAM – gestion des identités et des accès. Les équipes de sécurité peuvent aller extrêmement loin dans l’analyse des données et il convient donc de trouver là un équilibre avec le respect de la vie privée.
En définitive, si vous surveillez votre réseau pour des raisons de sécurité, le mieux que vous pouvez faire est d’informer vos utilisateurs que vous collectez des données relatives à leurs activités à des fins de sécurité. Et vous pouvez aussi le leur rappeler lorsqu’ils se connectent à Internet, accèdent à des applications métiers ou utilisent des outils collaboratifs. Nous devons pouvoir analyser et utiliser les données des logs et les données des utilisateurs avec des outils de sécurité sophistiqués installés en première ligne des défenses de l’entreprise. Sinon, cela ne sert à rien.
Les logs peuvent jouer un rôle utile dans la sécurité de l’information et l’avènement du Big Data et de l’analyse automatisée augmentent leur utilisé. La clé consiste à déterminer ce que la gestion des logs devra apporter à cette fin, mettre en place les éléments nécessaires à cela, et enfin tenir compte des questions de vie privée.
Adapté de l’anglais.
Adrian Davis est directeur exécutif Europe d’(ISC)2.