• X
  •  Accueil 
  •  News 
  •  CyberSécurité 
  •  Livrables gratuits 
  •  Articles 
  •  A propos 

    •  

     

     

     

     

  • Un SIEM efficace

    •  

  • Tout d’abord qu’est-ce qu’un SIEM ?
  • SIEM signifie Security Information and Event Management ou gestion des informations et des événements de sécurité. Son principe est d’examiner depuis un guichet unique des logs qui sont générées en de nombreux points. Cela facilite l’identification d’éventuelles tendances et de schémas inhabituels.

  • Il fonctionne comment ?
  • Cette solution combine 2 fonctions, la gestion des événements (SEM, Security Event Management) et la gestion des informations (SIM, Security Information Management) dans un système unique de gestion de la sécurité.

  • Un système SEM centralise le stockage et l'interprétation des logs, et permet une analyse en quasi-temps réel. Le personnel de sécurité peut ainsi prendre des mesures défensives plus rapidement.

  • Un système SIM collecte des données et les place dans un référentiel central à des fins d'analyse de tendances. La génération de rapports de conformité est automatisée et centralisée. En regroupant ces deux fonctions, les systèmes SIEM accélèrent l'identification et l'analyse des événements de sécurité, ainsi que la restauration qui s'ensuit. Ils permettent aux responsables de satisfaire aux exigences légales de conformité de l'entreprise.

  • En outre, un SIEM collecte tout document lié à la sécurité, notamment les journaux (les logs), à des fins d'analyse. Pour cela, il faut installer un collecteur de logs, celui-ci collecte alors des événements sur les appareils des utilisateurs, les serveurs, les équipements réseau, voire les équipements spécialisés de sécurité, tels que les pares-feux, ou encore les systèmes antivirus et anti-intrusions. Les collecteurs ainsi installés font suivre les événements à une console d'administration centralisée qui procède à des inspections et signale les anomalies.

  • Tout cela pour vous dire, que pour avoir un SIEM efficace, c’est comme en cuisine il faut savoir choisir les bons ingrédients.
  • Pour qu’un SIEM soit efficace, il faut que les solutions de sécurité choisie soient de bonne qualité et ne remonte pas (ou tout du moins, le moins possible) de fausse information, c’est-à-dire ce que j’appelle des faux-semblants.

  • Par exemple, si vous choisissez comme antivirus un des rois des faux-semblants (et il en existe notamment dans les plus connus), vous pouvez être sûr que votre SIEM vous remontera de fausses alertes et donc vous le jugerez inefficace. Or ce n’est pas le SIEM qu’il faut incriminer, c’est l’antivirus qui aura remonté dans ces logs de fausses informations.

  • Donc pour avoir un SIEM efficace …
  • Il faut en premier lieu prendre le temps de comparer les différentes solutions étape par étape, logiciel par logiciel, matériel par matériel afin d’avoir à la sortie un écosystème de sécurité efficace.

  • Une fois cette étape effectuée, vous pourrez comparer les différentes solutions de SIEM. Le mieux, si vous pouvez, ce serait de donner un échantillon de données de diverses sources au moment où vous avez eu un problème avec l’environnement mis en place, et de voir les alertes que vous sortent les différents SIEM et ainsi choisir le plus adéquat.

  • Le choix des systèmes de sécurité et la mise en place d’un SIEM efficace sont un projet qui prend beaucoup de temps, cela prend facilement 2 voir 3 ans afin d’arriver à une solution en adéquation avec les exigences réglementaires demandées (GDPR, HDS, DSP2, NIS, PCI-DSS, LPM etc. oui, il ne faut pas les oubliées dans vos études et vos choix).

  • Pour finir, la Sécurité n’est pas synonyme de Cloud, d’IA ou d'IoT, c’est très loin de l’être donc faite très attention à vos choix.