Texture Side Right Yellow 03

Outils SIEM : définition et mode d'emploi

« SIEM » est l’abréviation de Security Information and Event Management, ou « gestion des événements et des informations de sécurité » en français. Ces outils offrent aux entreprises une nouvelle génération de fonctionnalités de détection, d’analyse et de réponse. Les SIEM allient la gestion des informations de sécurité (SIM) à celle des événements de sécurité (SEM) pour analyser en temps réel les alertes de sécurité générées par les applications et les matériels réseau. Ils comparent les événements aux règles et moteurs d'analyse, puis les indexe pour effectuer des recherches instantanées visant à détecter et analyser les menaces avancées à l'aide d'une Threat Intelligence issue du monde entier. À travers leurs fonctionnalités d’analyse des données, de corrélation des événements, d’agrégation, de reporting et de gestion des logs, les systèmes SIEM fournissent aux équipes de sécurité des éclairages et un historique des activités de leur environnement IT.

En somme, leurs fonctionnalités et avantages peuvent se résumer en trois grands points :

  • Consolidation de multiples points de données
  • Gestion du workflow des alertes et tableaux de bord personnalisés 
  • Intégration à d’autres produits

Fonctionnement des SIEM

Les logiciels SIEM collectent les logs et données d’événements générés par les applications, les équipements de sécurité et les systèmes hôtes des entreprises pour les consolider au sein d’une seule et même plateforme centralisée. Ils rassemblent les données des antivirus, des logs des pare-feu et d’autres systèmes, puis les classent en différentes catégories (activités malveillantes, échecs de connexion, connexions réussies, etc.). Lorsque les outils SIEM identifient une menace sur le réseau, ils génèrent une alerte et lui attribuent un niveau de gravité en fonction de règles prédéfinies. Par exemple, un SIEM ne s’inquiétera pas de voir un utilisateur essayer de se connecter à un compte 10 fois en 10 minutes. Par contre, s’il recense 100 tentatives en 10 minutes, alors il conclura à une attaque. C’est ainsi qu’il détecte les menaces et génère des alertes de sécurité. Enfin, les tableaux de bord personnalisés et le système de gestion des événements des outils SIEM accroissent l’efficacité des investigations et évitent de perdre du temps sur les faux positifs.

Fonctionnalités et applications des logiciels SIEM

Les SIEM offrent un large éventail de fonctionnalités qui, une fois combinées et intégrées, protègent les entreprises de bout en bout. Côté gestion, leur consolidation sur un seul et même tableau de bord les rend plus efficaces et faciles à utiliser. Enfin, ils offrent une visibilité intégrale sur les équipements et applications en réseau pour renforcer la sécurité des entreprises.

Ces logiciels permettent aux équipes de sécurité d’en savoir plus sur les attaquants à partir d’observations des modes opératoires et des indicateurs de compromission (IOC) connus. Pour cela, ils s’appuient sur de multiples flux de Threat Intelligence alimentant les systèmes de détection en informations classées et contextualisées sur les menaces actuelles et potentielles.

Ces systèmes ont pour mission de repérer les menaces dans les e-mails, les ressources cloud, les applications, les terminaux et les sources CTI externes. Ils recourent notamment à l’analyse comportementale des utilisateurs et des entités (UEBA) pour détecter non seulement les activités et comportements symptomatiques d’une menace, mais aussi les mouvements latéraux et les comptes compromis.

Dans la même veine, les composants analytiques décèlent les anomalies dans vos données pour orienter la traque des menaces inconnues.

Mises à jour par des analystes en quasi temps réel, les règles managées permettent aux entreprises de réagir presque instantanément aux nouvelles techniques d’attaque.

Dès qu’un logiciel SIEM a identifié une menace, une vulnérabilité, une attaque ou un comportement suspect, il en alerte les équipes de sécurité qui peuvent alors intervenir rapidement. Certaines versions de ces logiciels intègrent des fonctionnalités de gestion des cas et des workflows qui génèrent automatiquement des instructions sur les pistes de recherche et les actions à enclencher pour accélérer les investigations. Il est également possible de personnaliser ces alertes SIEM en fonction des besoins des utilisateurs.

La gestion des logs est un composant complexe des outils SIEM, décliné en trois grands volets :

  1. Agrégation des données : consolidation de gros volumes de données issues de différentes applications et bases de données.
  2. Normalisation des données : comparaison, corrélation et analyse de ces données disparates.
  3. Analyse de données et corrélation des événements de sécurité : l’identification des signes d’une menace, d’une attaque, d’une vulnérabilité ou d’une violation de données potentielle.

Les logiciels SIEM prennent également en charge le reporting de conformité et des alertes. Ils simplifient ce reporting grâce à des tableaux de bord permettant de consigner et classer les informations d'événements, mais aussi de surveiller l'accès des utilisateurs privilégiés. Ces fonctionnalités s’avèrent essentielles dans la mesure où la plupart des règlementations nationales et sectorielles (y compris HIPAA) exigent un certain degré de compilation et de normalisation des logs. Toutes imposent également le reporting.

Certaines solutions SIEM sont basées dans le cloud, à l'image de celle de FireEye.

Cas d’usage des outils SIEM

Dans le contexte sécuritaire actuel, les outils SIEM trouvent de nombreux terrains d'application : détection et prévention des menaces internes et externes, conformité aux différentes normes et règlementations, etc.

Conformité

À l’heure où l’étau règlementaire se resserre, les entreprises investissent de plus en plus dans leur sécurité informatique. À cet égard, les SIEM jouent un rôle important dans leur mise en conformité à la norme PCI DSS, au RGPD et aux lois HIPAA et SOX. Parmi le foisonnement de règles aujourd'hui en vigueur, on constate que toutes mettent l'accent sur les aspects détection et notification des compromissions. Si, au départ, les outils SIEM servaient essentiellement aux grandes entreprises, les PME et ETI pourraient aussi y voir une certaine utilité dans la mesure où elles aussi sont concernées par des règlementations comme le RGPD.

Sécurité de l’IoT

Le marché de l’Internet des objets (IoT) se développe. D’après le cabinet Gartner, le monde comptera 26 milliards d’objets connectés d’ici 2020. Toutefois, tout progrès technologique comporte aussi un élément de risque. Ainsi, qui dit plus d’équipements IoT dit aussi plus de points d’entrée et d'accès au reste de votre réseau pour les attaquants. La plupart des fournisseurs de solutions IoT offrent des API et des référentiels de données externes facilement intégrables aux logiciels SIEM. Ces derniers s'imposent de fait comme une partie intégrante de votre système de cybersécurité puisqu’ils peuvent contrer les menaces sur l’IoT, notamment les attaques DoS, et signaler les équipements exposés ou compromis.

Prévention des menaces internes

Les menaces externes ne sont pas les seules à exposer votre entreprise aux dangers. Les menaces internes vous font elles aussi courir un risque d'autant plus important que l'accès au réseau y est beaucoup plus facile. À cet égard, les logiciels SIEM permettent aux entreprises de surveiller en continu les activités des salariés et de générer des alertes en cas d’événements sortant de l’ordinaire. Ces outils permettent également d’exercer une surveillance granulaire des comptes privilégiés pour alerter les entreprises en cas d’action non autorisée de la part d’un utilisateur donné (l’installation d’une application ou la désactivation des logiciels de sécurité, par exemple).

Outils SIEM : ancienne vs. nouvelle génération

Sur le marché depuis 2005, les outils SIEM ont beaucoup évolué depuis leur invention. La nouvelle génération comporte ainsi de nombreuses mises à jour, améliorations et fonctionnalités absentes des SIEM traditionnels. Les lacunes de l'ancienne génération :

  • Les SIEM ne pouvaient pas traiter toutes les données pertinentes et offraient donc une vue limitée.
  • Ces logiciels complexes étaient difficiles à utiliser et à maintenir.
  • Ils généraient une avalanche de faux positifs, synonyme de perte de temps pour les équipes de sécurité. 

Au fil des progrès technologiques, les attaques ont évolué et les SIEM ont dû s’adapter. À l'image de FireEye, les logiciels de nouvelle génération offrent les fonctionnalités et avantages suivants :

  • Une architecture « Big Data » ouverte s’intégrant plus rapidement à l’infrastructure des entreprises, tant sur site que dans le cloud, y compris le BYOD. 
  • Les SIEM peuvent aussi intégrer la Threat Intelligence de sources propriétaires, open-source et commerciales. 
  • Les outils de visualisation en temps réel savent identifier les activités à haut risque pour déclencher des alertes par ordre de priorité. Ils peuvent entre autres s’appuyer sur des cadres règlementaires et normatifs comme PCI DSS pour gérer et prioriser les risques. 
  • L’analyse comportementale tient compte du contexte des événements et décèle les intentions transparaissant de scénarios spécifiques. Grâce à son outil d’analyse des comportements des utilisateurs et des entités (UEBA), le logiciel peut signaler tout changement important. 
  • Les SIEM de nouvelle génération sont également personnalisables pour permettre aux équipes de sécurité de créer des workflows sur-mesure.

Libérer tout le potentiel de votre solution SIEM

Dans les centres opérationnels de sécurité traditionnels (SOC) du monde entier, les équipes de cybersécurité tendent à suivre des processus standards de réponse à incident qui peuvent parfois prendre des heures. Les systèmes SOAR automatisent les workflows et accélèrent la qualification des menaces, les investigations et la réponse. Ainsi, ils réduisent les délais d’intervention et permettent aux équipes de sécurité de se concentrer sur les vraies menaces. Pour automatiser les premières étapes de la réponse à incident, ils interagissent avec d’autres technologies de sécurité.

Les analyses UEBA jouent également un rôle important dans l'équation du SIEM puisqu’elles permettent de modéliser les comportements des humains et des machines sur le réseau, avec à la clé une amélioration des capacités de détection des menaces avancées.

Plateforme de sécurité Helix

Plateforme de gestion des opérations de sécurité dans le cloud, FireEye Helix intègre des fonctionnalités SOAR, UEBA et autres à un SIEM de nouvelle génération pour vous offrir une solution de sécurité efficace et facile à implémenter.

Découvrez vite Helix et ses fonctionnalités.