17 octobre 2012

Le SIEM et la sécurité des systèmes d’information

SIEM Splunk

Depuis quelques années, le SIEM commence à s’imposer dans les démarches de sécurité des systèmes d’information de nombreuses entreprises et administrations.

Après de nombreux échecs, les projets SIEM semblent aujourd’hui gagner en maturité.

 

Mais qu’est-ce que le SIEM ?

Le SIEM (Security Information and Event Management) est malheureusement souvent réduit à l’outil technique qui va permettre de gérer les logs générés par les différents équipements / applicatifs (de sécurité ou non) qui composent un système d’information. L’objectif d’un SIEM est, notamment, de permettre aux équipes sécurité de détecter des attaques grâce à l’exploitation, le filtrage et à la corrélation de ces (millions) de logs provenant de multiples sources d’information (interne ou externe à l’organisation).

Le SIEM est avant tout un système de supervision centralisé de la sécurité. Il se compose de deux solutions qui se complètent : le SIM – Security Incident Management, qui sera focalisé sur l’analyse à-postériori, l’archivage, la conformité et le reporting et le SEM – Security Event Management qui cherche à collecter et traiter des données en quasi temps réel. Il semble plus pertinent de parler de démarche SIEM car l’outil n’est qu’une brique de ce système de gestion des évènements de sécurité. Cette démarche doit en effet également prendre en compte les aspects organisationnels, humains et juridiques qui se posent inévitablement lors d’un projet SIEM.

Le SIEM s’articule autour de ces 5 fonctions principales :

• La collecte des évènements : passive ou active avec la mise en place d’agents directement sur les différents équipements ou à distance.
• La normalisation des évènements : conservation des logs bruts pour valeur juridique puis enregistrement de ces logs dans un format interprétable.
• Le stockage et l’archivage des évènements en fonction de leur nature.
• La corrélation des informations recueillies : mise en place de règles de corrélation permettant d’alerter sur un incident en cours et permettant d’identifier les causes d’un événement a posteriori.
• Le reporting : génération de tableaux de bord et de rapports pour avoir une visibilité sur la sécurité et la conformité du SI.

Quels sont les apports d’une démarche SIEM ?

Une démarche SIEM doit être envisagée comme une démarche globale d’entreprise. Réduire le SIEM à une énième solution technique de sécurité est une erreur commune, qui explique souvent l’échec de ce genre de projet.

Le SIEM va viser à faire atteindre à l’organisation plusieurs objectifs :

• Détecter des attaques (simples et complexes) en maintenant une surveillance continue du SI de l’organisation (tentative d’exfiltration de données, communication avec un serveur de C&C, etc.).
• Contrôler la conformité à des contraintes réglementaires et la politique de sécurité en détectant des anomalies ou des non-conformités.
• Répondre aux incidents et permettre des analyses de type forensics (investigation numérique) exploitant au maximum les traces (logs) récoltées.
• Améliorer son système d’archivage (configuration de la durée de rétention par équipement, garantie de l’intégrité des logs,…).
• Détecter les comportements anormaux d’utilisateurs, des serveurs, des applicatifs et du réseau.
• Élaborer des tableaux de bord de sécurité opérationnelle à destination des responsables techniques mais aussi de la direction. Cette phase nécessite la définition, en amont, d’indicateurs pertinents et réalistes à suivre.

Les réglementations auxquelles doivent se conformer les organisations sont de plus en plus contraignantes (PCI, SOX, Informatique & Liberté, HIPAA, CRBF, etc.) et nécessitent un contrôle fin de la sécurité du système d’information. Dans ce cadre, l’organisation devra justifier son respect de la réglementation. Une démarche SIEM permettra alors d’assurer un contrôle continu de la sécurité de ses SI et de produire ainsi des indicateurs par rapport à son niveau de sécurité et de conformité.

Les erreurs à ne pas commettre

La mise en place d’un SIEM est avant tout une démarche et une réponse à une expression de besoin. L’approche par les outils, qui consiste à choisir un outil en amont a démontré qu’elle était vouée à l’échec car elle ne prend pas en compte la dimension métier. Pour aboutir, une démarche SIEM doit être découpée en plusieurs phases et intégrer des projets pilotes. De cette façon, la démarche sera mise en place, dans un premier temps, dans un périmètre limité (un métier ? une zone géographique) avant de l’étendre progressivement à l’ensemble de l’organisation.

Un SIEM n’est pas seulement un outil. Il ne remplace pas une équipe d’analystes et d’ingénieurs en sécurité. L’outil technique va permettre de rendre plus efficace l’équipe chargée de la réponse à incidents. C’est pour cela qu’on associe souvent au SIEM, un SOC – Security Operation Center mais également des équipes CSIRT – Computer Security Incident Response Team et CERT – Computer Emergency Response Team. Ces différentes entités vont apporter la couche organisationnelle (process de gestion d’incidents) et humaine (équipe d’experts en cybersécurité / forenscics / réponse à incidents) qui permettra d’exploiter les capacités des solutions de SIEM.

Un système SIEM n’est pas un projet facile ni infaillible :

1. Il doit être parfaitement configuré pour exploiter et corréler correctement les informations que les équipements lui fournissent.
2. Il peut générer des milliers d’alertes qui doivent être traitées par des analystes « humains ». L’automatisme a ses limites. Les compétences des équipes chargées de la gestion des incidents remontés par le SIEM et les process associés sont aussi importants que l’outil et sa configuration.
3. A noter que le SIEM est susceptible de générer un grand nombre de faux-positifs, notamment lors de la mise en œuvre de la solution.

Enfin un système de SIEM ne permet pas de bloquer les attaques. Le SIEM n’est pas une solution miracle mais, combiné avec une équipe d’experts et d’analystes, il en devient les yeux, les oreilles et la tour de contrôle de la sécurité de l’organisation. Panorama des acteurs de marché. Même si l’outil de SIEM n’est qu’une partie d’une démarche plus globale, il en est également une brique technique indispensable.

Le marché du SIEM est mature et très concurrentiel. Selon le cabinet Gartner, il a représenté en 2011 près de 1,1 milliard de $ de chiffre d’affaires. Le marché du SIEM n’a cessé de se consolider ces dernières années. Depuis 2011, le marché a connu plusieurs importants rachats. IBM a acquis Q1 Labs, McAfee est entré dans ce segment en rachetant la société NitroSecurity et Tibco s’est offert LogLogic. Si le déploiement de SIEM aux Etats-Unis semble très avancé, la demande augmente fortement en Europe, motivée par des exigences de conformité et de meilleure gestion des menaces.

En mai 2012, le cabinet Gartner a publié la dernière version de son Magic Quadrant dédié aux éditeurs de solutions SIEM. Il y identifie les 5 leaders du secteur :

• HP – ArcSight
• IBM – Q1 Labs
• McAfee – NitroSecurity
• NetIQ – Novell
• LogRhythm
Et les 4 challengers :

• RSA – EMC
• Splunk
• Symantec
• LogLogic


Gartner Magic Quadrant pour le SIEM (source : gartner.com)

On remarque également une tendance au développement des prestations de services de SIEM. Des entreprises comme IBM, HP, Alcatel-Lucent ou encore Cassidian CyberSecurity proposent, en tant que MSSP – Managed Security Service Provider, des prestations de SOC / SIEM externalisées.

Sources :
Prélude qu’est qu’un SIEM ?
Les SIEM gestion de la sécurité centralisée
Club R2GS (Club de Réflexion et de Recherche en Gestion Opérationnelle de la sécurité)
Gartner Magic Quadrant SIEM

Pour en savoir plus :
Retour d’expérience de la société Eiffage qui a mis en place un SIEM pour prévenir les fraudes
Les 3 étapes d’un projet SIEM réussi
SIEM – The Good, The Bad and The Ugly – Part 1

One Comment on “Le SIEM et la sécurité des systèmes d’information

Le SIEM et la sécurité des syst&e...
1 juillet 2013 chez 23 h 28 min

[…] Depuis quelques années, le SIEM commence à s’imposer dans les démarches de sécurité des systèmes d’information de nombreuses entreprises et  […]

Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *