Chaque utilisateur, appareil ou système au sein d’un réseau laisse derrière lui une trace virtuelle en termes de données de sécurité. Celle-ci est également connue sous le nom de données de log. Les produits SIEM sont conçus pour utiliser les données de log afin d’aider les analystes à identifier les menaces en temps réel, investiguer les violations et générer des informations sur les attaques et les événements. Une solution SIEM collecte, classe, détecte, corrèle et analyse les informations de sécurité en un seul et même endroit. Une telle capacité permet aux équipes de cybersécurité de surveiller et de traiter plus facilement en temps réel les problèmes concernant l’infrastructure IT. Sans solution SIEM, les analystes en cybersécurité auront la tâche impossible de parcourir des millions de données cloisonnées et impossible à comparer. Les produits SIEM améliorent l’efficacité et la précision lors de la détection et de la réponse aux menaces.
Quelles sont les propriétés principales d’un logiciel SIEM vraiment performant ?
Une excellente solution SIEM se caractérise par quatre propriétés clés :
1. Elle collecte et analyse les données à partir de toutes les sources en temps réel
Les entreprises actuelles génèrent et consomment plus de données que jamais. Pour faire face à cette augmentation rapide du volume d’informations, les produits SIEM doivent être en mesure d’ingérer des données en provenance de toutes les sources possible : notamment les données de log Cloud et celles sur site, pour surveiller, détecter et répondre efficacement aux menaces potentielles. Les produits SIEM modernes n’ont pas seulement la capacité d’ingérer et d’analyser davantage de données, ils se développent à partir de ces dernières. Plus une entreprise peut fournir des données à son produit SIEM, plus les analystes auront de visibilité sur les activités. Une telle possibilité les aide à être plus efficaces dans la détection et la réponse aux menaces.
2. Elle utilise l’apprentissage automatique pour ajouter du contexte et une connaissance de la situation afin d’augmenter l’efficacité
Les attaques actuelles sont de plus en plus sophistiquées et les entreprises ont besoin d’outils qui le soient tout autant. Les attaquants utilisent souvent sur des identifiants compromis ou obligent les utilisateurs à effectuer des actions qui nuisent à l’activité de leur propre entreprise. Pour identifier ces types d’attaques plus rapidement et plus précisément, les produits SIEM doivent être dotés d’un apprentissage automatique pour surveiller les comportements suspects. Grâce à la fonctionnalité UEBA (User and Entity Behavior Analytics), les entreprises bénéficient d’une augmentation considérable de la capacité de leur SIEM à suivre et à identifier les menaces. De plus, l’UEBA élimine les faux positifs. Par conséquent, les analystes ont une meilleure connaissance de la situation avant, pendant et après l’apparition d’une menace. Moins de faux positifs signifie que les analystes sont plus efficaces et peuvent consacrer leur temps limité à des menaces qui auront réellement un impact sur les activités de l’entreprise.
3. Son architecture flexible et évolutive améliore le time-to-value (TTV)
Les solutions SIEM héritées ne sont pas comparables à celles proposées à l’heure actuelle. La quantité de données produites et collectées par les entreprises est montée en flèche au cours des dernières années. Une telle tendance signifie que les entreprises ont besoin d’architectures Big Data flexibles et évolutives capables de s’adapter et d’évoluer avec l’entreprise. Ainsi, les entreprises peuvent mettre en œuvre des solutions SIEM modernes actuelles dans des environnements physiques ou virtuels, sur site ou bien dans le Cloud, grâce à leur capacité à gérer des déploiements importants et complexes. Certains SIEM offrent un délai de mise en œuvre très court et de faibles besoins en matière de ressources dédiées à la maintenance. Cet avantage majeur permet au SIEM de fournir une véritable valeur ajoutée, et ce en quelques jours seulement.
4. Elle s’accompagne de licences et de tarifs vraiment prévisibles
Les modèles de tarification SIEM basés sur l’utilisation des données sont obsolètes. Les volumes de données augmentent constamment et les entreprises ne doivent pas être pénalisées si elles souhaitent surveiller davantage de données. Les modèles de tarification d’un Modern SIEM devraient plutôt être basés sur le nombre d’appareils envoyant des logs ou sur le nombre total d’entités. Grâce à un modèle de tarification prévisible, les entreprises n’ont plus à craindre que l’utilisation de leurs données n’augmente les coûts. En effet, ils pourront désormais se concentrer sur le déploiement évolutif pour satisfaire les besoins futurs de l’entreprise. Les entreprises devraient également tenir compte du coût total de possession (TCO). Lorsque le SIEM doit évoluer, certains éditeurs ont des coûts supplémentaires lorsqu’il est question d’augmenter les capacités matérielles ou bien le nombre d’employés qui accèdent au SIEM.
Déploiement d’un SIEM
Lorsqu’il est temps de mettre en œuvre une solution SIEM, plusieurs aspects doivent être pris en compte :
Définir la portée du déploiement
Lors du choix d’un produit SIEM, les entreprises devraient envisager d’organiser un atelier interactif, soit en interne, soit aux côtés d’un partenaire SIEM. Cette session aidera à définir et à convenir de la portée et du planning du projet. Pour définir la portée du déploiement, les entreprises doivent identifier, et surtout hiérarchiser, une liste initiale de cas d’usage afin de déterminer les sources de log nécessaires. De plus, il est important de convenir d’un planning de déploiement pour garantir que le SIEM s’alignera sur les objectifs globaux de l’entreprise.
Déterminer les sources de données prioritaires
Une fois que l’équipe a convenu de la portée idéale du projet, l’équipe peut identifier les sources de log nécessaires pour répondre aux cas d’usage choisis. Par exemple, les pare-feu, les systèmes de protection contre les intrusions et les logiciels antivirus servent tous de sources de données principales pour un SIEM. Mais il en existe encore beaucoup d’autres. Il est important que les entreprises hiérarchisent les sources de données et choisissent un éditeur SIEM prenant en charge toutes les applications utilisées par l’entreprise. Une telle précaution garantira une protection de sécurité la plus précise possible.
Conseil : pour en savoir plus sur le dimensionnement de votre SIEM, consultez notre article de blog dédié.
Identifier les événements et alertes prioritaires
Lorsqu’il s’agit de protéger une entreprise contre les menaces internes et externes, les équipes IT et de sécurité disposent souvent d’une liste toujours croissante d’événements de sécurité à analyser et à traiter. Les produits SIEM peuvent éliminer le bruit et aider les analystes à se concentrer sur les événements et les données d’alerte les plus critiques. Les entreprises doivent d’abord identifier leurs événements hautement prioritaires ainsi que les applications et appareils associés à ces derniers. Les équipes pourront ensuite utiliser le SIEM pour identifier les événements les plus dommageables pour l’entreprise. Par la suite, ils sauront précisément où investiguer.
Identifier les indicateurs clés de succès
Une mise en œuvre et un déploiement SIEM réussis sont directement liés aux objectifs de l’entreprise. Il est important que les indicateurs clés de succès soient déterminés avant le déploiement pour garantir un ROI maximal. De nombreuses entreprises disposent d’indicateurs liés à la réduction du vol d’informations ou à l’amélioration de la détection d’intrusions ou d’infections potentielles. Mais il en existe beaucoup d’autres. Il est important que les entreprises déterminent ce que signifie le succès pour elles et comment le SIEM peut être utilisé pour atteindre leurs objectifs.
L’avenir du SIEM
Le marché du SIEM est en constante évolution et ajoute de nouvelles capacités, telles que les progrès relativement récents de l’UEBA et de la réponse aux incidents. Alors que les nouvelles fonctionnalités sont toujours les bienvenues pour augmenter l’efficacité et pallier au manque de compétences en cybersécurité, les entreprises doivent choisir le SIEM qui répondra à leurs besoins. Les entreprises doivent s’assurer d’envoyer tous les logs nécessaires à leur SIEM. Ainsi, ils éviteront de créer des angles morts au niveau de leurs capacités d’analyse.