Aujourd’hui, une seule violation de données coûte en moyenne 4,45 millions de dollars à ceux qui en sont victime (source IBM). Les menaces se multiplient et la valeur des données ne cesse d’augmenter (pour les entreprises certes, mais aussi pour les criminels), tandis que les paradigmes de sécurité deviennent de plus en plus complexes et nécessitent une approche englobant toutes les vulnérabilités auxquelles est soumis un écosystème informatique
Tout cela, sans parler de la législation, de plus en plus stricte, et qui augmente progressivement le coût de la mise en conformité et rend le système de sanctions de plus en plus incisif. C’est dans ce contexte que les systèmes SIEM trouvent leur raison d’être, au-delà de leur simple pertinence.
Systèmes SIEM : de quoi s’agit-il et pourquoi sont-ils essentiels ?
Parmi toutes les définitions des systèmes SIEM, on soulignera tout particulièrement la pertinence de celle proposée par Gartner : « une technologie qui aide à découvrir de nouvelles menaces, à se mettre en conformité et à gérer les incidents de sécurité, à travers la collecte et l'analyse (en temps réel ou non) des événements de sécurité et d’un large éventail d’autres événements et sources de données contextualisées »
Selon la définition du manuel, les systèmes SIEM sont le résultat de fonctionnalités SIM (Security Information Management) et SEM (Security Event Management) réunies dans un seul système de gestion. Globalement, le SIEM est donc une plateforme qui acquiert des logs et des événements de sécurité de tous les composants du système informatique de l'entreprise - aussi complexe, hybride et distribué soit-il - et assure des activités de normalisation des données, de corrélation, de surveillance, d'alerte et de reporting, afin d'identifier des menaces potentielles à travers un suivi constant de l'ensemble de l'infrastructure.
La complexité d'un système SIEM dépend des responsabilités auxquelles il est soumis, mais aussi de l'immense quantité de sources de données avec lesquelles il doit se connecter : il est en effet question de périphériques réseau tels que des routeurs et firewalls, mais aussi de systèmes de sécurité, tels que les IDS et les antimalware, les appareils sur lesquels travaillent les utilisateurs, les applications d'entreprise, les bases de données, les serveurs, les systèmes d'identité (IAM), les systèmes industriels tels que les automates et les SCADA et tout ce qui, naturellement sujet à vulnérabilité, peut être exploité par des personnes malintentionnées à des fins criminelles.
Ce n’est pas un hasard si le concept même de Security Information and Event Management est fortement lié à celui de gestion des Log Management , que l’on peut considérer comme une sorte de spécialisation dans le domaine de la sécurité et de la conformité, les SIEM étant la base sur laquelle construire (et démontrer) la conformité face à de nombreux cadres réglementaires. Aspect tout autre que secondaire, le SIEM est typiquement la plateforme centrale sur laquelle un Security Operations Center (SOC) fonde son activité.
La complexité et l'évolution des systèmes SIEM
Ce qui rend les systèmes SIEM cruciaux dans le paradigme de sécurité moderne, c’est leur capacité à regrouper et à effectuer des corrélations statistiques avancées entre des données provenant de diverses sources, afin d'identifier des signaux critiques qui peuvent/doivent déclencher un processus de réponse aux incidents, pour préserver la continuité des activités, l’intégrité des données et la mise en conformité face aux politiques et aux réglementations.
De la première génération (vers 2005) jusqu’à nos jours, des progrès significatifs ont été réalisés dans chacun des domaines mentionnés, au point qu'aujourd'hui, un SIEM constitue le fondement même de tout Security Operations Center qui, à son tour, est le pilier de la sécurité de l'entreprise.
On a assisté, au fil des ans, notamment dans les principaux systèmes SIEM, à l’intégration de technologies avancées d'analyse comportementale des utilisateurs et des entités (UEBA) et d'orchestration en matière de sécurité et de réponse automatisée (SOAR), pour ensuite se concentrer sur l'Intelligence Artificielle (ou mieux, sur le Machine Learning), pour intercepter toute activité anormale, identifier celles potentiellement dangereuses (en agissant ainsi sur le problème des faux positifs), interagir avec les politiques de sécurité fixées par l'organisation et déterminer les actions à entreprendre. À ce stade, le système peut également lancer une série d'actions de réponse automatique, comme déconnecter des appareils du réseau, désactiver des applications, etc.
Tout cela ne veut pas dire pour autant que la supervision humaine ne soit pas nécessaire, car c’est précisément grâce aux systèmes SIEM de dernière génération, aux intégrations avec SOAR et Cyber Threat Intelligence que l'on peut développer ce renforcement mutuel homme-machine qui, en pleine ère de l'intelligence artificielle, devrait façonner le présent et l'avenir des entreprises.
Source:
