Qu’est ce qu’un SIEM ?

Logo NBS System
Logo NBS System
Qu’est ce qu’un SIEM ?
 

La sécurité informatique est aujourd’hui un sujet que personne ne peut laisser de côté. Les menaces se multiplient, les attaques évoluent… Votre entreprise doit se protéger efficacement contre les risques qui pèsent sur votre activité. Cependant, il est souvent difficile d’avoir une vision claire de la sécurité de ses systèmes d’information.

Une solution existe pour pallier cela : le SIEM ou « Security Information and Event Management ». Un SIEM permet de collecter, analyser, surveiller et corréler des données concernant la sécurité de vos systèmes, de les archiver et de réaliser des opérations de reporting.

Votre Système d’Information, le corps de votre activité

Votre Système d’Information est comme un corps humain : c’est un ensemble d’outils (les organes), de réseaux (les veines, artères, nerfs…), de technologies qui, articulés d’une certaine manière, forment un tout complet, homogène et fonctionnel qui répond à une ou plusieurs objectifs : la vie pour le corps, faire fonctionner et grandir votre activité pour votre Système d’Information.

Premier niveau de protection : la construction et le fonctionnement de votre système. Comme le corps humain s’adapte à son environnement, vous devez créer votre Système d’Information afin qu’il soit sécurisé et fonctionnel dans le cadre de votre activité et de vos enjeux. Pour cela, réalisez une analyse de risque et établissez une Politique de Sécurité des Systèmes d’Information comme le préconise le RGPD. Construisez ensuite votre architecture en fonction, afin d’avoir un ensemble homogène qui vous correspond.

Deuxième niveau de protection : les mécanismes de défense « innés ». Cela correspond aux bonnes pratiques de développement et de configuration de votre système, comme le chiffrement des données. Par exemple, de la même manière que la peau contient de la mélanine pour filtrer les UV, respectez les bonnes pratiques de filtrage des accès lors de la configuration de votre Système d’Information.

Troisième niveau de protection : les mécanismes de défense « spécifiques ». Ce sont les outils de sécurité que vous aurez installés sur votre Système d’Information, comme les pare-feux, les web application firewall, les anti-malwares… Ils agissent comme les lymphocytes de votre corps, repérant les attaques et les bloquant quand ils en sont capables, souvent avant même que des symptômes n’apparaissent.

Cependant, comme vous le savez, ces mécanismes de défense compris dans le système immunitaire ne suffisent pas toujours à nous protéger, nous humains, de la maladie. C’est là qu’intervient le corps médical : médecins, hôpitaux, médicaments, qui viennent apporter leur expertise pour améliorer notre protection. De la même manière, les outils et bonnes pratiques de sécurité peuvent ne pas suffire à protéger efficacement vos systèmes d’information… et c’est là qu’intervient le SIEM. Il n’est cependant efficace que si les trois niveaux de protection évoqués précédemment sont bien mis en place !

Si le corps humain, ou le Système d’Information, s’adapte à son environnement, c’est l’inverse pour leurs mécanismes externes de protection : corps médical et SIEM sont « configurés » et taillés pour répondre à vos besoins, vos enjeux, et vos contraintes spécifiques.

Le SIEM, médecin traitant de votre Système d’Information

Imaginez que votre cerveau réunisse en un point toutes les tentatives de contamination, chutes d’anticorps ou modification ayant lieu dans votre corps et pouvant être dangereuses pour vous. Imaginez ensuite que toutes ces informations soient transmises en temps réel à une équipe de médecins qui vous est dédiée.

  • Votre dossier contient l’historique brut des tentatives de contamination et des réponses de votre système immunitaire
  • L’un des médecins a les yeux rivés sur vos données afin de signaler tout élément douteux, et vous permettre d’y réagir rapidement si vos anticorps ne sont pas assez réactifs ou efficaces
  • Un autre étudie votre parcours santé sur le long terme, y repère des tendances et vous propose des solutions pour pallier les risques auxquels vous pourriez être exposés
  • Un troisième produit des rapports réguliers à votre assurance pour montrer que vous êtes en bonne santé

C’est, dans les grandes lignes, ce à quoi correspond un SIEM pour votre Système d’Information !

Collecte et analyse en temps réel des menaces informatiques

Un SIEM est composé d’une première brique, le SEM ou Security Event Management (système de Gestion des Événements de Sécurité). Il répertorie tous les événements relatifs à la sécurité de votre Système d’Information en récoltant les logs, ou journaux, de vos serveurs informatiques, réseau, appareils, outils de sécurité… bref, tous les éléments qui le composent.

Ces données informatiques brutes sont stockées, sans être modifiées, afin de garder une trace juridique utile en cas d’analyse post-intrusion par exemple : c’est la « valeur probante ». Elles sont ensuite agrégées grâce à des règles de filtrage, qui permettent de faire le tri pour ne garder que les données les plus pertinentes. L’enjeu est de garder assez de données pour ne pas ignorer des comportements dangereux, tout en laissant de côté de potentiels faux positifs et le bruit qui diminueraient l’efficacité du système. Enfin, les données sont normalisées pour pouvoir être triées, comparées et analysées.

Le SEM corrèle alors ces informations en temps réel afin de signaler tout comportement douteux, et d’alerter votre Security Manager afin qu’il puisse réagir immédiatement et protéger votre système d’information. L’avantage du SEM est qu’il permet une analyse plus fine de ces événements, et peut donc repérer davantage de menaces, que les outils de sécurité installés sur votre architecture. Grâce à une console, vous visualisez en temps réel ce qu’il se passe sur votre Système d’Information.

Archivage et historisation des événements de sécurité

En plus du SEM, qui permet donc la collecte et l’analyse en temps réel des événements de sécurité, un SIEM se compose également d’un SIM (Security Information Management, ou Gestion des Informations de Sécurité). Cette deuxième brique permet de bénéficier d’une vision d’ensemble sur votre Système d’Information et sa sécurité, et de réaliser des analyses plus poussées… pour une amélioration continue de votre protection.

Toutes les données récupérées puis corrélées par le SEM sont envoyées au SIM, qui les place dans un référentiel central et garde un historique complet. Contrairement aux valeurs probantes évoquées plus haut, ces données sont déjà normalisées, et donc facilement exploitables.

Cet historique permet par exemple de réaliser des corrélations plus poussées. Ainsi, après une compromission de votre système qui n’aurait pas été bloquée, vous pourrez retrouver quelle est la source de la compromission, puis les actions réalisées par le pirate et dans quel ordre. Cela peut être très utile dans le cas d’une analyse forensique… et si besoin, les valeurs probantes ne sont pas loin !

Amélioration continue de votre protection informatique

Au-delà de ces cas spécifiques, le SIM permet des études sur du moyen à long terme pour dégager des tendances et vous donner une meilleure vision des risques qui pèsent sur votre activité. Êtes-vous une cible opportuniste, ou votre système est-il visé plutôt par des attaques ciblées ? Subissez-vous plus de DDoS portant atteinte à votre image ou chiffre d’affaires, ou bien des tentatives d’intrusion pour voler vos données ? Les pirates ciblent-ils votre site web ou bien votre système interne ?

Toutes ces informations vous permettent d’adapter votre politique de sécurité et votre analyse de risque (obligatoires depuis le RGPD) en conséquence, et de mieux vous protéger contre les menaces qui vous sont propres. Des rapports réguliers, selon votre convenance, sont produits par le SIEM afin de vous permettre de suivre facilement les évolutions de vos risques et de vos protections.

Certains SIEM permettent même de rejouer des scénarios d’attaque que vous avez subies en testant de nouvelles règles de protection, afin de vous permettre de trouver celle qui convient le mieux à votre activité avant de la mettre en production.

L’eugénisme est une pratique très sensible et controversée quand elle touche à l’humain – et nous ne sommes pas là pour nous prononcer sur le sujet –, mais est totalement conseillée quand elle s’applique à votre Système d’Information !! N’hésitez pas à viser la perfection pour la sécurité de votre système, même si la sécurité à 100% n’existe pas…

Conformité et reporting

À l’heure où les normes et certifications de sécurité sont en plein boom, le SIEM devient un élément clé de tout Système d’Information. C’est un moyen relativement simple, en tous cas unique, de répondre à plusieurs exigences de sécurité (historisation et suivi des logs, rapports de sécurité, alerting…) et de prouver votre bonne foi aux Autorités de Certification ou de suivi.

En outre, ce système de sécurité informatique vous permet de générer automatiquement des rapports spécifiques aux normes et certifications qui vous concernent, grâce au référentiel spécifique que vous aurez créé. Le maintien de vos certifications est ainsi grandement facilité.