Les logiciels de SIEM sont devenus indispensables aujourd’hui pour quiconque possède une entreprise. Peut importe la taille de cette dernière, il faut impérativement être en mesure de protéger le système d’information de l’entreprise et pouvoir être capable de réagir en temps réel à n’importe quelle menace qui se présenterait sur son réseau. En 2021, on estime que 54 % des entreprises françaises ont été touchées par au moins une cyberattaque et qu’en moyenne, une de ces cyberattaques coûtent 50 000 € à l’entreprise qui en est victime (interruption du business, détérioration du matériel informatique, fuite de données nécessaires aux opérations, impact sur la notoriété).
Court historique de la solution SIEM
L’utilité des logiciels de SIEM est donc très claire. Protéger votre entreprise. Le SIEM (Security Information and Event Management) permet également d’être beaucoup plus rapide à la détection de menace cyber ainsi qu’à la résolution de cette dernière. De fait, les logiciels SIEM offrant une certaine clarté et de nombreux avantages, les analystes sont plus performants et plus précis lors de leurs interventions. Pour ce qui est de son origine, il a fait sa toute première apparition en 2005 après que Mark Nicolett et Amrit Williams, deux analystes travaillant chez Gartner, inventent cet acronyme qui deviendra par la suite une véritable référence dans le monde de la cybersécurité. Toutefois, l’invention de ce terme n’est pas liée à l’invention des logiciels de SIEM.
En effet, ce terme regroupe en réalité deux acronymes existants déjà précédemment, SIM (Security Information Management) et SEM (Security Event Management). Le travail de Nicolett et Williams a été de combiner la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM) en un seul et nouvel élément, le SIEM (gestion des informations et des événements de sécurité), permettant ainsi une analyse et une surveillance en temps réel alliées à la journalisation et au suivi des datas de sécurité dans le cadre d’un audit par exemple.
Le fonctionnement d'un SIEM
Dans la pratique, les logiciels SIEM collectent toutes les données en temps réel, et ce, quelle soit la source (périphériques réseau, messagerie, serveurs, pare-feu, antivirus, applications, …). Ces données sont centralisées, permettant aux analystes de gagner du temps, puis stockées sous forme brutes (pour qu’elles conservent leur valeur juridique le cas échéant). Elles sont enfin « normalisées », c’est-à-dire transformées en un format plus lisible et permettant de faire des recherches plus pertinentes. Ces données remontent ensuite au moteur de corrélation, chargé de trouver des liens entre les différents événements. Comme par exemple, identifier un événement qui serait la cause de plusieurs autres et ainsi remonter à l’origine du problème. Avec ces logiciels, il est également possible de générer des tableaux de bord et des rapports afin que tout personnel ayant le niveau d’habilitation puisse disposer d’une visibilité sur le SI.
Enfin, ces données sont archivées sous forme brute et restent consultables autant de temps (et d’espace) que vous pouvez les stocker. Les logiciels les plus récents permettent même une réponse automatique aux menaces et peuvent détecter certaines d’entre elles en se basant uniquement sur des comportements anormaux et ainsi éviter les fausses alertes.
Externalisez la gestion des événements et des informations de sécurité
À l’instar d’une solution EDR, la solution SIEM est basée sur une IA, capable d’apprentissage. Elle demande donc du temps lors de son déploiement, mais se révèle très rapidement efficace et permet d’automatiser un grand nombre de tâches. Dès la première étape de déploiement passée, l’équipe IT de l’entreprise est essentiellement chargée du contrôle et de l’affinage des connaissances de l’IA sur les comportements des applications utilisées dans les différents terminaux de l’entreprise.
Toutefois, le temps peut manquer. Notamment aux PME et petites entreprises, y compris des entreprises stratégiques. C’est pourquoi il est recommandé l’externalisation de la gestion de la solution SIEM, et particulièrement lors de la phase de déploiement des logiciels. Par la suite, un simple accompagnement peut suffire.
Quelques exemples de la solution
Les solutions SIEM complètes peuvent de décliner en trois grandes familles :
- Les produits dits “vierges. Ils sont dépourvus de toute pré-configuration et nécessitent une mise en place complète. La flexibilité du logiciel doit permettre son adaptation aux besoins de chaque entreprise ;
- Les produits pré-formatés, capables d’évoluer à partir de bases déjà existantes et adaptables à la grande majorité des équipements informatiques ;
- Les produits “prêts-à-porter“, accessibles à tout le monde et ciblant un besoin précis à un moment précis, mais limité dans leur capacité évolutive.
