En appliquant un ensemble de bonnes pratiques, les entreprises utilisant une solution SIEM peuvent réaliser une économie estimée à 40 % sur les coûts de licences annuels, soutient Hunor Voith, responsable marketing produit Syslog-ng chez Balabit. Son avis d’expert sur la question.
Les solutions SIEM (Security Information and Event Management) sont souvent au cœur de stratégies de sécurité d’entreprise efficaces tant elles apportent une vision complète sur l’activité du réseau et une connaissance optimale de son système IT, de ses utilisateurs et de ses vulnérabilités. Cette connaissance approfondie permet notamment une détection et une réaction plus rapides face aux menaces et une meilleure définition de l’infrastructure et des règles de sécurité. Dans une étude publiée en 2016, le cabinet d’analystes Gartner estimait à 22 millions de dollars le marché des logiciels de sécurité informatique en 2015 (+3,7 % sur un an) et soulignait que le segment des SIEMs demeurait encore le segment à la plus forte croissance (+15,8 %).
Dans la réalité, un projet SIEM doit toutefois être bien calibré, car à défaut il peut vite excéder le périmètre et le budget initialement définis. Malgré des bénéfices indéniables, ce manque de visibilité sur le coût global peut représenter un frein au déploiement de telles solutions. En appliquant un ensemble de bonnes pratiques, les entreprises utilisant une solution SIEM peuvent réaliser une économie estimée à 40 % sur les coûts de licences annuels, tout en améliorant significativement les performances de leur SIEM pour mieux détecter, répondre et investiguer sur les menaces et risques de sécurité potentiels.
Les entreprises ont engagé une transition de leur activité et de leurs processus vers le numérique
Pour les équipes IT, la transformation numérique est synonyme de volume d’informations croissant à gérer – dont il est indispensable de retirer des enseignements de valeur – et d’infrastructures de plus en plus sensibles à sécuriser.
Il n’est donc pas surprenant que les SIEM deviennent le centre névralgique des systèmes de sécurité de l’entreprise, et un facteur clé d’une stratégie de sécurité efficace. Mais à l’heure où toute l’entreprise devient digitale, le volume de données que les entreprises doivent collecter, stocker et analyser devient rapidement ingérable. Cependant, si les SIEM sont surtout efficaces pour fournir des analyses et des reportings, ils sont bien moins efficaces pour améliorer les bases de références et les fondations sur lesquelles elles s’appuient : les logs.
Pour profiter pleinement d’un SIEM, il faut en parallèle optimiser son système de log management. Ensuite, la mise en œuvre de quelques bonnes pratiques clés va permettre de réaliser des améliorations très importantes, immédiates et à long-terme, qui vont impacter les opérations SIEM mais également d’autres points clés, tels que les audits de conformité ou le fonctionnement du Security Operations Center (SOC) de l’entreprise.
Améliorer les performances et économiser sur le coût d’un SIEM : le top 7 des bonnes pratiques
1-S’affranchir des problèmes de conformité
La qualité des données analytiques générées par le SIEM dépend des données initiales sur lesquels le SIEM s’appuie. Les réseaux étant très différents les uns des autres, cela suppose de choisir un outil de log management qui offre une plateforme large intégrant un grand nombre de sources de logs (les formats syslog, les fichiers textes simples, les fichiers de bases de données telles que SQL, Oracle, SNMP traps, etc.).
2-Extraire les informations de valeur des logs pour nourrir le SIEM avec un volume de données moindre
L’outil « nourrissant » le SIEM doit être capable de traiter et fournir des données structurées et non-structurées, et doit intégrer des fonctions de transformation comme du filtering, de l’analyse syntaxique (parsing), de réécriture, de classification, etc. Grâce à ces fonctions, il ne reste plus qu’à transférer les informations présentant le plus de valeur. Cela permet de réduire significativement les coûts de licences SIEM et de fournir un flux de logs enrichi et reformaté pour une analyse plus efficace. Les cas d’étude concrets estiment à plus de 40 % les économies réalisées sur une année.
3-Assurer la conformité réglementaire avec le système de collecte et stockage des logs par défaut
Les fonctions de transformation telles que l’anonymisation et la pseudonymisation permettent de garantir un respect plus précis aux standards internationaux en matière de respect de la vie privée et de traitement de données, tels que PCI-DSS, HIPAA et la future RGPD au niveau européen.
4-Compresser les messages de logs lorsqu’ils sont transférés via des accès internet à faible bande passante
La bande passante des réseaux intranet et internet variant beaucoup, l’outil de log management doit être capable de travailler dans des situations où la bande passante est très limitée. Compresser les messages de logs à la volée permet de réduire radicalement la consommation de bande passante et d’accélérer la collecte centrale des logs avec pour effet de de réagir plus rapidement aux potentiels risques de sécurité et risques opérationnels.
5-S’assurer de ne perdre absolument aucune donnée de log
Perdre un log n’a généralement pas de conséquences directes, mais il peut être le premier et le seul signe d’une fuite de données en cours. Les fonctionnalités de prévention de perte de messages, le contrôle de remise des messages ou des problèmes de destination, sont précieux. Il est finalement important de s’assurer que rien ne déclenche de défaillance temporaire au niveau de l’infrastructure de logging, ou bien que celle-ci n’est tout simplement pas à la hauteur de la tâche à accomplir.
6-Intégrer et nourrir le SIEM avec des données de surveillance des utilisateurs privilégiés
Même si la plupart des activités des utilisateurs laissent des traces dans les logs, plusieurs actions d’utilisateurs (surtout celles exécutées par des utilisateurs privilégiés) ne peuvent être vues dans les logs ou dans les données analytiques fournies par le SIEM. En intégrant son SIEM avec une solution de surveillance des activités privilégiés, l’entreprise peut analyser les activités utilisateurs les plus risquées en temps réel, afin de prévenir les types d’attaques les plus coûteux et les compromissions de comptes privilégiés, souvent à la base d’importantes attaques.
7-Prioriser les alertes SIEM
En moyenne un professionnel de sécurité à 7 minutes par alerte générée par son SIEM pour décider si une attaque APT est en cours ou si un utilisateur a juste ouvert un email de phishing (étude Balabit). Pour optimiser la capacité de détection et de prise de décision, les technologies d’analyse comportementale peuvent aider à identifier les problèmes de sécurité les plus à risques, en se basant sur les privilèges dont bénéficie l’utilisateur ciblé et les différences comportementales observées en temps réel par rapport à une base de références de comportements normaux pour cet utilisateur.
