En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 28/09/2017
    Journée de la Transition Numérique 2017

    La seconde Journée de la Transition Numérique eFutura se tiendra le jeudi 28 septembre 2017 à Paris.…

    en détail En détail...
  • 04/10/2017
    Convention USF 2017

    L'événement annuel de référence de l’ensemble de l’écosystème SAP français aura lieu cette année les…

    en détail En détail...
Appels d'offres en cours
  • Designer pour la réalisation de dossiers techniques
    < 1 500 €
    > En savoir plus
  • Création d'un logo et réalisation d'étiquettes pour une société spécialisée dans la vente de produits d'entretien
    A déterminer €
    > En savoir plus
  • Webdesigner / Intégrateur pour un groupe international leader mondial des solutions spécialisées dans le financement
    < 2 500 €
    > En savoir plus
Wallix_Q4_leaderboard

SIEM : Passer de la gestion des vulnérabilités aux contre-mesures

USF_Convention2017_pave

Soumis aux menaces externes et internes, le responsable de la sécurité lève de nouveaux boucliers, plus intelligents, l'aidant à traiter en priorité les événements critiques.

L'entreprise se dote, au fil des ans, d'une intelligence de sécurité informatique, avec ses tableaux de bord, rapports de conformité et résolutions d'incidents. La solution SIEM fait partie de cet arsenal incontournable, aux côtés des outils de prévention d'intrusion (IPS) et de la gouvernance de la sécurité. Aux assises de la sécurité 2013, Conix Security, CS, Dell, Guidance Software, HP, IBM, I-Tracing, LogRhythm, McAfee, NetIQ, Qualys, RSA, Splunk et Symantec étaient en compétition sur ce segment de marché.

Dès 2005, la terminologie SIEM (Security Information and Event Management) est apparue dans les analyses de Mark Nicolett et Amrit Williams du Gartner. Ils ont noté le rapprochement inéluctable des outils de gestion des journaux ou SIM (Security Information Management) et des programmes de suivi d'événements de sécurité ou SEM (Security Event Manager). Ces derniers analysent, en temps réel, les événements du réseau, puis effectuent une corrélation afin de détecter la cause initiale du problème. Ils peuvent ensuite déclencher l'alerte adaptée vers l'administrateur pouvant colmater la brèche, arrêter un processus ou fermer un port. Parfois même, ils poussent une nouvelle règle vers les équipements d'interconnexion. Le SIEM devient alors un outil actif de la sécurité.

Des pertes substantielles contenues

En huit ans, les solutions SIEM ont évolué vers une surveillance continue de l'infrastructure, des serveurs, PC et terminaux mobiles à présent. Elles contrent les menaces provenant de l'extérieur comme de l'intérieur de l'organisation. Sans remplacer les outils de sécurité traditionnels (pare-feu, anti-malware et IDS), elles les complètent en identifiant un nombre croissant d'attaques aux méthodes évoluées. «Nous cherchons à aider nos clients à anticiper les failles et à mieux se défendre, confirme Franck Mong, Vice-Président des solutions de sécurité d'HP. Dans notre solution HP Tipping Point, nous disposons d'une initiative zero-day et du soutien d'un laboratoire spécialisé dans la découverte de vulnérabilités, l'analyse et la protection de services Java ou Windows.»

Une étude récente sur le coût de la cybercriminalité, menée par Ponemon Institute, démontre que 234 entreprises occidentales vont subir plus de 100 attaques en 2013, provoquant une perte de 11,6 millions de dollars et exigeant 32 jours de résolution. «Sur 27 entreprises françaises sondées, 26 subissent une brèche par semaine, un malware, une attaque DDoS ou une attaque interne. Le constat est semblable dans les six pays que nous avons étudiés et les coûts similaires». La bonne défense ? Agir à temps, avant que les dégâts ne forcent à réparer les systèmes un par un.

Donner du sens aux journaux systèmes

Si les solutions SIEM gagnent du terrain, c'est parce qu'elles évitent de graves dysfonctionnements et de vastes fuites de données. Encore faut-il trier le bon grain de l'ivraie dans le déluge des journaux.

La qualité de l'investigation dépend aussi d'une écoute préalable du réseau pour étalonner le comportement normal dans l'entreprise. «Il faut apporter un grand soin à la constitution de ce référentiel initial puis à la mise place d'outils comportementaux. Une administration et un industriel ne présentent pas le même niveau de risques de piratage», explique , Directeur Europe du Sud et Benelux chez LogRhythm. Créé en 2003 dans le Colorado, cet éditeur compte 1800 clients et 280 salariés dans le monde avec des filiales commerciales en Europe et en Asie, fournissant des produits SIEM et déployant des services professionnels.

Pour bâtir son offre SIEM 2.0, LogRhythm a passé des accords avec plus de 60 constructeurs et éditeurs dont Cisco, Microsoft, FireEye et PaloAlto. Le logiciel interprète ainsi les traces provenant des serveurs comme des équipements réseaux. Il dispose de plusieurs modèles d'attaques, chaque entreprise pouvant débrayer ceux de son choix. La phase de personnalisation de l'outil SIEM prend une à quatre semaines, le système en écoute générant automatiquement des listes blanches. Ensuite vient la phase de tests qui exige jusqu'à deux mois pour aboutir à un système calibré, identifiant les attaques et paramétrant l'infrastructure. «Nous savons pousser des remédiations, par exemple, fermer un port, arrêter un processus, le redémarrer ou couper un compte utilisateur».

Chez RSA, les capacités de détection évoluent au point de préfigurer une analyse prédictive : «La culture de gestion des risques opérationnels se diffuse dans la banque puis dans d'autres secteurs, observe Philippe Fauchay, le directeur général de RSA France. Lorsque le DSI a placé la sécurité à son agenda, on rencontre à la fois plus de moyens et plus d'exigences. Il s'agit de justifier encore plus de l'efficacité de ce qui est mis en œuvre.» Les équipes R&D de RSA et d'EMC (sa maison mère) travaillent ensemble pour doter leurs logiciels de capacités prédictives dans le courant 2014. Plusieurs logiciels de ce groupe pourront détecter une menace sur le point d'arriver, avant même qu'elle ne se produise : «Aujourd'hui, on détecte en temps réel pour réagir aussi vite que possible et contenir l'incident. Demain, on fera tout ce qu'il faut pour qu'il ne se produise plus du tout».

Un prix en fonction de la volumétrie

La dernière tendance des offres SIEM concerne leur tarification désormais échelonnée sur le nombre d'événements analysés par seconde. Ce mode de licence se généralise à présent. Un modèle économique qui fournit une marge conséquente, à l'heure où les grands groupes ont besoin d'examiner, en temps réel, plusieurs tera-octets de journaux en provenance de l'infrastructure et des serveurs de données. De moins en moins d'offres retiennent le nombre d'équipements sondés pour base tarifaire, car l'évaluation de la volumétrie doit toujours être déterminée, ne serait-ce que pour dimensionner le stockage des données et des événements à analyser. Pour une appliance LogRhythm SIEM 2.0, il faut compter ainsi 27 KE pour 250 logs analysés par seconde, soit 8 Go de journaux par jour. Selon la taille du réseau, les solutions SIEM dépassent fréquemment les 100 KE. Mais leur retour sur investissement s'avère rapide ; il serait même inférieur à quatre mois dans certains cas.

Guidance étoffe sa plateforme EnCase

EnCase est une solution de sécurité modulaire développée en Californie, par Guidance Software. Exploitée dans le cadre d'enquêtes policières, son code d'inspection se loge sous l'OS du PC ou du serveur, pour remonter rapidement à la source d'une brèche, identifier le malware puis y remédier. NanoCode, véritable agent dormant, est réveillé à la demande pour inspecter les ports d'entrées-sorties, la mémoire RAM, le processeur et contribuer à générer des rapports centralisés. «Hier, nous agissions encore poste par poste, en examinant physiquement l'ordinateur infecté. A présent, nous scrutons tout le parc micro, à distance avec EnCase Enterprise v7», retrace Rafik Hajem, Directeur de l'Europe du sud, du Benelux, du Moyen-Orient et de l'Afrique de l'éditeur. Il compte déjà pour clients un tiers des groupes du CAC40 qui apprécient de réduire les déplacements physiques d'administrateurs ainsi qu'un retour sur investissement inférieur à 4 mois. Quatre modules composent la plateforme EnCase Enterprise : Forensic chargé de l'investigation, Cybersecurity, de la mise en œuvre d'une politique de sécurité, Analytics, de la cartographie et eDiscovery, de la conformité juridique.

Avec Prelude, CS cartographie la sécurité de chaque site

Prelude, l'outil SIEM européen Open Source de CS supervise tous les types d'équipements réseaux, serveurs, machines embarquées virtuelles ou physiques. Avec la multiplication des outils connectés, terminaux mobiles et autres GPS multimédia sous Android, Windows Phone, IOS, le périmètre de supervision ne cesse de s'étendre et de se complexifier. Grâce à ses nombreuses sondes, Prelude permet la supervision et surtout la corrélation de l'ensemble des événements du parc. Il affiche, à tout moment, l'état de sécurité du parc. Une vue globale résume la sécurité des différents sites et de leur flotte d'équipements tandis qu'une vue ciblée, plus technique, s'adresse aux administrateurs.

Auteur : Olivier Bouzereau

Dossier publié dans Solutions Logiciels N°43

SIEM : Passer de la gestion des vulnérabilités aux contre-mesures
Notez cet article

Laisser un commentaire

AI Hackademy : l’intelligence artificielle au service de l’entreprise

L'évènement de MS Experiences'17, les 3 & 4 octobre. Découvrir l’intelligence artificielle : démos innovantes, expériences immersives au sein de l’AI Hackademy.

Agenda et inscription gratuite

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Déréférencement mondial de pages : Google attaque une décision du Canada

    Google a demandé à la justice américaine de bloquer une décision de la Cour suprême…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Tribune - Protégez vos données grâce à l’innovation

    Il est de plus en plus nécessaires pour toutes les entreprises d’avoir des mesures de…

    > En savoir plus...
Etudes/Enquêtes
  • Pour 82% des décideurs RH, le digital améliore l'engagement des collaborateurs

    82% des décideurs RH estiment que le digital permet d'améliorer l'engagement des collaborateurs, selon Markess…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
Microsoft_MS exp 17_Manageo_PILIERS_skycraper s39 40
Agenda
livres blancs
Les Livres
Blancs
  • Menaces avancées, découvrez les techniques de détection avancée

    > Voir le livre
  • Livre blanc : votre entreprise pourrait-elle surmonter une attaque de cryptovirus ?

    > Voir le livre
Bomgar_Cybersecurity_skycraper