Accueil SIEM : Passer de la gestion des vulnérabilités aux contre-mesures

SIEM : Passer de la gestion des vulnérabilités aux contre-mesures

Soumis aux menaces externes et internes, le responsable de la sécurité lève de nouveaux boucliers, plus intelligents, l'aidant à traiter en priorité les événements critiques.

L'entreprise se dote, au fil des ans, d'une intelligence de sécurité informatique, avec ses tableaux de bord, rapports de conformité et résolutions d'incidents. La solution SIEM fait partie de cet arsenal incontournable, aux côtés des outils de prévention d'intrusion (IPS) et de la gouvernance de la sécurité. Aux assises de la sécurité 2013, Conix Security, CS, Dell, Guidance Software, HP, IBM, I-Tracing, LogRhythm, McAfee, NetIQ, Qualys, RSA, Splunk et Symantec étaient en compétition sur ce segment de marché.

Dès 2005, la terminologie SIEM (Security Information and Event Management) est apparue dans les analyses de Mark Nicolett et Amrit Williams du Gartner. Ils ont noté le rapprochement inéluctable des outils de gestion des journaux ou SIM (Security Information Management) et des programmes de suivi d'événements de sécurité ou SEM (Security Event Manager). Ces derniers analysent, en temps réel, les événements du réseau, puis effectuent une corrélation afin de détecter la cause initiale du problème. Ils peuvent ensuite déclencher l'alerte adaptée vers l'administrateur pouvant colmater la brèche, arrêter un processus ou fermer un port. Parfois même, ils poussent une nouvelle règle vers les équipements d'interconnexion. Le SIEM devient alors un outil actif de la sécurité.

Des pertes substantielles contenues

En huit ans, les solutions SIEM ont évolué vers une surveillance continue de l'infrastructure, des serveurs, PC et terminaux mobiles à présent. Elles contrent les menaces provenant de l'extérieur comme de l'intérieur de l'organisation. Sans remplacer les outils de sécurité traditionnels (pare-feu, anti-malware et IDS), elles les complètent en identifiant un nombre croissant d'attaques aux méthodes évoluées. «Nous cherchons à aider nos clients à anticiper les failles et à mieux se défendre, confirme Franck Mong, Vice-Président des solutions de sécurité d'HP. Dans notre solution HP Tipping Point, nous disposons d'une initiative zero-day et du soutien d'un laboratoire spécialisé dans la découverte de vulnérabilités, l'analyse et la protection de services Java ou Windows.»

Une étude récente sur le coût de la cybercriminalité, menée par Ponemon Institute, démontre que 234 entreprises occidentales vont subir plus de 100 attaques en 2013, provoquant une perte de 11,6 millions de dollars et exigeant 32 jours de résolution. «Sur 27 entreprises françaises sondées, 26 subissent une brèche par semaine, un malware, une attaque DDoS ou une attaque interne. Le constat est semblable dans les six pays que nous avons étudiés et les coûts similaires». La bonne défense ? Agir à temps, avant que les dégâts ne forcent à réparer les systèmes un par un.

Donner du sens aux journaux systèmes

Si les solutions SIEM gagnent du terrain, c'est parce qu'elles évitent de graves dysfonctionnements et de vastes fuites de données. Encore faut-il trier le bon grain de l'ivraie dans le déluge des journaux.

La qualité de l'investigation dépend aussi d'une écoute préalable du réseau pour étalonner le comportement normal dans l'entreprise. «Il faut apporter un grand soin à la constitution de ce référentiel initial puis à la mise place d'outils comportementaux. Une administration et un industriel ne présentent pas le même niveau de risques de piratage», explique , Directeur Europe du Sud et Benelux chez LogRhythm. Créé en 2003 dans le Colorado, cet éditeur compte 1800 clients et 280 salariés dans le monde avec des filiales commerciales en Europe et en Asie, fournissant des produits SIEM et déployant des services professionnels.

Pour bâtir son offre SIEM 2.0, LogRhythm a passé des accords avec plus de 60 constructeurs et éditeurs dont Cisco, Microsoft, FireEye et PaloAlto. Le logiciel interprète ainsi les traces provenant des serveurs comme des équipements réseaux. Il dispose de plusieurs modèles d'attaques, chaque entreprise pouvant débrayer ceux de son choix. La phase de personnalisation de l'outil SIEM prend une à quatre semaines, le système en écoute générant automatiquement des listes blanches. Ensuite vient la phase de tests qui exige jusqu'à deux mois pour aboutir à un système calibré, identifiant les attaques et paramétrant l'infrastructure. «Nous savons pousser des remédiations, par exemple, fermer un port, arrêter un processus, le redémarrer ou couper un compte utilisateur».

Chez RSA, les capacités de détection évoluent au point de préfigurer une analyse prédictive : «La culture de gestion des risques opérationnels se diffuse dans la banque puis dans d'autres secteurs, observe Philippe Fauchay, le directeur général de RSA France. Lorsque le DSI a placé la sécurité à son agenda, on rencontre à la fois plus de moyens et plus d'exigences. Il s'agit de justifier encore plus de l'efficacité de ce qui est mis en œuvre.» Les équipes R&D de RSA et d'EMC (sa maison mère) travaillent ensemble pour doter leurs logiciels de capacités prédictives dans le courant 2014. Plusieurs logiciels de ce groupe pourront détecter une menace sur le point d'arriver, avant même qu'elle ne se produise : «Aujourd'hui, on détecte en temps réel pour réagir aussi vite que possible et contenir l'incident. Demain, on fera tout ce qu'il faut pour qu'il ne se produise plus du tout».

Un prix en fonction de la volumétrie

La dernière tendance des offres SIEM concerne leur tarification désormais échelonnée sur le nombre d'événements analysés par seconde. Ce mode de licence se généralise à présent. Un modèle économique qui fournit une marge conséquente, à l'heure où les grands groupes ont besoin d'examiner, en temps réel, plusieurs tera-octets de journaux en provenance de l'infrastructure et des serveurs de données. De moins en moins d'offres retiennent le nombre d'équipements sondés pour base tarifaire, car l'évaluation de la volumétrie doit toujours être déterminée, ne serait-ce que pour dimensionner le stockage des données et des événements à analyser. Pour une appliance LogRhythm SIEM 2.0, il faut compter ainsi 27 KE pour 250 logs analysés par seconde, soit 8 Go de journaux par jour. Selon la taille du réseau, les solutions SIEM dépassent fréquemment les 100 KE. Mais leur retour sur investissement s'avère rapide ; il serait même inférieur à quatre mois dans certains cas.

Guidance étoffe sa plateforme EnCase

EnCase est une solution de sécurité modulaire développée en Californie, par Guidance Software. Exploitée dans le cadre d'enquêtes policières, son code d'inspection se loge sous l'OS du PC ou du serveur, pour remonter rapidement à la source d'une brèche, identifier le malware puis y remédier. NanoCode, véritable agent dormant, est réveillé à la demande pour inspecter les ports d'entrées-sorties, la mémoire RAM, le processeur et contribuer à générer des rapports centralisés. «Hier, nous agissions encore poste par poste, en examinant physiquement l'ordinateur infecté. A présent, nous scrutons tout le parc micro, à distance avec EnCase Enterprise v7», retrace Rafik Hajem, Directeur de l'Europe du sud, du Benelux, du Moyen-Orient et de l'Afrique de l'éditeur. Il compte déjà pour clients un tiers des groupes du CAC40 qui apprécient de réduire les déplacements physiques d'administrateurs ainsi qu'un retour sur investissement inférieur à 4 mois. Quatre modules composent la plateforme EnCase Enterprise : Forensic chargé de l'investigation, Cybersecurity, de la mise en œuvre d'une politique de sécurité, Analytics, de la cartographie et eDiscovery, de la conformité juridique.

Avec Prelude, CS cartographie la sécurité de chaque site

Prelude, l'outil SIEM européen Open Source de CS supervise tous les types d'équipements réseaux, serveurs, machines embarquées virtuelles ou physiques. Avec la multiplication des outils connectés, terminaux mobiles et autres GPS multimédia sous Android, Windows Phone, IOS, le périmètre de supervision ne cesse de s'étendre et de se complexifier. Grâce à ses nombreuses sondes, Prelude permet la supervision et surtout la corrélation de l'ensemble des événements du parc. Il affiche, à tout moment, l'état de sécurité du parc. Une vue globale résume la sécurité des différents sites et de leur flotte d'équipements tandis qu'une vue ciblée, plus technique, s'adresse aux administrateurs.