En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Edition 2018 des salons Solutions RH

    L’édition 2018 du rendez-vous de toute la communauté RH, avec 3 grandes manifestations aura lieu…

    en détail En détail...
  • 21/03/2018
    Cloud Computing World Expo et Solutions Datacenter Management

    La 9ème édition de l’évènement phare du Cloud et des datacenters a lieu les 21…

    en détail En détail...
Appels d'offres en cours
  • Création de site Internet vitrine dans l'immobilier
    A déterminer €
    > En savoir plus
  • Création d'un site vitrine pour un salon de thé
    < 4 000 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de véhicules
    <1 000 €
    > En savoir plus
ITrust_SOC_leaderboard

SIEM : Passer de la gestion des vulnérabilités aux contre-mesures

Schneider_SMARTBUNKER_pavé

Soumis aux menaces externes et internes, le responsable de la sécurité lève de nouveaux boucliers, plus intelligents, l'aidant à traiter en priorité les événements critiques.

L'entreprise se dote, au fil des ans, d'une intelligence de sécurité informatique, avec ses tableaux de bord, rapports de conformité et résolutions d'incidents. La solution SIEM fait partie de cet arsenal incontournable, aux côtés des outils de prévention d'intrusion (IPS) et de la gouvernance de la sécurité. Aux assises de la sécurité 2013, Conix Security, CS, Dell, Guidance Software, HP, IBM, I-Tracing, LogRhythm, McAfee, NetIQ, Qualys, RSA, Splunk et Symantec étaient en compétition sur ce segment de marché.

Dès 2005, la terminologie SIEM (Security Information and Event Management) est apparue dans les analyses de Mark Nicolett et Amrit Williams du Gartner. Ils ont noté le rapprochement inéluctable des outils de gestion des journaux ou SIM (Security Information Management) et des programmes de suivi d'événements de sécurité ou SEM (Security Event Manager). Ces derniers analysent, en temps réel, les événements du réseau, puis effectuent une corrélation afin de détecter la cause initiale du problème. Ils peuvent ensuite déclencher l'alerte adaptée vers l'administrateur pouvant colmater la brèche, arrêter un processus ou fermer un port. Parfois même, ils poussent une nouvelle règle vers les équipements d'interconnexion. Le SIEM devient alors un outil actif de la sécurité.

Des pertes substantielles contenues

En huit ans, les solutions SIEM ont évolué vers une surveillance continue de l'infrastructure, des serveurs, PC et terminaux mobiles à présent. Elles contrent les menaces provenant de l'extérieur comme de l'intérieur de l'organisation. Sans remplacer les outils de sécurité traditionnels (pare-feu, anti-malware et IDS), elles les complètent en identifiant un nombre croissant d'attaques aux méthodes évoluées. «Nous cherchons à aider nos clients à anticiper les failles et à mieux se défendre, confirme Franck Mong, Vice-Président des solutions de sécurité d'HP. Dans notre solution HP Tipping Point, nous disposons d'une initiative zero-day et du soutien d'un laboratoire spécialisé dans la découverte de vulnérabilités, l'analyse et la protection de services Java ou Windows.»

Une étude récente sur le coût de la cybercriminalité, menée par Ponemon Institute, démontre que 234 entreprises occidentales vont subir plus de 100 attaques en 2013, provoquant une perte de 11,6 millions de dollars et exigeant 32 jours de résolution. «Sur 27 entreprises françaises sondées, 26 subissent une brèche par semaine, un malware, une attaque DDoS ou une attaque interne. Le constat est semblable dans les six pays que nous avons étudiés et les coûts similaires». La bonne défense ? Agir à temps, avant que les dégâts ne forcent à réparer les systèmes un par un.

Donner du sens aux journaux systèmes

Si les solutions SIEM gagnent du terrain, c'est parce qu'elles évitent de graves dysfonctionnements et de vastes fuites de données. Encore faut-il trier le bon grain de l'ivraie dans le déluge des journaux.

La qualité de l'investigation dépend aussi d'une écoute préalable du réseau pour étalonner le comportement normal dans l'entreprise. «Il faut apporter un grand soin à la constitution de ce référentiel initial puis à la mise place d'outils comportementaux. Une administration et un industriel ne présentent pas le même niveau de risques de piratage», explique , Directeur Europe du Sud et Benelux chez LogRhythm. Créé en 2003 dans le Colorado, cet éditeur compte 1800 clients et 280 salariés dans le monde avec des filiales commerciales en Europe et en Asie, fournissant des produits SIEM et déployant des services professionnels.

Pour bâtir son offre SIEM 2.0, LogRhythm a passé des accords avec plus de 60 constructeurs et éditeurs dont Cisco, Microsoft, FireEye et PaloAlto. Le logiciel interprète ainsi les traces provenant des serveurs comme des équipements réseaux. Il dispose de plusieurs modèles d'attaques, chaque entreprise pouvant débrayer ceux de son choix. La phase de personnalisation de l'outil SIEM prend une à quatre semaines, le système en écoute générant automatiquement des listes blanches. Ensuite vient la phase de tests qui exige jusqu'à deux mois pour aboutir à un système calibré, identifiant les attaques et paramétrant l'infrastructure. «Nous savons pousser des remédiations, par exemple, fermer un port, arrêter un processus, le redémarrer ou couper un compte utilisateur».

Chez RSA, les capacités de détection évoluent au point de préfigurer une analyse prédictive : «La culture de gestion des risques opérationnels se diffuse dans la banque puis dans d'autres secteurs, observe Philippe Fauchay, le directeur général de RSA France. Lorsque le DSI a placé la sécurité à son agenda, on rencontre à la fois plus de moyens et plus d'exigences. Il s'agit de justifier encore plus de l'efficacité de ce qui est mis en œuvre.» Les équipes R&D de RSA et d'EMC (sa maison mère) travaillent ensemble pour doter leurs logiciels de capacités prédictives dans le courant 2014. Plusieurs logiciels de ce groupe pourront détecter une menace sur le point d'arriver, avant même qu'elle ne se produise : «Aujourd'hui, on détecte en temps réel pour réagir aussi vite que possible et contenir l'incident. Demain, on fera tout ce qu'il faut pour qu'il ne se produise plus du tout».

Un prix en fonction de la volumétrie

La dernière tendance des offres SIEM concerne leur tarification désormais échelonnée sur le nombre d'événements analysés par seconde. Ce mode de licence se généralise à présent. Un modèle économique qui fournit une marge conséquente, à l'heure où les grands groupes ont besoin d'examiner, en temps réel, plusieurs tera-octets de journaux en provenance de l'infrastructure et des serveurs de données. De moins en moins d'offres retiennent le nombre d'équipements sondés pour base tarifaire, car l'évaluation de la volumétrie doit toujours être déterminée, ne serait-ce que pour dimensionner le stockage des données et des événements à analyser. Pour une appliance LogRhythm SIEM 2.0, il faut compter ainsi 27 KE pour 250 logs analysés par seconde, soit 8 Go de journaux par jour. Selon la taille du réseau, les solutions SIEM dépassent fréquemment les 100 KE. Mais leur retour sur investissement s'avère rapide ; il serait même inférieur à quatre mois dans certains cas.

Guidance étoffe sa plateforme EnCase

EnCase est une solution de sécurité modulaire développée en Californie, par Guidance Software. Exploitée dans le cadre d'enquêtes policières, son code d'inspection se loge sous l'OS du PC ou du serveur, pour remonter rapidement à la source d'une brèche, identifier le malware puis y remédier. NanoCode, véritable agent dormant, est réveillé à la demande pour inspecter les ports d'entrées-sorties, la mémoire RAM, le processeur et contribuer à générer des rapports centralisés. «Hier, nous agissions encore poste par poste, en examinant physiquement l'ordinateur infecté. A présent, nous scrutons tout le parc micro, à distance avec EnCase Enterprise v7», retrace Rafik Hajem, Directeur de l'Europe du sud, du Benelux, du Moyen-Orient et de l'Afrique de l'éditeur. Il compte déjà pour clients un tiers des groupes du CAC40 qui apprécient de réduire les déplacements physiques d'administrateurs ainsi qu'un retour sur investissement inférieur à 4 mois. Quatre modules composent la plateforme EnCase Enterprise : Forensic chargé de l'investigation, Cybersecurity, de la mise en œuvre d'une politique de sécurité, Analytics, de la cartographie et eDiscovery, de la conformité juridique.

Avec Prelude, CS cartographie la sécurité de chaque site

Prelude, l'outil SIEM européen Open Source de CS supervise tous les types d'équipements réseaux, serveurs, machines embarquées virtuelles ou physiques. Avec la multiplication des outils connectés, terminaux mobiles et autres GPS multimédia sous Android, Windows Phone, IOS, le périmètre de supervision ne cesse de s'étendre et de se complexifier. Grâce à ses nombreuses sondes, Prelude permet la supervision et surtout la corrélation de l'ensemble des événements du parc. Il affiche, à tout moment, l'état de sécurité du parc. Une vue globale résume la sécurité des différents sites et de leur flotte d'équipements tandis qu'une vue ciblée, plus technique, s'adresse aux administrateurs.

Auteur : Olivier Bouzereau

Dossier publié dans Solutions Logiciels N°43

SIEM : Passer de la gestion des vulnérabilités aux contre-mesures
Notez cet article

Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Amazon : Bruxelle veut mettre au pas le géant américain - 250 M € à rembourser

    Bruxelles inflige aujourd'hui une amende de plusieurs centaines de millions d'euros à Amazon, alors que…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Cybermenace : "L’hameçonnage franchit un cap avec le détournement d'email", Alexandre Delcayre, Palo Alto

    Alexandre Delcayre, directeur Systems Engineering Europe du Sud, Russie, Israël, et l'Unit42, l'unité de recherches…

    > En savoir plus...
Etudes/Enquêtes
  • Marché du logiciel libre : la France est leader en Europe

    Alors que la filière du logiciel libre et Open Source française s'est réunie à l'occasion…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

banniere_FIC2018_skycrapper
Agenda
livres blancs
Les Livres
Blancs
Global K_Data scientist_skycraper