Allie Mellen, analyste au cabinet d’études Forrester Research, liste les idées fausses sur la gestion des informations et des événements de sécurité (SIEM). L’une des phrases les plus fréquemment répétées dans le secteur est la suivante : « Les équipes de sécurité détestent leur SIEM ! ». Est-ce bien vrai ?
La gestion des informations et des événements de sécurité (SIEM) n’est plus ce qu’elle était il y a 20 ans. Ne vous méprenez pas, les SIEM demandent du travail en termes de déploiement, de maintenance et de réglage. Ils nécessitent également une planification stratégique. Pourtant, au grand dam de tous ceux qui ont cru au battage publicitaire des fournisseurs, ils ne parviennent pas à fournir le « panneau de verre unique » pour toutes les tâches des opérations de sécurité promis il y a si longtemps.
Cela dit, certains aspects du SIEM se sont considérablement améliorés au cours des 20 dernières années, malgré le barrage du marketing de la sécurité qui suggère le contraire.
En outre, des innovations sont en cours sur le marché aujourd’hui pour faire naître une nouvelle ère pour le SIEM. Cette évolution porte le nom de plateformes d’analyse de la sécurité, qui non seulement gèrent l’intégration et le stockage des logs, mais répondent aussi plus efficacement aux besoins des SOC en matière de détection et de réponse. Les plates-formes d’analyse de la sécurité combinent SIEM, SOAR et UEBA pour couvrir le cycle de vie complet de la réponse aux incidents, de la détection à la solution en passant par l’enquête, ainsi que d’autres cas d’utilisation importants comme la conformité.
Ci-dessous, extrait d’une page du livre de mon ancien cours combinatoire, je partage une réfutation par contre-exemple pour cinq des plus grands mythes liés au SIEM, désormais plates-formes d’analyse de sécurité.
Idée fausse n°1 : les SIEM ne sont bons que pour la conformité
Les plates-formes d’analyse de la sécurité s’efforcent de se différencier dans le domaine de la détection et de la réponse, avec des solutions comme Exabeam, Securonix et IBM Security qui en font un point de contraste dans le dernier rapport Forrester Wave : Security Analytics. En outre, pas plus tard qu’en 2019, des solutions telles que Microsoft Sentinel font irruption dans l’espace, spécialement conçues pour les cas d’utilisation de la sécurité.
En outre, le sentiment général sur le marché ne reflète pas réellement cette idée fausse. Cela est illustré par une enquête récente que j’ai menée, qui a révélé que plus de 80 % des professionnels interrogés ont déclaré utiliser leur SIEM principalement pour des cas d’utilisation de détection et de réponse.
Idée fausse n°2 : les SIEM ne sont pas évolutifs
L’interrogation à grande échelle est un défi reconnu de longue date pour les solutions SIEM existantes ; lorsque vous créez intentionnellement un problème de données volumineuses, vous devez également trouver un moyen de le résoudre. De nombreuses équipes de sécurité constatent qu’elles ont souvent du mal à faire évoluer le SIEM en raison de la manière dont elles abordent la collecte des logs – au lieu d’y réfléchir de manière stratégique, cela devient du tout ou rien.
Cependant, il existe des cas où les entreprises, comme les grands acteurs du secteur des services financiers, ont simplement besoin de collecter des quantités ridiculement importantes de données. Il existe des produits incroyablement rapides sur le marché (ainsi que des innovations significatives dans ce domaine aujourd’hui) pour répondre à ce besoin avec des plateformes d’analyse de sécurité comme Devo et Chronicle.
Idée fausse n°3 : les équipes de sécurité détestent leur SIEM
Permettez-moi de le dire franchement : il y a des professionnels qui aiment leur SIEM. Et il ne s’agit pas seulement de données anecdotiques – selon un récent sondage Forrester auprès des praticiens, plus de 50 % des personnes interrogées apprécient ou aiment leur SIEM.
Idée fausse n° 4 : les SIEM ne permettent pas d’orchestrer la réponse
Le mythe selon lequel les SIEM ne permettent pas l’orchestration de la réponse semblait un peu vrai il y a quelques années, mais il l’est encore moins aujourd’hui. En fin de compte, la technologie SOAR a été ou est en train d’être absorbée par les grands acteurs des plates-formes d’analyse de la sécurité, au point que de nombreuses plates-formes d’analyse de la sécurité intègrent nativement l’automatisation et l’orchestration. Ceci est quantifié dans la dernière Forrester Security Analytics Wave et illustré par des solutions comme FireEye Helix, Microsoft Sentinel et IBM QRadar.
Idée fausse n°5 : le SIEM est mort
L’idée fausse selon laquelle le SIEM est mort est un peu ridicule et exagérée. Les SIEM restent un élément essentiel de la pile technologique des opérations de sécurité pour la plupart des moyennes et grandes entreprises et, selon le rapport de Forrester sur l’état de la sécurité des réseaux, les équipes de sécurité qui sont confrontées à une brèche étendent leur surveillance de la sécurité, et non l’étouffent. En fin de compte, les plates-formes d’analyse de la sécurité restent l’épine dorsale du SOC et ne sont pas près de disparaître, malgré l’émergence de concurrents comme le XDR.
Conclusion
Les plates-formes d’analyse de la sécurité et leurs prédécesseurs, les SIEM, posent-ils des problèmes ? Absolument. Il ne s’agit en aucun cas d’une approbation tacite ou d’une défense des défauts de la technologie SIEM.
Cependant, la façon dont nous pensions au SIEM il y a quelques années n’est pas représentative de l’outil à multiples facettes que les équipes de sécurité utilisent aujourd’hui. Les plates-formes d’analyse de la sécurité sont largement utilisées dans le SOC et, en mettant l’accent sur l’innovation en matière de détection, une expérience utilisateur exceptionnelle et l’automatisation des enquêtes et des réponses, elles peuvent continuer à l’être.
