Dossiers EasyDNNnews

Dossiers


> Des projets SIEM très différents d’une entreprise à l’autre

Il est possible de mettre tout ou partie des fonctions du SIEM en œuvre. Par exemple, une entreprise pourra ne s’intéresser qu’à la collecte et la gestion des logs à des fins de conformité législative et réglementaire. L’exploitation de ces logs se fait ultérieurement en cas de besoin. Une autre entreprise cherchera à protéger un système sensible par un système d’alertes en temps réel avec d’importantes règles de corrélation et de filtrage. Une troisième entreprise mettra en œuvre une combinaison de stockage de logs à des fins d’analyse « forensic » et de système d’alerte temps réel. Nous constatons que les projets réussis s’appliquent sur des périmètres parfaitement délimités, avec des objectifs clairs et des règles de fonctionnement identifiées dès le début du projet. Notre dossier présente les offres des éditeurs et les expériences des sociétés de services. Des comptes rendus plus détaillés sont accessibles sur notre site web (en rubrique Dossiers).


Mettre en œuvre un SIEM : Le regard des sociétés de services



Thibault Chevillotte, senior manager chez Logica Business Consulting, Pierre Hernandez, consultant chez Lexsi, Frédéric de Maury, practice manager chez Sogeti, et Frédéric Zink, directeur marketing & veille technologique chez Telindus, nous livrent leur retours d’expérience sur les projets de SIEM.

Tout d’abord, explique Thibault Chevillotte (Logica), un projet de SIEM peut être mené avec une approche « bottom-up » ou « top-down ». » Le premier cas « bottom-up » est un projet d’intégration technique afin de collecter de plus en plus de traces. Des filtres et de la corrélation peuvent ensuite être définis pour formater des rapports et alertes. Le second cas « top-down »  nécessite une phase de spécification : que tracer, pourquoi, pour qui, où, etc. Les traces sont alors définies, catégorisées, produites, collectées, stockées et interprétées en fonction de ces objectifs.







> Cartographie des actifs


Frédéric de Maury (Sogeti) présente pour sa part un projet SIEM en 4 étapes. Il s’agit d’abord de consolider les informations de sécurité, cartographier les actifs et regrouper l’ensemble des journaux. Il faut ensuite corréler les événements de sécurité en temps réel. Puis de prendre en compte le contexte métier de l’entreprise, tenir compte par exemple de la criticité d’un serveur ou d’une application et intégrer les règles issues d’une analyse de risques. Enfin procéder à une amélioration régulière des règles de corrélation et de reporting. Sans oublier d’implémenter les alertes avec une granularité en rapport avec les besoins et les risques.

Réduire