Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Le SIEM fait parler de lui depuis déjà de nombreuses années. On a pu y voir parfois le mythe d’un « Big Brother » veillant à la sécurité du système d’information de l’entreprise et alertant celle-ci en temps réel pour repousser les attaques externes ou internes. On a pu y voir des systèmes experts analysant tout. Par exemple les vulnérabilités du SI pour dire si les attaques détectées par les IDS avaient ou non des chances d’aboutir. On a pu y voir aussi des entrepôts de stockage de toutes les informations sur la sécurité du SI sur des années sans même savoir si celles-ci pourront être exploitées On a vu quelques projets pharaoniques s’écrouler après un ou deux ans sous le poids de leurs ambitions. Doit-on pour autant oublier les SIEM ? Il faut aussi constater que l’offre des éditeurs ne cesse de s’enrichir et devient de plus en plus mature. Sous la pression d’audits de conformité, les entreprises cherchent de plus en plus souvent à être en mesure d’afficher les preuves relatives à toute action suspectes : la conservation et la gestion des logs prennent de l’importance sous la pression des exigences légales. Reconnaissons aussi que certains SIEM sont très utiles pour des travaux de « forensic investigation », ainsi que pour des systèmes de contrôle et d’alertes en temps réel.

Le SIEM comprend 3 types de solutions qui peuvent se compléter et se combiner.  Le SIM, Security Information Management, qui gère les informations de sécurité du système d’information de l’entreprise. Il vise à faciliter les contrôles de conformité aux réglementations et politiques de sécurité, la gestion des menaces internes. Il permet de mieux présenter les activités de sécurité aux auditeurs internes et organismes de certification.  Le SEM, Security Event Management, qui gère les évènements de sécurité pour améliorer les capacités de réaction aux incidents de sécurité et faciliter leur traitement en temps réel. Le SIEM, Security Information and Event Management, qui regroupe les deux notions précédentes pour offrir une seule et même interface.  Il collecte et analyse les logs et évènements de sécurité. Il fournit des outils d’investigation sur des données passées et propose des systèmes d’alertes sur les actions temps réel.

Les fonctions du SIEM comprennent : 

• L’administration et la configuration du SIEM.
• La collecte des informations, logs et des données sur les événements de sécurité. • Le reformatage des données issues de différents équipements et applications.
• La corrélation de certaines d’entre elles sur la base de règles prédéfinies.
• Le filtrage des données pour alimenter les fonctions d’alertes.
• L’analyse des données et la production de rapports de sécurité.
• Le stockage, puis l’archivage des données pour une exploitation à long terme.
• Des outils d’aide au contrôle de la conformité aux politiques de sécurité et réglementations. 

Le SIEM est alimenté par l’ensemble du système d’information sur lequel il opère. On peut le schématiser de la manière suivante:


Pages: 1 de 6 Page suivante