Dossiers EasyDNNnews

Dossiers


Interview de Yamina Perrot - Product marketing Manager RSA, division sécurité d'EMC.

Mag-Securs : Quelles sont les principales fonctionnalités d'un SIEM?

Y. P. : Dans un réseau IP, chaque activité ou transaction  qui se produit sur le réseau ou à sa périphérie peut automatiquement générer une information détaillée de cette activité (un log d’événement). Certains fournisseurs ont bâti des solutions qui capturent ces logs/événements/ enregistrement et les stockent  et ainsi une trace de toute l’activité du réseau est conservée  (gestion de logs) pour une analyse future.  D’autres fournisseurs ont construit des solutions qui traitent et analysent ces événements en temps réel et utilisent  alors l’information qui en résulte  pour informer ceux qui ont besoin de savoir ce qui se passe au sein du réseau en temps réel.

Historiquement cela correspond à 3 marchés :

Le SEM  est le marché des clients qui recherchent avant tout à surveiller et corréler en temps réel les logs dérivés des divers périphériques du réseau, qui assurent la sécurité ( ex : Firewalls, IDS/IPS, Anti-virus software, Vulnerability Scanners),  pour obtenir une vue globale, claire et temps réel des menaces sur le réseau, et utiliser cette connaissance pour réduire et gérer le risque.  Ces solutions aident donc avant tout les équipes opérations de sécurité à être plus efficaces dans leurs réponses aux menaces internes et externes, identifier les risques et prendre les mesures pour réduire ces risques.

Le SIM est le marché des clients qui cherchent des solutions les aidant à collecter et analyser les logs issus des systèmes hôtes, applications et périphériques sécurité, afin d’avoir une vue claire de ce qui se passe sur leurs réseaux.  Le premier driver de ce marché est la conformité.

Les solutions SIM aident donc avant tout à convertir une masse de logs incompréhensibles en information qui permettra à l’entreprise de savoir : 1) Si elle est totalement ou partiellement conforme à une exigence, ou bien 2) ce qu’elle doit faire pour devenir conforme, ou bien 3) de prouver et démontrer sa conformité

Le SIEM (Security Information and Event Management)- résultant des évolutions des deux précédents

Ce marché comprend donc des solutions  capables de voir, comprendre et enregistrer ce qui se passe sur le réseau aussi bien en temps réel que de manière historique, afin d’utiliser cette connaissance pour améliorer la posture de sécurité d’une entreprise ou d’un réseau en temps réel,  réduire ses risques, et  aider à simplifie ses processus de mise en conformité.

Une solution SIEM doit être en mesure de proposer des fonctionnalités de collecte et d’analyses des logs et rendre des services d’alerting, de reporting et de requêtage. Elle doit aussi assurer des services de rétention, stockage, archivage de logs, en raison des réglementations qui peuvent exiger de conserver les logs plusieurs mois ou même plusieurs années. Elle doit proposer ces fonctionnalités pour voir, analyser et  régir soit en en temps réel, soit de manière différée. 

Par exemple la plate-forme SIEM RSA enVision qui entre dans cette catégorie de solutions SIEM est une plate-forme 3 en-1, donc les fonctionnalités garantissent:

-       une gestion complète et fiable des logs

-       une simplification de la conformité grâce à des fonctions automatiques d’audit, de monitoring, d’alerting et de reporting

-       une amélioration de la sécurité et de la gestion du risque

En effet RSA enVision

-       collecte, protège et stocke les logs d’événements à partir des serveurs, routeurs, firewalls, applications et tous les périphériques de sécurité. Les donnes de logs sont stockées de manière sécurisée, sous leur forme brut, ne pouvant onc ni être éditées ni modifiées, pour constituer de vrais preuves légales.

-       Détecte toute activité suspecte en établissant des baselines d’activité pour l’ensemble de l’environnement (système et réseaux)

-       Crée des alertes personnalisables déclenchées lorsqu’une activité spécifique, une déviation par rapport à la baseline, ou un modèle complexe d’activité est détecté sur le réseau, à travers l’ensemble des périphériques surveillés. RSA enVision corrèle et priorise les logs d’événements pour que les analystes de sécurité consacrent leurs temps à répondre aux vrais menaces ou anomalies. 

·              -       Facilite le reporting  en créant des rapports planifiés que les auditeurs et responsables business peuvent utiliser pour s’assurer que les systèmes sont utilisés par les bonnes personnes, pour les bons processus et tâches. Cette simplification résulte d’une large bibliothèque de rapports réutilisables et personnalisable en fonction d’un centre d’intérêt, d’une exigence, etc...

·             -         Exécute des requêtes, des analyses forensiques pour déterminer ce qui s’est passé sur le réseau, après un incident réseau ou sécurité: Que s’est t-il passé? Que s’est t-il passé après? Qui et qu’est-ce qui a été affecté? Que peut-on faire pour que cela ne se reproduise plus.

·             -          Établit des fonctionnalités de gestion d’incidents pour permettre un monitoring étroit et une correction des violations de politiques, et s’assurer qu’ils sont enregistrés, escaladés et corrigés dans les temps et de manière complète. 

Mag-Securs : Qui sont les clients ? Que recherchent-ils ?

Y. P. : Les clients sont des entreprises qui cherchent

- A identifier et répondre aux menaces de sécurité en temps réel, conduire un travail d’investigation en différé sur les incidents de sécurité passés et apprendre ainsi à les prévenir et éviter qu’ils se reproduisent.

- A prouver leur conformité avec des réglementations externes, des politiques internes et des mandats contractuels y compris les  exigences de rétention de données jusqu’à 7 ans ou plus.

D’une façon plus globale les clients qui recherchent une solution SIEM tentent de répondre à des questions comme:

- Je voudrais quelque chose qui donne un sens aux alertes qui arrivent de mes systèmes de détection d’intrusion, mes firewalls, mes antivirus, ….

- Comment trouver plus rapidement la cause première d’un problème

- Si quelqu’un accède à mes données clients, comment savoir exactement ce qui s’est passé et quel est l’impact sur mon entreprises et mes politiques.

- Comment surveiller activement mes firewalls, mes routeurs, mes serveurs, ….

- Comment détecter mes brèches de sécurité avant qu’elles se produisent

- Comment réduire le temps consacré à traiter les fichiers logs pour savoir ce qui s’est passé sur un incident ?

- Comment se mettre en conformité avec une réglementation (par exemple PCI DSS) exigeant la surveillance de ce qui se passe dans mon environnement informatique.

A terme ces mêmes clients utiliseront leur SIEM pour alimenter une solution de gouvernance (GRC).


Réduire