Catégorie

Cybersécurité

Catégorie

Qu’est-ce que la SIEM ?

La définition de la gestion des informations et des événements de sécurité, ou SIEM, est « une approche de la gestion de la sécurité qui combine les fonctions SIM (security information management) et SEM (security event management) en un seul système de gestion de la sécurité ».

Les systèmes de security information management et de gestion d’évènements de sécurité répondent aux trois défis majeurs qui limitent la réponse rapide aux incidents :

  • La grande quantité de données de sécurité non agrégées rend difficile de voir ce qui se passe et de classer les menaces par ordre de priorité.
  • Les équipes informatiques manquent de personnel et de formation en raison du manque de compétences en matière de cybersécurité.
  • La nécessité de démontrer la conformité prend du temps pour identifier les menaces et y répondre.

Qu’est-ce que la SIEM ? Explication de l’architecture de niveau supérieur

Les systèmes SIEM sont essentiels pour les organisations qui veulent atténuer les menaces. Le centre des opérations de sécurité (SOC) d’une organisation moyenne reçoit plus de 10 000 alertes par jour, et les plus grandes entreprises en reçoivent plus de 150 000. La plupart des entreprises n’ont pas d’équipes de sécurité suffisamment importantes pour faire face au nombre impressionnant d’alertes. Cependant, le risque croissant posé par des cyber-menaces de plus en plus sophistiquées rend l’ignorance des alertes très dangereuse. Une seule alerte peut faire la différence entre détecter et déjouer un incident majeur et le manquer complètement. La sécurité de la SIEM offre un moyen plus efficace de trier les alertes et d’enquêter sur elles. Grâce à la technologie SIEM, les équipes peuvent se tenir au courant du déluge de données de sécurité. [Lien vers le nouveau document sur l’éducation aux problèmes en cours]

Les solutions de security information management (SIEM) collectent des journaux et analysent les événements de sécurité ainsi que d’autres données pour accélérer la détection des menaces et soutenir la gestion des incidents et des événements de sécurité, ainsi que la conformité. En substance, un système technologique SIEM collecte des données provenant de sources multiples, ce qui permet de réagir plus rapidement aux menaces. Si une anomalie est détectée, il peut collecter davantage d’informations, déclencher une alerte ou mettre un bien en quarantaine.

Alors que la technologie SIEM était traditionnellement utilisée par les entreprises et les sociétés publiques qui devaient démontrer leur conformité, elles ont compris que la gestion des informations et des événements de sécurité était beaucoup plus puissante. Les technologies SIEM ont depuis évolué pour devenir un outil de détection des menaces essentiel pour les organisations de toutes tailles. Compte tenu de la sophistication des menaces actuelles et du fait que la pénurie de compétences en matière de cybersécurité ne s’améliore pas, il est essentiel de disposer d’une security information management des événements qui puisse détecter rapidement et automatiquement les failles et autres problèmes de sécurité. Les capacités de la SIEM incitent de plus en plus de petites et moyennes organisations à déployer également une solution de gestion de la sécurité et des événements.

Comment fonctionne la SIEM ?

Certaines organisations se demandent peut-être encore : « Que fait la SIEM ? La technologie SIEM recueille des informations liées à la sécurité à partir de serveurs, de dispositifs d’utilisateurs finaux, d’équipements de réseau et d’applications, ainsi que de dispositifs de sécurité. Les solutions de gestion des événements et des informations de sécurité (SIEM) classent les données par catégories et, lorsqu’un problème de sécurité potentiel est identifié, peuvent envoyer une alerte ou répondre d’une autre manière, selon des politiques prédéfinies. L’agrégation et l’analyse des données recueillies sur le réseau permettent aux équipes de sécurité d’avoir une vue d’ensemble, d’identifier les failles ou les incidents dès les premières étapes et de réagir avant que des dommages ne soient causés.

Les systèmes SIEM ingèrent et interprètent les journaux provenant d’un maximum de sources, notamment :

  • Pare-feu/systèmes unifiés de gestion des menaces (UTM)
  • Systèmes de détection des intrusions (IDS) et systèmes de prévention des intrusions (IPS)
  • Filtres Web
  • Sécurité des points terminaux
  • Points d’accès sans fil
  • Routeurs
  • Interrupteurs
  • Serveurs d’application
  • Honeypots

Les systèmes SIEM examinent à la fois les données d’événements et les données contextuelles de ces journaux pour l’analyse, les rapports et la surveillance. Sur la base de ces résultats, les équipes informatiques peuvent réagir de manière efficace et efficiente aux incidents de sécurité.

Pourquoi SIEM : des avantages décisifs ?

Les solutions de security information management et de gestion des événements offrent des capacités de détection des menaces, des rapports en temps réel, des outils de conformité et une analyse des journaux à long terme. Les principaux avantages sont les suivants :

Efficacité accrue de la sécurité et réponse plus rapide aux menaces. Pour être utile, une solution de gestion de la sécurité et des événements doit « permettre à un analyste d’identifier et de répondre à des modèles de comportement suspect plus rapidement et plus efficacement que ne le permettrait l’examen de données provenant de systèmes individuels », selon le SANS Institute. Pour être vraiment efficace, elle doit être capable de prévenir les failles réussies.

Démonstration de conformité efficace. La technologie SIEM devrait également permettre aux équipes informatiques de la SIEM de suivre et de signaler facilement la conformité aux réglementations industrielles et gouvernementales et aux normes de sécurité.

Réduction significative de la complexité. La consolidation des données d’événements de sécurité provenant de multiples applications et dispositifs permet une analyse rapide et complète. En outre, les tâches répétitives sont automatisées et les tâches qui nécessitaient auparavant des experts peuvent être effectuées par du personnel moins expérimenté.