Des avantages inattendus lors de la mise en place d'un SIEM

Définition : qu'est-ce qu'un SIEM ?

SIEM est l'abréviation de Security Information and Event Management System.

Avant de s'intéresser aux avantages supplémentaires d'un SIEM, il convient de clarifier en quoi consiste l'avantage principal.Wikipedia le définit comme suit :

Un SIEM combine les deux concepts de gestion des informations de sécurité (SIM) et de gestion des événements de sécurité (SEM) pour l'analyse en temps réel des alertes de sécurité provenant des sources que sont les applications et les composants réseau. Un SIEM sert ainsi la sécurité informatique d'une organisation.

Le terme SIEM, créé en 2005 par Mark Nicolett et Amrit Williams de Gartner, comprend :

• la capacité des produits à collecter, analyser et présenter les données des composants de réseau et de sécurité
• le traitement des failles de sécurité
• les fichiers journaux des systèmes d'exploitation, des bases de données et des applications
• la gestion des menaces externes
• les alertes en temps réel

Un SIEM aide donc à surveiller les composants liés à la sécurité et à évaluer et traiter les incidents de sécurité. Un SIEM adapté au client remplit ces deux objectifs et constitue ainsi le système central de surveillance de la sécurité.

Un tableau de bord SIEM fournit une représentation graphique des composants surveillés et de leurs événements.

Lors de la conception, de la planification et de la mise en œuvre d'un SIEM, il faut relever certains défis, dont le traitement génère des connaissances inattendues et une sorte de "bénéfice collatéral". Les prochains paragraphes montrent quels sont les défis à relever lors de la mise en place d'un SIEM et d'un SOC et quels sont les avantages supplémentaires qui en découlent.

Défis

Adaptation du SIEM à l'entreprise

Le SIEM doit être adapté à l'entreprise et harmonisé avec le reste de l'architecture d'entreprise ; par exemple, il est relié à la CMDB (Configuration Management Database) ou intégré à l'outil de gestion des services souvent déjà existant. Une CMDB est une base de données qui régit l'accès et la gestion de tous les moyens d'exploitation de l'informatique.
Si l'informatique et ses processus de support ne disposent pas encore d'une maturité suffisante, le processus d'adaptation a lieu aussi bien au niveau du SIEM que des systèmes du donneur d'ordre. Dans ce cas, les processus qui n'existent pas encore ou qui ne sont pas adaptés à la gestion de la sécurité doivent être créés ou adaptés du côté du donneur d'ordre.

De nombreux paramètres et bases de données sont nécessaires pour l'intégration et l'adaptation du SIEM dans l'entreprise :

• CMDB (Configuration Management Database)
• Listes des employés
• Plans du réseau
• Classification des systèmes et des collaborateurs en fonction de leur criticité pour le succès de l'entreprise.

Des lacunes dans ces documentations empêchent de prendre des décisions rapides ; la conception du SIEM est rendue plus difficile et le projet est retardé, car les informations provenant de ces sources doivent être intégrées dans la configuration du SIEM.

Externalisation

En raison de la grande complexité d'un projet SIEM, de nombreuses entreprises décident de confier la mise en place à l'extérieur, c'est-à-dire de l'externaliser, ou bien on travaillait déjà auparavant avec plusieurs partenaires externes. Dans ce cas, le moment est venu de régler clairement la collaboration. Pour le partenaire d'externalisation du donneur d'ordre, la mise en place du SIEM n'est généralement pas une tâche centrale et doit être effectuée en plus des activités quotidiennes. Des retards et des dépenses supplémentaires peuvent donc survenir dans la collaboration. Toutes les unités organisationnelles - internes et externes - apportent leurs propres interfaces et un plus grand nombre d'interfaces entraîne des pertes de friction dans le projet et donc une augmentation des frais de coordination.

SIEM et les processus dans le SOC

Les processus sont essentiels pour un SOC, surtout dans le centre de réponse aux incidents . Des interfaces bien rodées et aussi légères que possible aident à traiter et à résoudre les problèmes de sécurité rapidement et efficacement. Les processus nécessaires doivent être vérifiés du côté du client et éventuellement créés et adaptés aux besoins du SOC. Il en va de même pour les autres processus de support tels que la gestion des incidents, la gestion des problèmes, la gestion des changements, le service desk et autres. En cas de comblement des lacunes des processus, il convient de clarifier les responsabilités, les compétences et les attributions.

La mise en œuvre du SIEM et de ses systèmes périphériques peut révéler des lacunes dans des processus documentés et établis. A titre d'exemple tiré de la pratique, il convient de mentionner les ouvertures de pare-feu. Malgré l'ouverture, il arrive que les connexions n'aboutissent pas, car la route réseau nécessaire n'a pas été configurée. Dans ce cas, il est reconnu que le processus d'ouverture des ports de pare-feu doit être complété par le contrôle ou la création de routes réseau.

Complexité du SIEM

Connaissances et avantages

Outre l'utilité principale d'un SIEM et/ou d'un SOC , les améliorations organisationnelles suivantes sont obtenues dans le cadre du travail de projet et contribuent à élever la maturité de l'entreprise à un niveau supérieur :

• La documentation manquante ou incomplète est élaborée ou complétée. Cela concerne en particulier la CMDB, les plans de réseau et la documentation des processus.
• Les processus SOC - et pas seulement leur documentation - sont créés.
• Les responsabilités des équipes internes et des partenaires d'externalisation sont clairement définies.
• Les processus de développement du SIEM sont intégrés dans les processus architecturaux. On s'assure ainsi que les adaptations de l'informatique sont prises en compte dans le SIEM et que les systèmes informatiques nouveaux ou migrés fournissent leurs données de log au SIEM.
• L'Active Directory est complété par des classifications de sécurité des collaborateurs et des actifs techniques.
• Les règles manquantes ou les politiques incomplètes sont détectées. Ainsi, en amont des projets SIEM/SOC, les clients reçoivent des formulaires qui permettent de configurer la plateforme SIEM et de définir les processus SOC. Les exemples typiques comprennent des questions telles que :
  • Les téléchargements de fichiers sont-ils autorisés via la passerelle web ?
  • Quelle est la taille maximale des pièces jointes aux e-mails ?
  • Quels groupes d'utilisateurs peuvent utiliser les services Internet : tous les ID utilisateur ou les ID administrateur sont-ils bloqués ? Dans ces cas, les directives manquantes peuvent être élaborées parallèlement au projet SIEM, par exemple en créant ou en complétant des politiques.

Conclusion

Un SIEM est donc plus qu'un système de gestion des événements de sécurité. La partie SIM (Security Information Management) est très importante et ne peut pas être simplement remplacée par un EDR ou un NDR.

La mise en place d'un SIEM augmente la cybersécurité dans l'entreprise. Les enseignements que l'on peut en tirer quasiment au passage et sans effort particulier sont toutefois souvent négligés. Comme nous l'avons montré, il vaut la peine d'utiliser ces connaissances pour améliorer l'organisation et la maturité de l'entreprise en matière de cybersécurité.