© DR

Secu

SIEM, ma sécurité !

Par La rédaction, publié le 25 novembre 2016

La naissance du Security Information & Event Ma­nagement (SIEM) est liée aux origines de l’intérêt pour la sécurité réseau.

Retour en 1983. Cette année-là en France, le comique préféré des Français, Louis de Funès, tire sa révérence et le compact-disc (CD) fait son apparition. Outre-Atlan­tique, l’acteur américain Matthew Broderick pirate un su­perordinateur militaire. C’est en effet en 1983 que le film Wargames sort au cinéma, soit quelques mois seulement avant que le président Reagan n’annonce son Initiative de défense stratégique (ou Guerre des étoiles), un système anti- missiles balistiques pour contrer la frappe de missiles intercontinentaux de l’Union soviétique. Au-delà de son succès, ce film a poussé Ronald Reagan à s’interroger sur la nécessité de réduire le scepticisme face au réalisme du scénario. Le journaliste américain Fred Kaplan confirme en effet, dans son ouvrage Dark Territory : The Secret His­tory of Cyber War publié en mars dernier, que le postulat du film n’est pas si éloigné de la réalité. Bien qu’en 1983, les systèmes IT centraux dominent, le réseau prend de l’ampleur à cette période; par exemple, la Darpa, l’agence américaine pour les projets de recherche avancée de défense, possède déjà un « réseau».

En 1994 arrive le Secure Socket Layer (SSL). Le World Wide Web prend son envol et de plus en plus de personnes constatent son fort potentiel économique, propice à la mo­nétisation et à l’exploitation. Une protection devient néces­saire : ce sont les prémices de la cybersécurité.

Les premiers SIEM. Alors que les outils de sécurité — antivirus, pare-feu, systèmes de prévention (IPS) ou de détection (IDS) d’intrusion — font leur apparition, les équipes IT rencontrent des complications de gestion. Sub­mergées par les alertes et les logs, elles ont besoin d’une technologie adjacente pour réduire ce déluge d’événe­ments: c’est l’avènement du SIEM.

Le premier SIEM vise à réduire la quantité de logs issus de dispositifs de sécurité existants en en déchiffrant le signal. Malheureusement, du fait de sa complexité et de son manque de flexibilité, il ne satisfait pas aux attentes: au lieu de faire gagner du temps aux analystes de sécurité, ses problèmes de gestion le rendent chronophage. De plus, les complications persistent et les alertes inondent toujours les boîtes mail.

Bien qu’elles trouvent des éléments très spécifiques grâce au SIEM, les équipes de sécurité veulent pouvoir identifier les risques inconnus et le cantonnent donc rapi­dement aux rapports de conformité et à l’analyse forensic, pour comprendre des événements et repérer les informa­tions relatives aux attaques, par exemple.

La nouvelle génération. Aujourd’hui, les pirates informatiques violent les périmètres de sécurité et laissent leur empreinte dans les réseaux. Cette augmentation des menaces persistantes avancées (APT) recentre l’attention sur la protection et favorise une « renaissance » du SIEM, devenu la pierre angulaire des stratégies sécuritaires.

Les outils SIEM de nouvelle génération sont spé­cialement conçus pour l’entrée et le stockage des don­nées à haute vitesse, et améliorent les anciens processus brisés ou inadéquats. Dans ce cadre, les métadonnées permettent d’optimiser la visibilité et de rationaliser les analyses. Celles-ci ne nécessitent pas l’envoi de chaque paquet de données à un SIEM et permettent aux analystes de sécurité d’extraire des données et d’interpréter, de manière plus efficace et évolutive, le comportement des utilisateurs. Comment ? En envoyant des métadonnées spécifiques — informations de certificats SSL, de ser­vices DNS, URL ou codes de statut HTTP/HTTPS — pour une analyse en temps réel et macroscopique. Ils utilisent cet ensemble d’informations pour détecter des compor­tements anormaux. Un compte-rendu enrichi par ces métadonnées est ensuite envoyé au SIEM pour analyser la situation et assurer un diagnostic détaillé par la suite.

Les règles du jeu ont changé. En 1983, WarGames conclut que, pour gagner, mieux vaut ne pas jouer. Aujourd’hui, les entreprises ne peuvent pas faire ce choix, elles doivent être connectées et jouer en ligne. Mais elles peuvent désormais compter sur le retour du SIEM dans le jeu de la sécurité.

Dans l'actualité

Verified by MonsterInsights