Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Qu'est-ce que le SIEM ? Sécurité de l'information & tbd Gestion 101

Mis à jour: 02 septembre 2024 Temps de lecture: ~

Sujette

Security

Sommaire

 

Cet article a été traduit automatiquement.

 

L'acronyme SIEM signifie security information and tbd management (gestion des informations et des données de sécurité). Généralement, le SIEM solutions se présente sous la forme d'un logiciel.

Si vous vous demandez ce que le SIEM peut faire, ne cherchez pas plus loin que son nom. Ces produits peuvent évaluer votre système de sécurité actuel et repérer les menaces. S'ils constatent un problème, ce même système peut l'arrêter avant qu'il ne s'aggrave. 

Les outils SIEM sont puissants et, dans certains secteurs, ils sont obligatoires. Il est pratiquement impossible de surveiller les moindres recoins d'un grand système sans un SIEM. Et en cas de problème, le tbd reporting que vous obtiendrez de votre SIEM peut vous faciliter la vie. 

Mais si vous dirigez une petite entreprise avec un personnel réduit, le temps et les efforts que vous consacrez à la recherche du bon SIEM et à l'installation informatique pourraient être mieux utilisés ailleurs. 

Où vous situez-vous sur ce spectre ? Et que devez-vous rechercher chez un partenaire logiciel ? Creusons un peu plus loin.

Qu'est-ce que le SIEM ? 

Gartner définit le SIEM comme une technologie capable de détecter et de bloquer les événements de sécurité, tout en enregistrant les informations pour une analyse en temps réel ou historique. 

En voici un exemple. Quelqu'un copie des milliers de fichiers de votre serveur. Un SIEM pourrait :

  • Identifier. Le programme sait à quoi ressemble une copie de fichier de routine, et ce comportement inhabituel est donc inquiétant. 
  • logarithme. Le SIEM surveille le problème, le moment où l'IT a commencé et tout ce que l'IT fera ensuite pour mettre fin au problème. 
  • Alerte. Le système envoie une notification aux parties concernées pour les informer de ce qui se passe. 
  • Direct. Le système pourrait empêcher cet utilisateur de copier des fichiers jusqu'à ce que l'enquête soit terminée. 

Les outils SIEM sont nés de la combinaison d'outils de gestion des données de sécurité (SEM) et de gestion des informations de sécurité (SIM) solutions. Plutôt que d'acheter deux logiciels pour repérer les menaces et les traiter, les entreprises ont opté pour un seul programme capable de mener à bien ces deux tâches. Les capacités de reporting se sont développées à partir de la législation (telle que la norme de sécurité des données de l'industrie des cartes de paiement), qui exigeait un registre précis. 

Les outils SIEM modernes s'appuient sur la puissance de machine learning. Si le système ne peut pas comprendre à quoi ressemble un comportement normal, les programmeurs doivent fournir les données, ce qui prend du temps. L'ajout de machine learning permet au programme d'apprendre à la volée et, chaque jour qui passe, l'informatique devient plus puissante et plus utile. 

Cette puissance s'accompagne d'un prix élevé. L'achat, la programmation et la maintenance d'un SIEM peuvent être coûteux. C'est pourquoi les grandes organisations et les entreprises publiques ont tendance à être les plus gros consommateurs de SIEM solutions.

Comment fonctionne le SIEM ? 

Comment le SIEM peut-il être à la fois un détective et un exécutant ? L'intégration est essentielle. 

Votre SIEM se connecte à toutes sortes de terminaux au sein de votre réseau, y compris :

  • Logiciel antivirus 
  • Applications 
  • Bases de données 
  • pare-feu 
  • utilisateur terminals 

Chacun de ces points envoie des données au SIEM. Tous ces octets glissent dans une console de gestion. Parfois, les programmes s'appuient sur des humains pour passer au crible toutes les informations et donner un sens aux technologies de l'information. 

Près de 80 % des professionnels du site IT considèrent déjà leur travail comme stressant. Leur donner un énième tableau de bord rempli de centaines de points de données peut ne pas les mettre à l'aise. Mais un SIEM est un peu différent d'un outil de sécurité traditionnel. 

Les SIEM peuvent également évaluer le danger d'un déclencheur ou d'une alerte spécifique. Vous pouvez choisir de ne regarder que les questions que le programme considère comme critiques, et vous pouvez analyser l'autre journal plus tard. 

Une solution SIEM complète peut prendre en charge ces tâches spécifiques :

  • Alerte. Un SIEM indique aux professionnels de la sécurité le moment exact où les services informatiques détectent un problème. 
  • Collecter. Le programme rassemble des informations provenant de sources multiples et place chaque point de données en un seul endroit. 
  • Comparez. Un SIEM peut examiner ce qui se passe actuellement et comparer l'informatique à la programmation, aux problèmes antérieurs ou à l'activité normale. 
  • Présents. L'informatique présente les points de données dans un tableau de bord consommable. 
  • Enregistrez. Les SIEM collectent des données à des fins de conformité. Ils sauvegardent les données au cas où une équipe aurait besoin de les consulter ultérieurement.

Chaque outil est différent et certains offrent des fonctionnalités que nous n'avons pas mentionnées ici. Mais cette courte liste vous donne une idée de ce qu'est un SIEM et de ce qu'il peut faire.

Avantages du SIEM & Limites

Investir dans une nouvelle solution de sécurité prend du temps. Dans la plupart des entreprises, plusieurs personnes sont impliquées dans chaque décision d'achat. Et si vous cherchez un SIEM, vous aurez le choix entre des dizaines de fournisseurs. Les technologies de l'information en valent-elles la peine ?

Les avantages du SIEM sont les suivants

  • Conformité reporting. Il y a environ cinq ans, de nombreux professionnels de la technologie ont commencé à s'inquiéter du nombre de normes et de réglementations qu'ils devaient respecter en matière de sécurité. Les règles ont explosé depuis lors. Un SIEM pourrait faciliter le respect de toutes ces normes et la documentation de la conformité. 
  • Formation d'un modèle. Il est difficile de repérer un éclaireur de hacker. SIEM reporting et le tableau de bord peuvent vous aider à visualiser les problèmes mineurs, lorsqu'ils sont plus faciles à résoudre. 
  • Sécurité accrue. Toutes les données qu'un SIEM peut vous fournir peuvent vous aider à stopper les attaquants dans leur course et à protéger les ressources critiques de votre entreprise.
  • Gestion de la réputation. En cas de problème, vous disposerez d'un tableau de bord et de données à analyser. Lorsque vous serez convoqué à une réunion pour expliquer ce qui s'est passé, vous aurez la réponse. 
  • Préoccupations liées à la crise. Un SIEM peut, dans certains cas, arrêter une attaque avant même que vous ne sachiez que quelque chose a mal tourné. 

Les inconvénients du SIEM peuvent être les suivants :

  • Le coût. Un logiciel puissant a un prix élevé. Pour certaines entreprises, cette solution est tout simplement trop coûteuse à mettre en œuvre. 
  • Le temps. Les solutions SIEM doivent être supervisées par des humains et, comme elles fonctionnent 24 heures sur 24, le personnel doit également être disponible. 
  • Panique. Les solutions SIEM peuvent signaler des problèmes de faux positifs. 
  • Durée de conservation courte. Un programme SIEM traditionnel a une durée de vie de 18 à 24 mois. Si vous souhaitez investir dans un SIEM, vous devez rester attentif aux programmes modernes qui peuvent fonctionner à long terme pour votre organisation.

Assurez-vous que votre équipe d'achat comprend ces avantages et ces inconvénients avant d'entamer le processus d'achat. Vous pouvez décider que le SIEM n'est pas fait pour vous, ou vous pouvez être encore plus impatient de commencer. 

Attaques courantes qu'un SIEM pourrait repérer 

Nous avons mentionné que le SIEM peut examiner les données et repérer les comportements inhabituels ou gênants. Qu'est-ce qu'un tel outil peut trouver exactement ?

Les solutions SIEM ont été utiles pour repérer les problèmes :

  • Attaques par force brute. Un hacker qui devine un mot de passe des milliers de fois en quelques minutes n'a pas simplement oublié un mot de passe. Cette personne tente de forcer l'entrée. Un SIEM pourrait identifier ces milliers de tentatives comme étant erronées. 
  • Usurpation d'identité. Un utilisateur qui se connecte à partir d'un pays inhabituel ou d'un fuseau horaire bizarre peut être un hacker. Un système de gestion de l'information et de la surveillance (SIEM) pourrait identifier ce problème comme une source d'inquiétude. 
  • des logiciels malveillants. Associé à votre logiciel antivirus, un SIEM peut repérer le moment où un programme malveillant est déployé sur le sitehacker . Si le logiciel ne supprime pas immédiatement l'IT, le SIEM peut intervenir. 

En substance, les programmes de ce type permettent de comprendre ce qu'est la normalité. Ils vous alertent ensuite dès que quelque chose d'inhabituel se produit. Les résultats peuvent être étonnants.

Le SIEM est-il fait pour vous ?

Si vous cherchez un SIEM, vous avez le choix entre de nombreux fournisseurs. IBM, Intel, Trustwave et d'autres vendent tous des produits sur ce marché. Comment faire le bon choix ?

Posez des questions à chaque vendeur :

  • Intégration. Le logiciel fonctionnera-t-il avec tous les programmes, serveurs et systèmes dont vous disposez actuellement ?
  • Programmation. L'outil utilise-t-il machine learning? Ou devez-vous aider les services informatiques à comprendre à quoi ressemblent les menaces ? 
  • le rapport et le journal. À quoi ressemblent les tableaux de bord et les rapports ? Le système peut-il produire des rapports en fonction de votre environnement de conformité spécifique ?

Si vous n'êtes pas encore prêt à faire vos achats, il serait peut-être judicieux d'attendre la prochaine version du SIEM. Les experts pensent que les nouveaux programmes offriront une plus grande automatisation, de meilleures capacités machine learning, une collaboration plus poussée, une plus grande intégration et une meilleure fonctionnalité en nuage. Si l'une de ces caractéristiques est essentielle pour votre entreprise, il peut être judicieux d'attendre.

Obtenez de l'aide critique avec Okta 

Découvrez les menaces auxquelles vous êtes confronté et les solutions dont vous avez besoin. Les solutions d'Okta sont intuitives, puissantes et remarquablement faciles à déployer. Découvrez comment nous pouvons vous aider à détecter les menacesContactez-nous pour en savoir plus sur la façon de commencer. 

Références

Gestion de l'information et de la sécurité (SIEM). Gartner. 

Plateformes d'analyse de logs par apprentissage automatique - Le nouveau bras armé du SIEM ? (février 2020). SC Media.

Le travail sur IT est-il de plus en plus stressant, ou les technologies de l'information sont-elles le fait des milléniaux? (Mai 2015). Computerworld. 

Les entreprises ont du mal à se conformer aux réglementations. (Août 2019). Forbes

Guide de l'évaluateur pour le SIEM NextGen. (2019). Institut SANS.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter