Le SIEM as a Service

SIEM

Elles utilisent bien souvent des solutions de protection traditionnelles – antivirus et firewall par exemple – qu’elles ont tendance à juger suffisantes pour faire face à d’éventuelles attaques. Ces solutions ne permettent cependant pas forcément la détection de toutes les failles, notamment des comportements  anormaux sur des composants du système d’information – réseau, serveurs, applications, utilisateurs. C’est pourtant l’un des principaux atouts des solutions SIEM dont l’adoption est fréquemment négligée par les entreprises.

Le SIEM, dernier rempart contre le vol de données

est en effet capable d’analyser les événements du réseau en temps réel et de les corréler à d’autres données, ce qui permet d’offrir une visibilité accrue et d’apporter une véritable intelligence à la sécurité informatique d’une entreprise. En outre, les antivirus et firewalls ne sont pas des outils assez puissants pour être en mesure de repérer des attaques de plus en plus sophistiquées et parfois difficilement détectables. Ils peuvent également être utilisés de manière inappropriée en raison du manque de connaissance des utilisateurs. Si la nécessité de disposer d’une solution SIEM plus puissante que les outils traditionnels de protection est sous-évaluée, le manque de temps et d’expertise en interne pour le déploiement et l’exploitation constituent également des freins, l’installation étant perçue comme longue et complexe. L’espace de stockage limité représente aussi une contrainte non négligeable car une fois avoir recueilli des millions voire des milliards de logs par jour, il faut pouvoir les stocker et les sauvegarder.

De plus, en raison d’un coût supposé relativement élevé, seules les entreprises ayant « vraiment » besoin d’un SIEM pour leur coeur de métier sont prêtes à investir dans ce type de solution, notamment celles qui évoluent dans des secteurs d’activités sensibles comme les banques ou encore les compagnies d’assurance qui sont obligées de conserver tous les logs. Aussi, les organisations qui n’utilisent pas le SIEM doivent prendre conscience du manque de sécurité que cela entraîne et des risques majeurs auxquels elles s’exposent, et surtout du fait qu’il existe des services SIEM accessibles et adaptés en matière de sécurité, de déploiement, et de coût.

SIEM Service Managé et SIEM as a Service

Dans le cadre du Service Managé, le prestataire externe installe chez le client soit la solution SIEM complète, soit juste les agents de collecte de logs (dans ce cas, la solution SIEM se trouve chez le prestataire, éventuellement en mode partagé), et gère la solution. L’entreprise bénéficie alors de l’expertise de consultants pour le déploiement et l’utilisation du SIEM, la gestion de la solution, l’édition des rapports, le traitement des alertes, un support technique et une relative maîtrise des coûts qui lui permettent de se concentrer sur son coeur de métier. L’approche du SIEM as a Service répond à la problématique du client ne souhaitant pas installer de solution chez lui, puisque la solution est disponible dans le cloud et non plus installée sur le propre réseau de l’entreprise.

Dans ce cas, les logs sont envoyés, compressés et encryptés, chez le prestataire, et le client accède via le web à tous les services du SIEM. De plus, le prestataire peut fournir tous les services de sécurité, comme le traitement des alertes, des fournitures de rapports programmés ou à la demande, ainsi que la gestion d’incidents. Le SIEM en mode SaaS est très facile à déployer, ne nécessite aucune maintenance logicielle et offre un espace de stockage quasi illimité. De plus, à mesure que l’entreprise se développe, elle peut ajouter ou bien modifier les outils qu’elle utilise en fonction de ses besoins réels sans avoir à investir dans l’intégralité de la solution. Cela permet une parfaite maîtrise des coûts et l’accès à la demande à des services personnalisés depuis n’importe quel endroit grâce au cloud, un atout majeur à l’heure où un nombre croissant de responsables IT ont besoin d’accéder rapidement à toutes les informations relatives à la sécurité.

Nous observons actuellement le développement d’une approche hybride car les entreprises sont en train d’appréhender la manière dont elles peuvent tirer profit des offres externes tout en conservant une partie de la gestion de la sécurité en interne. Ainsi, certaines d’entre elles adoptent le SIEM de façon mixte, entre partenaire de services managés et ressources propres, basée sur les besoins en termes de sécurité et la capacité d’investissement. Avec la hausse du nombre de cyber-attaques, la question n’est plus de savoir « si » mais « quand » une entreprise sera victime et les attaques sont de plus en plus sophistiquées. Les organisations doivent donc déployer des systèmes de défense puissants et en temps réel sur leur réseau, afin d’être en mesure de repérer et de combattre les menaces dès qu’elles se produisent – pas une fois qu’il est trop tard ou que, par chance, quelqu’un lance l’alerte. Ainsi, le SIEM as a Service est aujourd’hui la solution la plus adaptée pour permettre à toutes les entreprises de bénéficier d’une sécurité optimale sur leurs réseaux car elle répond à toutes les contraintes liées à l’accessibilité, au déploiement et au coût, des enjeux majeurs dans un contexte économique encore difficile.