SIEM : « LA brique ultime »

Jean-Pierre Carlin, Directeur Europe du Sud de LogRhythm, explique l’intérêt qu’apporte cette couche sécuritaire.

Les trois phases de détection d’une attaque

Le cycle de détection d’une attaque se déploie en trois phases. La première étape consiste à collecter l’ensemble des logs du système d’information et des équipements, puis de les analyser par le biais de mécanismes de corrélation et d’analyse comportementale. «Dès qu’il y a le moindre mouvement sur n‘importe quel équipement, il y a une génération de logs et on les récupère. Cela permet de connaître l’état de santé des systèmes et d’identifier tout comportement anormal ou incident en temps réel », souligne Jean-Pierre Carlin.

Dès lors, vient la détection de l’attaque. Le Directeur Europe du Sud de LogRhythm explique « que la collecte de l’ensemble des logs générés par l’activité de l’entreprise permet une analyse en temps réel des mouvements et des agissements sur le système d’information, et de savoir en direct s’il se passe quelque chose sur le réseau ». En effet, le SIEM met en exergue en temps réel toutes les actions inhabituelles et comportements anormaux qui se produisent, laissant la possibilité au responsable de la sécurité de vérifier immédiatement les raisons de ces anomalies. L’analyse des logs permet ainsi de qualifier la menace. Le processus de découverte d’attaque est automatisé contrairement à la vérification qui nécessite une intervention humaine pour identifier les faux-positifs et les vraies attaques.

Lorsqu’une attaque est repérée, la question est de savoir jusqu’où elle a pu avoir des ramifications et des conséquences. Jean-Pierre Carlin indique : « Nous procédons généralement à ce que l’on appelle des recherches pivotales sur les machines, c’est-à-dire une analyse de l’ensemble des logs pour identifier une potentielle exfiltration de données ou le lancement de process inconnus. Lors de cette phase, il est important de distinguer un process malicieux d’un nouveau process». Pour pouvoir réparer le plus rapidement possible les dommages potentiels, il faut ensuite nettoyer les process et s’assurer que rien n’a été volé, et si tel est le cas, faire le bilan pour en connaître les conséquences.

Les atouts du SIEM

A l’image d’un chercheur étudiant les microparticules qui constituent un atome, l’intérêt du SIEM réside dans la capacité à détecter les attaques en temps réel, à réagir et y remédier très rapidement. En termes de temps, là où des solutions prennent plusieurs jours (voire plus) pour revenir à la normale, Jean-Pierre Carlin précise « c’est une affaire d’heures pour détecter et remédier à une attaque, et il faut en moyenne moins d’une journée pour l’éradiquer. »

Pour Jean-Pierre Carlin, « La sécurité traditionnelle est devenue relativement illusoire et cela n’empêchera pas les attaques ciblées. Les entreprises ont l’impression d’être bien protégées mais les méthodes d’attaques changent, et la prévention ne suffit plus. Il est aujourd’hui nécessaire de disposer de systèmes de monitoring pour détecter les attaques les plus sophistiquées dès qu’elles se produisent ». Le SIEM représente l’une des solutions complémentaires aux dispositifs des entreprises devenu indispensable pour détecter et arrêter les attaques.

Seul bémol, le prix du produit est établi en fonction de la volumétrie de logs générés par le système d’information, et s’adresse donc en priorité aux grands comptes. La solution débute à 30 000 euros et reste toutefois accessible via les services managés pour les plus petites entreprises. Etant donné la nature même de cette solution, tous les secteurs qu’ils soient public, privé, administratif, industriel ou autres peuvent l’acquérir et ainsi finaliser leur système de défense.