SIEM, comment optimiser un projet SIEM tout en assurant la conformité avec la loi ?

Les projets SIEM sont souvent au cœur d’une stratégie de sécurité d’entreprise efficace tant ils apportent une vision complète sur l’activité du réseau et une connaissance optimale de son système IT, de ses utilisateurs et de ses vulnérabilités. Cette connaissance approfondie permet notamment une détection et une réaction plus rapide face aux menaces et une meilleure définition de l’infrastructure et des règles de sécurité.

Cependant, dans la réalité, un projet SIEM peut vite excéder le périmètre et le budget initialement défini. Ce manque de visibilité sur le coût global représente souvent un frein au déploiement de telles solutions et cela malgré les bénéfices indéniables. Alors comment optimiser le TCO (coût de possession global) d’une solution SIEM et maîtriser son investissement ?

Les entreprises, et avant elles les éditeurs, ont tendance à trop souvent privilégier la corrélation des logs – la partie SIM – car il s’agit de la partie du projet qui apporte la vraie intelligence et détermine la prise de décisions clés pour la sécurité de l’entreprise. Le problème est que cela se fait souvent au détriment d’une collecte et d’une gestion des logs efficaces – partie SEM – qui est pourtant la seule et vraie obligation légale et la base d’un projet global optimisé et rationnalisé.

La gestion et la conservation des logs, la véritable obligation légale

Depuis 2004, trois lois et articles – la Loi pour la Confiance de l’Economie Numérique (adressée aux FAI) du 21 juin 2014, la Loi L2006-64 du 23 janvier 2006 liée à la lutte contre le terrorisme et l’article L34-1 du Code des Postes et Communications Electroniques (CPCE) ont été adoptés pour réglementer la gestion et la conservation des logs par les entreprises. Concrètement, ces lois exposent que toute personne physique ou morale ouvrant au public une connexion à un réseau, quelle soit gratuite ou payante, doit « loguer », c’est à dire gérer et conserver ses logs et donc avoir à disposition un journal établissant chronologiquement l’ensemble des événements ayant affectés son système d’information.

Pour l’entreprise, le message est très clair : elle ne peut pas faire de concession sur la gestion et la conservation de ses logs (selon la loi L39-3, en cas d’infraction, une personne physique encourt une amende de 75 000 € et 375 000€ pour une personne morale). Pour sa propre sécurité et celle de ses employés, la loi impose donc que tous les événements informatiques de l’entreprise puissent être retracés, et cela dans le but d’établir la ou les responsabilités dans des contextes de sécurité potentiellement multiples : en cas de dépôt de plainte de l’entreprise ou de l’un de ses salariés, en cas d’incident de sécurité majeur impactant l’entreprise, ses partenaires ou ses fournisseurs, et jusqu’à des problématiques externes telles que des enquêtes liées au terrorisme dans la mesure où le traçage de l’activité d’un employé peut être un élément d’enquête crucial.

Cette obligation légale pour les entreprises est prise en charge dans la partie SEM d’un projet SIEM, d’où l’intérêt majeur de mettre en place des solutions efficaces en matière de collecte, gestion et stockage des logs, avant même de penser à la corrélation.

Difficile pour l’entreprise d’estimer le coût de la corrélation de ses logs

Depuis la concentration du marché du SEM et du SIM en un marché unique, la collecte et la gestion des logs ne peuvent être dissociés de la partie corrélation.  

En pratique, gérer et corréler les logs – au sein d’une offre unique – peut mener à un budget important, parfois jusqu’à plusieurs millions d’euros. L’une des raisons est que les éditeurs de SIEM facturent souvent au nombre d’événements par seconde. Ce qui pose souvent problème aux entreprises puisque ce mode de facturation ne permet pas de définir à l’avance le volume de logs qui sera généré et donc de prévoir un budget même approximatif. L’activité d’une entreprise est aléatoire et de nombreux périmètres peuvent faire exploser le nombre de logs (rachat, recrutements, etc.). Pour un hébergeur, il est encore plus compliqué de prédire le nombre de logs qui vont être générés par l’hébergement d’un nouveau client.

Ce manque de visibilité sur la volumétrie du nombre de logs est aujourd’hui un problème pour beaucoup d’entreprises qui ont mis en place des projets SIEM.

Gérer efficacement ses logs pour optimiser le coût et l’efficacité d’un projet SIEM

Faire l’impasse sur une collecte et une gestion des logs, c’est prendre le risque de ne pas être en conformité avec la loi, si un incident intervient. Car n’oublions pas que la conservation des logs est une obligation légale. Or, un outil de collecte et de gestion efficace des logs permet d’assurer l’intégrité des logs ; ce qui peut avoir beaucoup de valeur lors d’une investigation.  

Ensuite, c’est se priver d’un outil efficace permettant de collecter tous les logs, de faire un premier tri avant d’envoyer les logs qui ont le plus de valeur vers l’outil de corrélation, et donc in fine de corréler moins de logs… En d’autres termes, une collecte et une gestion des logs optimisées permettent  de réduire considérablement les coûts et d’optimiser l’efficacité d’un projet SIEM global.

Gérer efficacement ses logs permet de répondre à cette problématique de coût et d’optimiser la corrélation, tout en soulageant ses équipes. Et cela en assurant son entreprise d’être en conformité avec la loi.