SIEM : « La brique ultime »

Pierre Carlin, Directeur Europe du Sud de LogRhythm,  explique l’intérêt qu’apporte cette souche sécuritaire.

Les trois phases d’une attaque

Le cycle d’une attaque se déploie en trois phases. La première étape consiste à récupérer tous les logs et les normaliser pour qu’ils aient tous un format identique et qu’ils puissent ainsi devenir compréhensibles. Elle se fait en temps réel au fil des interactions dans le système d’information et ce, auprès de l’ensemble des machines connectées. « Dès qu’il y a le moindre mouvement sur n‘importe quel équipement, il y a une génération de logs et on les récupère » souligne Pierre Carlin.

Dès lors, vient la détection de l’attaque. Le Directeur Europe du Sud de LogRhythm explique la méthode, « pour détecter les mauvais mouvements, on utilise des techniques de corrélation et d’analyse comportementale. C’est de cette manière que l’on va détecter quelque chose qui va correspondre à tous les scénarios d’attaques possibles et imaginables. C’est la découverte. On va ensuite qualifier cette attaque, son évolution, et regarder si effectivement c’est bien une attaque. On investigue un peu plus dans les logs ». En effet, le SIEM va permettre de mettre en exergue en temps réel toutes les actions inhabituelles et alerter le responsable en charge de la sécurité du système pour qu’il puisse séparer les faux-négatifs de l’attaque réelle.

(((IMG8157)))

Enfin, une fois que la main de l’homme a apporté la confirmation que l’attaque était bien en cours, la question est, jusqu’où cette attaque a pu avoir des ramifications et des conséquences. Pierre Carlin indique, « en général, on fait ce que l’on appelle des recherches pivotales autour des logs. Si on voit qu’une machine a été attaquée, typiquement on visualise tous les logs de la machine pour voir si elle a commencé une exfiltration de données ou s’il y a des process inconnus qui se sont lancés ». L’intérêt étant de pouvoir réparer le plus rapidement possible les dommages ainsi faits, en éradiquant les process malicieux, en fermant les communications vers les adresses IP pirates et en nettoyant les process. Il faut également s’assurer que rien n’a été volé, si tel est le cas, en faire le bilan pour en connaître les conséquences.

Les atouts du SIEM

A l’image d’un chercheur étudiant les microparticules qui constituent un atome, l’intérêt du SIEM réside dans cette analyse des logs pour détecter, réagir et réparer au plus vite. En termes de temps, là où des solutions prennent plusieurs jours (voire plus) pour revenir à la normale, Pierre Carlin précise « c’est une affaire d’heures pour détecter ce genre de chose et globalement c’est aussi une affaire d’heures côté réparation. En moyenne en moins d’une journée, une attaque est entièrement éradiquée. »

Pour Pierre Carlin, « La sécurité traditionnelle est devenue relativement illusoire et cela n’empêchera pas les attaques ciblées. La prévention pure n’est pas suffisante parce que les sociétés ont toutes des systèmes de contrôle, des firewalls, des anti-malwares qui sont censés protéger à 100%. » Couche supplémentaire sécuritaire devenue indispensable pour détecter et arrêter les attaques les plus sophistiquées, le SIEM pourrait être la solution complémentaire aux dispositifs des entreprises. Seul bémol, le prix du produit est établi en fonction de la volumétrie de logs générés par le système d’information.

Avec une solution qui débute à 30 000 euros, toutes les entreprises ne pourront se l’offrir. Cependant, étant donné la nature même de cette solution, tous les secteurs qu’ils soient public, privé, administratif, industriel ou autres peuvent l’acquérir et ainsi finaliser leur système de défense.