Le SIEM : qu'est-ce que c'est exactement ?

SIEM = SIM + SEM

Le SIEM (Security Information and Event Management) est une approche du management de la sécurité. Il combine les fonctions du SIM (Security Information Management) et le SEM (Security Event Management) en un seul système de management  de sécurité. Et l’acronyme SIEM se prononce « sim » avec un e silencieux.

Le fonctionnement du SIEM

Les principes sous-jacents de chaque système SIEM est d’agréger des data pertinentes, de plusieurs sources différentes. Et d’identifier les écarts possibles par rapport à la moyenne / norme, afin de prendre les actions appropriées. Par exemple, lorsqu’un problème potentiel est détecté, le SIEM peut enregistrer des informations supplémentaires. Puis générer une alerte, et ordonner à d’autres contrôles de sécurité d’arrêter la progression de leur activité.
À son niveau le plus basique, un système SIEM peut être basé sur des règles. Ou utiliser un moteur de corrélation statistique pour établir des relations entre les entrées du journal de log. De plus, les SIEMs avancés ont évolué pour inclure l’analyse du comportement de l’utilisateur et des entités (UEBA). Ainsi que l’orchestration de la sécurité et la réponse automatisée (SOAR).
La compliance aux standards de sécurité des données de l’industrie des cartes de paiement (PCI DSS) a conduit à l’adoption du SIEM dans les grandes entreprises. Néanmoins, les inquiétudes concernant les menaces persistantes ont conduit de plus petites entreprises à privilégier les avantages d’un SIEM géré par un fournisseur de services de sécurité (MSSP). En effet, cela permet de visualiser toutes les data en lien avec la sécurité d’un seul point de vue. Donc, pour toute entreprise, de facilement repérer les modèles qui sortent de l’ordinaire.
Le SIEM : explications

Le SIEM aujourd’hui

Aujourd’hui, la plupart fonctionnent en déployant de multiples collections d’agents de façon hiérarchique afin de rassembler des événements liés à la sécurité du réseau. Depuis les serveurs, équipements réseaux aux firewalls, antivirus ou autre système anti-intrusion. Ainsi, les collecteurs transmettent les événements à une console de management centralisée. Et là, les analystes de sécurité les passent au crible, et connectent les points en priorisant les incidents de sécurité.
Dans certains systèmes, le pré-traitement peut arriver sur les collecteurs périphériques. Avec seulement quelques événements passant à travers un noeud de management centralisé. Ainsi, le volume d’information communiqué et stocké peut être réduit. Bien que les progrès en machine learning aident à repérer plus précisément les anomalies, les analystes doivent quand même fournir un feedback. Et donc améliorer continuellement le système à propos de l’environnement.

Les fonctionnalités à examiner

  • L‘intégration avec d’autres contrôles. Est-ce que le système peut donner des ordres à d’autres contrôles de sécurité d’entreprises ? Afin d’empêcher ou de stopper une attaque en cours ?
  • L’intelligence artificielle. Le système améliore-t-il tout seul sa propre précision grâce au machine learning et deep learning ?
  • Le flux d’informations quant aux menaces. Le système peut-il prendre en charge des flux d’informations sur les menaces de l’entreprise ? Ou est il mandaté pour utiliser un flux en particulier ?
  • Un rapport de conformité robuste. Le système possède-il des rapports intégrés pour les besoins de base de conformité ? Avec la possibilité de personnalisé de créer de nouveaux rapports de conformité ?
  • Capacités judiciaires. Le système peut-il enregistrer des informations supplémentaires à propos des événements de sécurité en enregistrant les titres et contenus de paquets intéressants ?

Pour en savoir plus sur la manière dont nous gérons votre sécurité informatique, cliquez ici !

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email