Gestion des informations et des événements de sécurité (SIEM)

Qu'est-ce que la gestion des informations et des événements de sécurité ?

La gestion des informations et des événements de sécurité (SIEM) collecte et consolide les données des journaux et des événements pour aider les centres d'opérations de sécurité (SOC) à reconnaître de manière proactive les menaces et les vulnérabilités potentielles et à y remédier. Une solution SIEM combine la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM) en une seule plateforme unifiée qui collecte les journaux de sécurité et surveille l'activité du réseau en temps réel. Prenant initialement la forme de simples systèmes de gestion des données et d'alerte de sécurité, les solutions SIEM ont depuis évolué pour intégrer des fonctionnalités telles que l'analyse du comportement des utilisateurs et des entités (UEBA) et une orchestration plus avancée des données. 

Le SIEM fournit la vision et les informations nécessaires pour mieux identifier, suivre et répondre aux incidents de sécurité. 

Avantages du SIEM

Les principaux avantages du SIEM sont les suivants : 

  • Détection des menaces en temps réel sur l'ensemble de l'infrastructure réseau d'une organisation
  • Amélioration significative du temps moyen de détection et du temps moyen de réponse aux incidents et événements de sécurité
  • Rationalisation de la conformité réglementaire grâce à la centralisation des audits et des rapports
  • Une vue unique et unifiée des données de sécurité, y compris des menaces potentielles.
  • Accès aux renseignements sur les menaces avancées
  • Transparence accrue dans le suivi des utilisateurs, des appareils et des applications
  • Des enquêtes post-incident plus faciles et plus efficaces

Fonctionnement du SIEM

Les solutions SIEM regroupent et analysent les données des journaux et des événements afin d'identifier les menaces éventuelles qui pourraient échapper à l'attention du personnel humain. Les données qu'elles collectent ont généralement une portée assez large et comprennent des journaux provenant de systèmes, d'applications, d'appareils et d'outils de sécurité. Les outils SIEM sont également configurés pour signaler des menaces spécifiques prédéfinies, telles que les échecs de connexion et les activités malveillantes éventuelles.

Lorsqu'un outil SIEM identifie une menace potentielle, il génère une alerte de sécurité qui est ensuite transmise aux SOC sous forme de notification. Ces alertes sont généralement non triées et non classées, bien que les équipes de sécurité puissent appliquer un ensemble de règles prédéfinies pour permettre une hiérarchisation intelligente. Par exemple, un utilisateur qui génère trois tentatives de connexion ratées suivies d'une tentative réussie a probablement oublié son mot de passe, tandis qu'un utilisateur qui génère 30 tentatives de connexion ratées en l'espace de quelques minutes représente une possible attaque par force brute. 

Caractéristiques et capacités du SIEM

Si certains outils SIEM sont plus avancés que d'autres, tous comprennent, au minimum, les fonctionnalités de base suivantes.

Gestion des journaux

Une solution SIEM collecte des données d'événements sur l'ensemble du réseau d'une organisation, stocke et analyse ces informations en temps réel. Le champ d'application de ces données est généralement très large et comprend les informations générées par les utilisateurs, les applications, les actifs physiques, les actifs virtuels, les environnements en nuage, les outils de sécurité et les actifs du réseau. En règle générale, une solution SIEM classe et stocke également ces données à des fins de conformité. 

Certaines plateformes SIEM peuvent également intégrer des données sur les menaces externes et des renseignements sur les menaces provenant de tiers, bien que cette fonctionnalité soit généralement réservée aux outils d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR). 

Corrélation entre les événements

La corrélation des événements est le moment où la partie analyse du SIEM entre en jeu. Lorsqu'elle collecte des données sur les événements, une solution SIEM identifie des schémas dans ces données qui peuvent indiquer la présence d'une menace potentielle. L'application de l'UEBA et de l'IA de cybersécurité au SIEM renforce encore cette capacité, en permettant à l'outil SIEM de créer une base de référence pour chaque utilisateur et chaque système sur le réseau d'une organisation et de signaler tout écart par rapport à cette base comme potentiellement suspect. 

Suivi des incidents

Une plateforme SIEM ne se contente pas de collecter passivement les données des journaux et des événements. Elle surveille activement chaque actif interne en temps réel. Cela permet non seulement aux équipes de sécurité d'améliorer considérablement la visibilité du réseau, mais aussi de surveiller et de gérer plus efficacement les incidents et les menaces en cours de développement. 

Alertes de sécurité

Lorsqu'une solution SIEM détecte une menace potentielle, elle génère une notification pour informer l'équipe de sécurité de l'organisation. D'emblée, les alertes sont peu différenciées en termes de gravité et de priorité. Le personnel informatique peut avoir besoin d'appliquer des règles supplémentaires pour réduire le risque de lassitude à l'égard des notifications. 

Gestion de la conformité et rapports

La façon dont le SIEM consolide et stocke les données d'événements le rend apte à soutenir les efforts de conformité d'une organisation. La plupart des plateformes SIEM sont capables de générer des rapports de conformité en temps réel pour plusieurs normes, notamment GDPR, HIPAA, SOX et PCI-DSS. Elles peuvent également être préconfigurées pour détecter et alerter les violations potentielles de la conformité et les menaces. 

La détection et la réponse étendues (XDR) ont beaucoup de points communs avec le SIEM, puisque tous deux collectent, agrègent et analysent des données provenant de sources multiples. Cependant, la XDR est beaucoup plus avancée que la SIEM. Un outil SIEM ne peut pas, par exemple, orchestrer automatiquement une réponse en temps réel à une cybermenace sur plusieurs points d'extrémité et environnements, ni procéder à des ajustements proactifs des défenses du réseau pour neutraliser les menaces. 

Même les outils SIEM les plus avancés sont avant tout des outils de détection et de hiérarchisation, et non des outils de remédiation. 

XDR a un objectif légèrement différent de celui de SIEM et ne doit pas être considéré comme un remplacement complet. Alors que le SIEM se concentre sur la gestion des journaux et des événements, le XDR s'intéresse davantage à la sécurité des points d'extrémité et au renseignement sur les menaces. Les deux fonctionnent très bien en tandem, car une solution SIEM peut fournir un flux supplémentaire de renseignements sur les menaces dans lequel une plateforme XDR peut puiser. 

Comme pour le XDR, le SOAR a un champ d'application beaucoup plus large que le SIEM. Il tire des informations non seulement de sources internes, mais aussi de renseignements sur les menaces provenant de tiers et d'outils externes. Il fournit également une hiérarchisation intelligente des alertes et des voies d'investigation prédéfinies pour le SOC d'une organisation. Là encore, comme pour le XDR, les différences sont largement complémentaires. 

Le SOAR n'est en aucun cas supérieur au SIEM, car les deux ont des objectifs différents. Un outil SIEM fournit des alertes intelligentes sur les incidents potentiels, tandis qu'une plateforme SOAR peut hiérarchiser et gérer ces alertes. 

En fin de compte, une approche complète de la gestion des incidents et des événements de cybersécurité intégrera le SIEM, le SOAR et le XDR en tant que parties d'un tout cohérent plutôt que comme des solutions opposées. 

 

Les entreprises, grandes et petites, sont confrontées à un nombre croissant d'appareils, chacun d'entre eux augmentant la surface d'attaque. Dans le même temps, la plupart des entreprises sont confrontées à une pénurie de compétences et de ressources en matière de cybersécurité. La dotation en personnel pour la cybersécurité est particulièrement problématique pour les petites et moyennes entreprises.

En tant que service XDR géré par abonnement 24x7x365, centré sur l'humain, CylanceGUARD® offre l'expertise et le soutien dont les entreprises ont besoin. CylanceGUARD associe l'expertise complète incarnée par BlackBerry Cybersecurity Services à la protection des points finaux (EPP) basée sur l'IA grâce à CylancePROTECT®, l'authentification continue et l'analyse grâce à CylancePERSONA, ainsi que la détection des menaces et la remédiation sur les appareils grâce à CylanceOPTICS®. En bref, CylanceGUARD fournit aux entreprises les personnes et la technologie nécessaires pour protéger l'entreprise contre le paysage moderne des menaces.