É«¿Ø´«Ã½

SIEM est l¡¯acronyme de ??Security Information and Event Management??, ou gestion des informations et des ¨¦v¨¦nements de s¨¦curit¨¦ en fran?ais. Dans la pratique, les solutions logicielles SIEM associent les avantages d¡¯un syst¨¨me de gestion des informations de s¨¦curit¨¦ (SIM) et d¡¯un syst¨¨me de gestion des ¨¦v¨¦nements de s¨¦curit¨¦ (SEM) dans une solution de s¨¦curit¨¦ compl¨¨te capable d¡¯analyser en temps r¨¦el les alertes de s¨¦curit¨¦ g¨¦n¨¦r¨¦es par vos applis et vos ¨¦quipements.

Comment fonctionne un syst¨¨me SIEM??

Le syst¨¨me SIEM collecte des informations dans les journaux et les donn¨¦es d¡¯¨¦v¨¦nement g¨¦n¨¦r¨¦es par les applications, les syst¨¨mes de s¨¦curit¨¦ et les ¨¦quipements de l¡¯entreprise. En mettant les ¨¦v¨¦nements en correspondance avec les r¨¨gles et moteurs d¡¯analytique, le syst¨¨me SIEM d¨¦tecte les menaces de s¨¦curit¨¦ et les analyse en temps r¨¦el. Mieux encore, chaque ¨¦l¨¦ment est index¨¦ pour faciliter la recherche et aider les ¨¦quipes de s¨¦curit¨¦ ¨¤ r¨¦aliser des analyses, ¨¤ g¨¦rer les journaux et ¨¤ ¨¦tablir des rapports.

Exemples de menaces d¨¦tectables par une solution SIEM

Acc¨¨s non autoris¨¦s

Une poign¨¦e de tentatives de connexion qui ¨¦chouent, cela peut se comprendre. Mais si le num¨¦ro est compos¨¦ jusqu¡¯¨¤ 100?fois, c¡¯est sans doute que quelqu¡¯un tente de r¨¦aliser une attaque par force brute. Le logiciel SIEM surveille le comportement des utilisateurs et identifie les tentatives d¡¯acc¨¨s inhabituelles.

Menaces internes

Gr?ce ¨¤ la surveillance permanente du comportement des employ¨¦s, les syst¨¨mes SIEM peuvent d¨¦tecter les menaces internes, qu¡¯elles soient volontaires ou non. Des anciens employ¨¦s dont les privil¨¨ges d¡¯acc¨¨s n¡¯ont pas encore ¨¦t¨¦ supprim¨¦s aux utilisateurs internes malveillants qui peuvent essayer de voler ou de faire fuiter des informations confidentielles, sans oublier les modifications de s¨¦curit¨¦ accidentelles, les logiciels SIEM peuvent d¨¦tecter tout comportement anormal et le transmettre pour analyse ¨¤ un analyste de s¨¦curit¨¦.

Hame?onnage

Les attaques d¡¯hame?onnage consistent ¨¤ se faire passer pour un organisme autoris¨¦ afin d¡¯inciter les personnes cibl¨¦es ¨¤ divulguer volontairement des informations personnelles ou confidentielles. L¡¯hame?onnage passe le plus souvent par des e-mails incluant des liens ou des pi¨¨ces jointes malveillantes, et provenant de pirates qui se font passer pour un fournisseur, un manager ou un membre du personnel. En compl¨¦ment d¡¯une formation sur la s¨¦curit¨¦, une solution SIEM est capable de d¨¦tecter, par exemple, un employ¨¦ qui se connecte depuis un lieu suspect ¨¤ une heure inhabituelle, ce qui peut signifier que son compte a ¨¦t¨¦ pirat¨¦. Dans ce cas, vous pouvez bloquer l¡¯acc¨¨s au profil utilisateur en question pour ¨¦viter d¡¯¨¦ventuelles atteintes, jusqu¡¯¨¤ ce que l¡¯employ¨¦ ait confirm¨¦ qu¡¯il ¨¦tait bien ¨¤ l¡¯origine de la tentative d¡¯acc¨¨s.

Attaques de type DoS (d¨¦ni de service) et DDoS (d¨¦ni de service distribu¨¦)

Les attaques de type d¨¦ni de service (DoS) perturbent les services en inondant les r¨¦seaux d¡¯un trafic suffisant pour paralyser les ressources syst¨¨me et provoquer un blocage. Si la fr¨¦quence de ces menaces augmente, c¡¯est que les botnets peuvent facilement enr?ler dans leurs essaims, ¨¤ l¡¯insu des utilisateurs, les p¨¦riph¨¦riques r¨¦seau de ces derniers pour mener des attaques par d¨¦ni de service distribu¨¦ (DDoS). En surveillant les fichiers-journaux de votre serveur Web, le logiciel SIEM peut signaler les ¨¦v¨¦nements de trafic anormaux qui peuvent ¨ºtre le signe d¡¯une attaque de type DoS ou DDoS. Si ce type d¡¯attaque est d¨¦tect¨¦ assez t?t, l¡¯¨¦quipe de s¨¦curit¨¦ peut avoir le temps d¡¯¨¦tablir un syst¨¨me de d¨¦fense et de pr¨¦parer le r¨¦tablissement des services.

Injection de code

L¡¯injection de code consiste ¨¤ injecter du code malicieux dans des canaux d¡¯entr¨¦e c?t¨¦ client, par exemple des formulaires en ligne, pour acc¨¦der ¨¤ des syst¨¨mes ou ¨¤ une base de donn¨¦es d¡¯application. L¡¯exemple le plus courant est l¡¯injection SQL, qui consiste ¨¤ ins¨¦rer des commandes SQL dans des entr¨¦es non assainies, ce qui permet au pirate de modifier ou de supprimer des donn¨¦es directement dans la base de donn¨¦es. En surveillant l¡¯activit¨¦ depuis les applications Web, il est possible de signaler les incidents anormaux et, en corr¨¦lant les ¨¦v¨¦nements, de voir si le syst¨¨me a ¨¦t¨¦ modifi¨¦.

Ransomware et autres logiciels malveillants

Les ransomware, les virus, les vers, les chevaux de Troie et autres logiciels malveillants sont con?us pour s¡¯infiltrer dans les syst¨¨mes informatiques et ex¨¦cuter des programmes malveillants. La meilleure d¨¦fense contre ces attaques est la pr¨¦vention. Et justement, les syst¨¨mes SIEM offrent les capacit¨¦s de surveillance n¨¦cessaires pour d¨¦crypter les journaux de s¨¦curit¨¦, identifier les vecteurs d¡¯attaque et d¨¦tecter les comportements malveillants pouvant aboutir ¨¤ une intrusion. Et en cas d¡¯attaque r¨¦ussie, le syst¨¨me SIEM peut ¨¦galement aider ¨¤ d¨¦terminer l¡¯¨¦tendue des d¨¦g?ts et fournir ¨¤ l¡¯¨¦quipe de s¨¦curit¨¦ les informations n¨¦cessaires pour r¨¦gler le probl¨¨me.

Attaques MITM

On parle d¡¯attaque MITM (man-in-the-middle), ou attaque de l¡¯homme du milieu, lorsqu¡¯un tiers malveillant intercepte les communications entre deux h?tes pour voler ou manipuler des informations. Lorsque les communications ont ¨¦t¨¦ intercept¨¦es, le pirate peut utiliser diff¨¦rentes techniques?: d¨¦tourner les sessions utilisateur en ??reniflant?? le mot de passe saisi ou injecter des paquets malveillants dans les flux de communication de donn¨¦es. Des connexions ou d¨¦connexions fr¨¦quentes sur des sites inhabituels peuvent ¨ºtre le signe d¡¯une attaque MITM. D¡¯o¨´ l¡¯int¨¦r¨ºt du syst¨¨me SIEM, qui aide ¨¤ d¨¦tecter les oreilles ind¨¦licates avant qu¡¯il ne soit trop tard.

Quand utiliser un syst¨¨me SIEM, en quelques exemples

Les syst¨¨mes SIEM sont des composants essentiels de toute infrastructure de s¨¦curit¨¦ d¡¯entreprise. Voyons quelques exemples d¡¯utilisation du SIEM.

Conformit¨¦ aux normes relatives aux donn¨¦es

Les syst¨¨mes SIEM agr¨¨gent les donn¨¦es provenant des journaux d¡¯¨¦v¨¦nements, des outils de s¨¦curit¨¦ et des p¨¦riph¨¦riques de l¡¯ensemble de l¡¯entreprise. C¡¯est l¡¯auxiliaire id¨¦al pour la g¨¦n¨¦ration de rapports de conformit¨¦ et de rapports r¨¦glementaires.

Voici quelques exemples?:

• RGPD?: le R¨¨glement G¨¦n¨¦ral sur la Protection des Donn¨¦es (RGPD) a ¨¦t¨¦ adopt¨¦ par l¡¯Union europ¨¦enne (UE) pour prot¨¦ger les donn¨¦es personnelles des citoyens europ¨¦ens.
• HIPAA?: la loi Health Insurance Portability and Accountability Act (HIPAA) adopt¨¦e aux ?tats-Unis est destin¨¦e ¨¤ prot¨¦ger les informations m¨¦dicales confidentielles des patients.
• PCI?: la Norme de s¨¦curit¨¦ des donn¨¦es pour l¡¯Industrie des cartes de paiement (PCI-DSS) est une norme de s¨¦curit¨¦ des informations impos¨¦e par les principales soci¨¦t¨¦s ¨¦mettrices de cartes de cr¨¦dit afin de prot¨¦ger leurs clients.
• Conformit¨¦ SOX?: la loi Sarbanes-Oxley (SOX) est une r¨¦glementation am¨¦ricaine destin¨¦e ¨¤ lutter contre la fraude comptable dans les grandes entreprises. Cette loi, qui s¡¯applique aux conseils d¡¯administration des soci¨¦t¨¦s cot¨¦es en bourse, aux dirigeants d¡¯entreprise et aux cabinets comptables, exige des rapports pr¨¦cis sur l¡¯emplacement de stockage des informations confidentielles, les personnes qui y ont acc¨¨s et leur utilisation.

Comme le syst¨¨me SIEM offre un acc¨¨s structur¨¦ aux informations des journaux et aux donn¨¦es de s¨¦curit¨¦ de toute l¡¯entreprise, il facilite la cr¨¦ation de rapports d¨¦taill¨¦s pour les organismes de r¨¦glementation comme pour les possesseurs de donn¨¦es individuels.

D¨¦tection des menaces de s¨¦curit¨¦ avanc¨¦es

Comme nous l¡¯avons vu en d¨¦tail dans la section ??Exemples de menaces d¨¦tectables par une solution SIEM??, les syst¨¨mes SIEM sont faits pour d¨¦tecter les menaces de s¨¦curit¨¦ avanc¨¦es. Prenons quelques exemples plus g¨¦n¨¦raux pour savoir comment les syst¨¨mes SIEM participent activement ¨¤ la d¨¦tection des menaces.

• Identification des anomalies?: l¡¯analytique comportementale et la corr¨¦lation des ¨¦v¨¦nements permettent de signaler les anomalies qui n¨¦cessitent un examen approfondi par les ¨¦quipes de s¨¦curit¨¦.
• Exfiltration de donn¨¦es?: parce que vous avez une vue d¡¯ensemble sur l¡¯utilisation des donn¨¦es, vous pouvez ¨ºtre pr¨¦venu des menaces internes et d¡¯autres tentatives non autoris¨¦es de transfert d¡¯informations confidentielles hors de l¡¯entreprise.
• R¨¦ponse aux nouvelles vuln¨¦rabilit¨¦s?: si un ??exploit zero-day?? ou une vuln¨¦rabilit¨¦ du syst¨¨me est identifi¨¦, la solution SIEM permet de d¨¦terminer rapidement l¡¯¨¦tendue de la vuln¨¦rabilit¨¦ et de la corriger.
• Enseignements ¨¤ tirer des incidents pass¨¦s?: lorsqu¡¯un incident se produit, vous pouvez v¨¦rifier rapidement s¡¯il y a d¨¦j¨¤ eu des pr¨¦c¨¦dents. Les solutions trouv¨¦es par le pass¨¦ peuvent vous aider ¨¤ ¨¦viter que l¡¯incident se reproduise et ¨¤ r¨¦soudre plus rapidement les incidents r¨¦currents.
• Renseignements sur les menaces?: appliquez l¡¯IA ¨¤ vos donn¨¦es de s¨¦curit¨¦ et vos journaux pour d¨¦tecter les attaques sur vos syst¨¨mes informatiques. Comparez les signatures d¡¯attaques connues aux donn¨¦es historiques.
• Orientation des investigations?: donnez aux analystes les moyens de tester leurs hypoth¨¨ses en utilisant la plateforme SIEM pour explorer les donn¨¦es.

S¨¦curisation des d¨¦ploiements IoT

L¡¯Internet des objets (IoT) prend la forme d¡¯un ensemble de p¨¦riph¨¦riques r¨¦seau distribu¨¦s, qui transmettent chacun en temps r¨¦el leurs propres journaux d¡¯¨¦v¨¦nements. Les syst¨¨mes SIEM sont parfaits pour s¨¦curiser les d¨¦ploiements IoT.

• Surveillance des p¨¦riph¨¦riques IoT?: les p¨¦riph¨¦riques IoT sont les principales cibles des d¨¦tournements vers les botnets o¨´ ils sont utilis¨¦s pour mener des attaques DDoS. Une surveillance constante par un syst¨¨me SIEM peut vous aider ¨¤ d¨¦tecter les comportements anormaux, signes d¡¯un p¨¦riph¨¦rique compromis.
• Surveillance du flux de donn¨¦es?: les p¨¦riph¨¦riques IoT utilisent souvent des protocoles de chiffrement pour communiquer entre eux. La solution SIEM est capable de d¨¦tecter les sch¨¦mas de trafic inhabituels entre les n?uds de votre r¨¦seau IoT et d¡¯alerter les ¨¦quipes de s¨¦curit¨¦ si des informations confidentielles sont compromises.
• Contr?le des acc¨¨s?: en surveillant les acc¨¨s (utilisateurs et heure) ¨¤ vos p¨¦riph¨¦riques IoT, vous pouvez d¨¦tecter des activit¨¦s ou des connexions suspectes.
• Gestion des vuln¨¦rabilit¨¦s?: la solution SIEM peut vous aider ¨¤ identifier les syst¨¨mes d¡¯exploitation d¡¯un certain ?ge et les vuln¨¦rabilit¨¦s non corrig¨¦es dans votre parc de p¨¦riph¨¦riques IoT. Elle peut ¨¦galement vous aider ¨¤ isoler les p¨¦riph¨¦riques les plus susceptibles d¡¯¨ºtre vis¨¦s, par exemple parce qu¡¯ils servent de point d¡¯acc¨¨s aux donn¨¦es confidentielles ou ¨¤ des fonctions strat¨¦giques.

Quelle diff¨¦rence entre une solution SIEM et un syst¨¨me de d¨¦tection d¡¯intrusion??

Le syst¨¨me SIEM et le syst¨¨me de d¨¦tection d¡¯intrusion (IDS) se distinguent avant tout par le fait que le syst¨¨me SIEM a une fonction pr¨¦ventive, tandis que le syst¨¨me IDS est optimis¨¦ pour d¨¦tecter et signaler les ¨¦v¨¦nements repr¨¦sentant une menace au moment o¨´ ils se produisent. Si les deux outils cr¨¦ent des alertes et g¨¦n¨¨rent des journaux, seul le syst¨¨me SIEM permet de centraliser et de corr¨¦ler les informations de ces journaux sur diff¨¦rents p¨¦riph¨¦riques et syst¨¨mes pour obtenir une vue d¡¯ensemble de la s¨¦curit¨¦ de votre entreprise.

Les organisations associent souvent un syst¨¨me SIEM et un syst¨¨me IDS. Le syst¨¨me IDS sera utile au cours d¡¯une attaque. La solution SIEM met les journaux IDS ¨¤ la disposition des ¨¦quipes de s¨¦curit¨¦, avec d¡¯autres informations syst¨¨me, pour qu¡¯elles puissent g¨¦n¨¦rer des rapports de conformit¨¦ et ¨¦viter de nouvelles attaques.

SIEM et SOAR?: quelle diff¨¦rence??

Les syst¨¨mes SOAR (Orchestration, automatisation et r¨¦ponse aux incidents) sont relativement nouveaux. Ils prolongent les fonctionnalit¨¦s du syst¨¨me SIEM en permettant l¡¯automatisation des processus d¡¯investigation, ce qui permet de traiter plus rapidement les alertes.

Le SIEM identifie les menaces en effectuant une corr¨¦lation des informations de diff¨¦rentes sources, y compris les firewalls, les applications, les serveurs et les p¨¦riph¨¦riques. La solution SIEM tente de fournir les informations les plus pertinentes et des suggestions de r¨¦solution ¨¤ l¡¯¨¦quipe de s¨¦curit¨¦. Mais c¡¯est ¨¤ cette derni¨¨re qu¡¯il appartient de rechercher et de r¨¦soudre la source d¡¯une menace potentielle.

La plateforme SOAR fait la m¨ºme chose, et automatise en plus le parcours d¡¯investigation. Elle ne se limite pas ¨¤ alerter l¡¯¨¦quipe de s¨¦curit¨¦ sur une menace potentielle mais, gr?ce ¨¤ l¡¯IA, apprend des comportements r¨¦p¨¦titifs et traite automatiquement les menaces gr?ce ¨¤ l¡¯orchestration.

Principaux fournisseurs de syst¨¨mes de cybers¨¦curit¨¦ SIEM

Voici quelques-uns des outils SIEM les plus vendus sur le march¨¦?:

?

Conclusion

Pour r¨¦sumer, SIEM est l¡¯acronyme de ??Security Information and Event Management??, ou gestion des informations et des ¨¦v¨¦nements de s¨¦curit¨¦ en fran?ais. Les outils SIEM permettent de d¨¦tecter et de pr¨¦venir diff¨¦rentes menaces, notamment l¡¯injection de code, les attaques de ransomware et les attaques DDoS. Ils sont particuli¨¨rement utiles pour d¨¦tecter les anomalies, notamment les acc¨¨s non autoris¨¦s, les tentatives de connexion suspectes et les flux de donn¨¦es inhabituels. Si vous avez besoin d¡¯une plateforme de s¨¦curit¨¦ capable d¡¯agr¨¦ger les journaux de diff¨¦rentes sources dans un m¨ºme emplacement central pour r¨¦aliser des analyses de s¨¦curit¨¦, une solution SIEM pourra vous ¨ºtre utile.