Nouveau : Candidatures pour rentrée décalée en janvier 2025 ouvertes !

Candidater

Boite à outils

Qu’est-ce qu’un système SIEM ? Définition et fonctionnement

La hausse des attaques visant les entités privées et publiques est alarmante. 53% des entreprises ont déclaré avoir subi une attaque en 2023 d’après le rapport Hiscox. Les conséquences sont désastreuses pour une organisation : interruption brève ou prolongée de son activité, perte de confiance des partenaires, dégâts financiers, faillite, etc. Une entreprise sur huit affirme qu’une cyberattaque leur a couté plus de 230 000 euros.

 

Face à la pression, l’entreprise se dote d’un arsenal de sécurité, dont l’utilisation n’est pas toujours optimisée. La solution SIEM lui permet d’adopter une démarche proactive en matière de sécurité. Cet outil collecte toutes les données générées par l’ensemble des piles technologiques de l’entreprise. Son objectif est d’identifier une menace et d’y répondre avant qu’elle ne cause des dégâts.

Par Hugo Poiblanc
Contenu mis à jour le
La gestion des informations et des événements de sécurité (SIEM) consiste à collecter toutes les données générées par l’ensemble des systèmes hôte de l’infrastructure informatique de l’entreprise.
NB : Contenu en cours de réécriture.

Qu’est-ce que le SIEM ou Security Information and Event Management ?

Cette approche de la cybersécurité a été introduite par Gartner en 2005. La gestion des informations et des événements de sécurité (SIEM) consiste à collecter toutes les données générées par l’ensemble des systèmes hôte de l’infrastructure informatique de l’entreprise. Ces systèmes hôtes peuvent être des antivirus, des applications, des pare-feux et autres dispositifs de sécurité.

La solution SIEM les centralise au sein d’une plateforme pour les trier et mettre en avant les activités de logiciels malveillants, les connexions échouées, etc. Lorsque le Security Information and Event Management identifie une menace, l’équipe de sécurité reçoit aussitôt une alerte. Ceci est rendu possible grâce à la définition des règles en avance pour distinguer les menaces de priorité élevée et faible.

Prenons l’exemple d’un utilisateur qui se connecte infructueusement à sa messagerie professionnelle 25 fois en une heure. Le logiciel peut le considérer comme une menace. Néanmoins, l’équipe de sécurité peut la classer dans la priorité inférieure sachant que cela peut arriver à cause d’un simple oubli de mot de passe.

À l’inverse, plus de 100 tentatives en cinq minutes sur un compte sont considérées comme une menace prioritaire. Pour cause, de telles actions sont révélatrices d’une attaque par force brute.

A ses débuts, le logiciel SIEM exploitait uniquement les données provenant des journaux d’évènements et des appareils sur le réseau de l’entreprise. Il combinait deux fonctionnalités à savoir la gestion des évènements de sécurité (SEM) et la gestion des informations de sécurité (SIM).

Il a ensuite intégré plusieurs améliorations grâce à l’IA. SIEM comprend désormais l’analyse du comportement des utilisateurs et des entités (UEBA). L’utilisation de SIEM s’inscrit dans une démarche proactive de la cybersécurité. L’outil fonctionne comme une alarme qui avertit l’équipe de sécurité lorsqu’il détecte une menace potentielle. Aujourd’hui, il est devenu un outil indispensable au sein des centres des opérations de sécurité (SOC).

Data miner : Analyse des données et des logs

Data miner : Analyse des données et des logs

En quoi la solution SIEM est-elle importante pour l’entreprise ?

Face aux cybermenaces, les entreprises multiplient les couches de sécurité. Cela implique une augmentation des fournisseurs et des technologies utilisées. Les sondages révèlent que 85% des décideurs informatiques envisagent de réduire le nombre de fournisseurs pour renforcer leur sécurité. Cette solution n’enlève pas la complexité de la gestion de plusieurs outils.

Une gestion centralisée des événements de sécurité

Le logiciel SIEM facilite la gestion en centralisant une quantité massive de données sur un seul tableau de bord. Il filtre ensuite ces données avant de les hiérarchiser en fonction du niveau de gravité de la menace.

Ce tableau de bord centralisé offre une vue unique sur les notifications et les alertes. Il favorise ainsi la collaboration entre les différents services. Dès la détection d’une alerte, l’équipe de sécurité communique avec le service concerné pour une meilleure gestion de l’incident.

L’automatisation de la collecte et l’analyse des journaux allègent le travail de l’équipe de sécurité. Elle mobilise moins de ressources internes. Les solutions SIEM actuelles reposent sur l’IA. L’intelligence artificielle propose une automatisation avancée qui procure un gain de temps significatif. Le machine learning permet d’identifier des comportements d’utilisateurs complexes et de détecter des menaces en peu de temps.

Un outil capable de faire face à tous les types de menaces

Les solutions SIEM répondent aux enjeux de la cybersécurité actuels. Elles repoussent les limites de la détection et la réponse aux incidents. Les équipes de sécurité peuvent s’appuyer sur cet outil pour différents types de menaces :

  • menaces internes : vol de données ou attaques provenant d’un salarié qui dispose d’un accès autorisé. L’IA identifie les comportements suspects comme le téléchargement d’un gros volume de fichiers par exemple.
  • phishing : cette méthode est souvent utilisée pour tromper les utilisateurs et voler leurs identifiants de connexions et autres informations sensibles.
  • logiciel malveillant de type ransomware qui peut verrouiller l’appareil d’un utilisateur. Dans le pire des cas, la victime doit payer une rançon en échange de l’accès à son ordinateur.
  • attaque DDoS (déni de service distribué) : elle consiste à inonder les systèmes et les réseaux de trafic pour dégrader leur performance. Prenons l’exemple d’un site web, une hausse soudaine du trafic le rendrait inutilisable un certain temps.
Les attaques DDoS : une menace en pleine croissance

Les attaques DDoS : une menace en pleine croissance

Un outil d’analyse et d’investigation

Lorsqu’un incident de sécurité se produit, il est important d’en trouver la source pour mieux y répondre. Une solution SIEM peut effectuer les investigations numériques grâce aux données collectées à partir des journaux.

L’analyse se concentre sur les incidents antérieurs et actuels. Le résultat permet de mettre en place des mesures de sécurité plus efficaces.

Au-delà de l’analyse, la solution SIEM décharge aussi l’entreprise de l’élaboration des rapports de conformité. Il s’agit là de tâches fastidieuses qui mobilisent des ressources considérables (matériel et humaine). L’outil offre pourtant des audits en temps réel accompagnés de rapports.

Gratuit
Téléchargez Le Grand Livre de la cybersécurité
Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.
Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Quelles sont les principales fonctionnalités de cette solution ?

A l’ère du numérique, les organisations doivent se conformer à plusieurs exigences de conformités relatives au stockage et l’analyse des journaux. La solution SIEM répond à toutes ses exigences. Ces réglementations devraient stimuler la croissance du marché dans les prochaines années. D’après une étude Data Bridge Market Research, le marché des solutions de Security Information and Event Management était évalué à 5,18 milliards de dollars en 2022. Ce chiffre devrait atteindre les 11,96 milliards d’ici 2030.

Dans ce contexte, les organisations feront face à une abondance des offres. Il est crucial d’identifier la solution qui répond à ses besoins. Les fournisseurs tentent de se démarquer en apportant une fonctionnalité innovante. Toutefois, une solution SIEM devrait au moins présenter les fonctionnalités de base suivantes :

Analyse du comportement des utilisateurs et des entités

Dans une entreprise de plus de 50 employés, surveiller chaque activité des utilisateurs devient impossible. Une solution SIEM assure cette tâche tout en analysant leur comportement. Elle élabore alors une ligne de base pour chaque utilisateur selon leur fonction. Dès qu’un écart de conduite est détecté, l’équipe de sécurité reçoit immédiatement une alerte. Certains outils attribuent même un score de risque à chaque utilisateur.

Surveillance de la sécurité du réseau

Le parc informatique d’une entreprise moderne est composé de dizaines de dispositifs : ordinateurs de bureau, portables, sites web, appareils mobiles, pare-feu, routeurs, etc. Avec l’essor du télétravail, l’entreprise entretient la politique du BYOD (bring your own device) qui augmente les risques liés au réseau.

La solution SIEM garantit une surveillance de chaque appareil qui compose le réseau. Elle identifie celui à l’origine d’une vulnérabilité ou d’une violation de données.

Par ailleurs, la surveillance d’Active Directory doit faire partie de ses principales fonctionnalités. Cela limite l’accès non autorisé aux ressources critiques.

Administrateur réseau : surveillance de la sécurité

Administrateur réseau : surveillance de la sécurité

Prévention contre la perte de données

Les entreprises, en fonction de leurs activités, traitent des informations sensibles sur leurs clients (coordonnées bancaires, informations personnelles, etc.). Elles ne sont pas à l’abri d’une fuite de données suite à une attaque de ransomware par exemple. Au-delà des dégâts financiers, cela peut nuire à leur réputation.

La solution SIEM doit être capable d’identifier les accès non autorisés en temps réel. Dès qu’un compte non autorisé tente d’accéder à des données, les administrateurs réseau sont directement informés.

La sécurité du cloud

La pandémie a accéléré l’adoption des solutions cloud par les organisations. D’après une étude menée par ManageEngine, 80 % des professionnels de l’informatique ont constaté une hausse massive de l’utilisation du cloud après la crise sanitaire. Cette transition accélérée engendre pourtant des vulnérabilités en matière de sécurité.

Une solution SIEM assure aussi la surveillance des activités cloud, y compris le Shadow IT, c’est-à-dire l’utilisation d’applications qui n’ont pas reçu l’aval des services informatiques.