Qu’est-ce qu’un système SIEM ? Définition et fonctionnement

Cette approche de la cybersécurité a été introduite par Gartner en 2005. La gestion des informations et des événements de sécurité (SIEM) consiste à collecter toutes les données générées par l’ensemble des systèmes hôte de l’infrastructure informatique de l’entreprise. Ces systèmes hôtes peuvent être des antivirus, des applications, des pare-feux et autres dispositifs de sécurité.

La solution SIEM les centralise au sein d’une plateforme pour les trier et mettre en avant les activités de logiciels malveillants, les connexions échouées, etc. Lorsque le Security Information and Event Management identifie une menace, l’équipe de sécurité reçoit aussitôt une alerte. Ceci est rendu possible grâce à la définition des règles en avance pour distinguer les menaces de priorité élevée et faible.

Prenons l’exemple d’un utilisateur qui se connecte infructueusement à sa messagerie professionnelle 25 fois en une heure. Le logiciel peut le considérer comme une menace. Néanmoins, l’équipe de sécurité peut la classer dans la priorité inférieure sachant que cela peut arriver à cause d’un simple oubli de mot de passe.

À l’inverse, plus de 100 tentatives en cinq minutes sur un compte sont considérées comme une menace prioritaire. Pour cause, de telles actions sont révélatrices d’une attaque par force brute.

A ses débuts, le logiciel SIEM exploitait uniquement les données provenant des journaux d’évènements et des appareils sur le réseau de l’entreprise. Il combinait deux fonctionnalités à savoir la gestion des évènements de sécurité (SEM) et la gestion des informations de sécurité (SIM).

Il a ensuite intégré plusieurs améliorations grâce à l’IA. SIEM comprend désormais l’analyse du comportement des utilisateurs et des entités (UEBA). L’utilisation de SIEM s’inscrit dans une démarche proactive de la cybersécurité. L’outil fonctionne comme une alarme qui avertit l’équipe de sécurité lorsqu’il détecte une menace potentielle. Aujourd’hui, il est devenu un outil indispensable au sein des centres des opérations de sécurité (SOC).

Face aux cybermenaces, les entreprises multiplient les couches de sécurité. Cela implique une augmentation des fournisseurs et des technologies utilisées. Les sondages révèlent que 85% des décideurs informatiques envisagent de réduire le nombre de fournisseurs pour renforcer leur sécurité. Cette solution n’enlève pas la complexité de la gestion de plusieurs outils.

Le logiciel SIEM facilite la gestion en centralisant une quantité massive de données sur un seul tableau de bord. Il filtre ensuite ces données avant de les hiérarchiser en fonction du niveau de gravité de la menace.

Ce tableau de bord centralisé offre une vue unique sur les notifications et les alertes. Il favorise ainsi la collaboration entre les différents services. Dès la détection d’une alerte, l’équipe de sécurité communique avec le service concerné pour une meilleure gestion de l’incident.

L’automatisation de la collecte et l’analyse des journaux allègent le travail de l’équipe de sécurité. Elle mobilise moins de ressources internes. Les solutions SIEM actuelles reposent sur l’IA. L’intelligence artificielle propose une automatisation avancée qui procure un gain de temps significatif. Le machine learning permet d’identifier des comportements d’utilisateurs complexes et de détecter des menaces en peu de temps.

Les solutions SIEM répondent aux enjeux de la cybersécurité actuels. Elles repoussent les limites de la détection et la réponse aux incidents. Les équipes de sécurité peuvent s’appuyer sur cet outil pour différents types de menaces :

• menaces internes : vol de données ou attaques provenant d’un salarié qui dispose d’un accès autorisé. L’IA identifie les comportements suspects comme le téléchargement d’un gros volume de fichiers par exemple.
• phishing : cette méthode est souvent utilisée pour tromper les utilisateurs et voler leurs identifiants de connexions et autres informations sensibles.
• logiciel malveillant de type ransomware qui peut verrouiller l’appareil d’un utilisateur. Dans le pire des cas, la victime doit payer une rançon en échange de l’accès à son ordinateur.
• attaque DDoS (déni de service distribué) : elle consiste à inonder les systèmes et les réseaux de trafic pour dégrader leur performance. Prenons l’exemple d’un site web, une hausse soudaine du trafic le rendrait inutilisable un certain temps.

Lorsqu’un incident de sécurité se produit, il est important d’en trouver la source pour mieux y répondre. Une solution SIEM peut effectuer les investigations numériques grâce aux données collectées à partir des journaux.

L’analyse se concentre sur les incidents antérieurs et actuels. Le résultat permet de mettre en place des mesures de sécurité plus efficaces.

Au-delà de l’analyse, la solution SIEM décharge aussi l’entreprise de l’élaboration des rapports de conformité. Il s’agit là de tâches fastidieuses qui mobilisent des ressources considérables (matériel et humaine). L’outil offre pourtant des audits en temps réel accompagnés de rapports.

A l’ère du numérique, les organisations doivent se conformer à plusieurs exigences de conformités relatives au stockage et l’analyse des journaux. La solution SIEM répond à toutes ses exigences. Ces réglementations devraient stimuler la croissance du marché dans les prochaines années. D’après une étude Data Bridge Market Research, le marché des solutions de Security Information and Event Management était évalué à 5,18 milliards de dollars en 2022. Ce chiffre devrait atteindre les 11,96 milliards d’ici 2030.

Dans ce contexte, les organisations feront face à une abondance des offres. Il est crucial d’identifier la solution qui répond à ses besoins. Les fournisseurs tentent de se démarquer en apportant une fonctionnalité innovante. Toutefois, une solution SIEM devrait au moins présenter les fonctionnalités de base suivantes :

Dans une entreprise de plus de 50 employés, surveiller chaque activité des utilisateurs devient impossible. Une solution SIEM assure cette tâche tout en analysant leur comportement. Elle élabore alors une ligne de base pour chaque utilisateur selon leur fonction. Dès qu’un écart de conduite est détecté, l’équipe de sécurité reçoit immédiatement une alerte. Certains outils attribuent même un score de risque à chaque utilisateur.

Le parc informatique d’une entreprise moderne est composé de dizaines de dispositifs : ordinateurs de bureau, portables, sites web, appareils mobiles, pare-feu, routeurs, etc. Avec l’essor du télétravail, l’entreprise entretient la politique du BYOD (bring your own device) qui augmente les risques liés au réseau.

La solution SIEM garantit une surveillance de chaque appareil qui compose le réseau. Elle identifie celui à l’origine d’une vulnérabilité ou d’une violation de données.

Par ailleurs, la surveillance d’Active Directory doit faire partie de ses principales fonctionnalités. Cela limite l’accès non autorisé aux ressources critiques.

Les entreprises, en fonction de leurs activités, traitent des informations sensibles sur leurs clients (coordonnées bancaires, informations personnelles, etc.). Elles ne sont pas à l’abri d’une fuite de données suite à une attaque de ransomware par exemple. Au-delà des dégâts financiers, cela peut nuire à leur réputation.

La solution SIEM doit être capable d’identifier les accès non autorisés en temps réel. Dès qu’un compte non autorisé tente d’accéder à des données, les administrateurs réseau sont directement informés.

La pandémie a accéléré l’adoption des solutions cloud par les organisations. D’après une étude menée par ManageEngine, 80 % des professionnels de l’informatique ont constaté une hausse massive de l’utilisation du cloud après la crise sanitaire. Cette transition accélérée engendre pourtant des vulnérabilités en matière de sécurité.

Une solution SIEM assure aussi la surveillance des activités cloud, y compris le Shadow IT, c’est-à-dire l’utilisation d’applications qui n’ont pas reçu l’aval des services informatiques.