Le SIEM (Security Information Event Management)

Un SIEM c'est quoi ?

Le SIEM (Security Information Event Management) est un ensemble complexe de technologies conçues pour fournir une vision et une clarté sur le système informatique de l’entreprise dans son ensemble, généralement utilisé au sein des équipes SOC de sécurité mais également par les administrateurs/ingénieurs system et réseaux. 

Voici quelques points essentiels concernant le SIEM :

1. Surveillance de base : Le SIEM permet la recherche dans le pool de journaux et la production de rapports. C’est l’une des applications les plus simples du SIEM.
2. Détection des menaces : Le SIEM collecte, agrège et analyse en temps réel d’importants volumes de données issues des applications, appareils, serveurs et utilisateurs d’une organisation. Cela permet aux équipes chargées de la sécurité de détecter et de bloquer les attaques².
3. Enquête sur les incidents de sécurité et intervention en cas d’incident : Le SIEM aide à identifier, documenter et parfois répondre aux évènements qui portent atteinte à la sécurité du système informatique. Il permet de réagir rapidement en cas d’incident.
4. Contrôle de la conformité : Le SIEM surveille la conformité aux politiques de sécurité et aux réglementations en vigueur.
5. Conservation des journaux : Le SIEM stocke et gère les journaux d’événements des différentes plateformes qui compose le SI (AD, Routeur, Firewall, Switch, etc.), ce qui est essentiel pour l’analyse et la rétroactivité.

Les fonctionnalités du SIEM

Avant de choisir une solution SIEM, vous devez connaître les bases du SIEM, ce que vous devez rechercher dans un outil SIEM, ainsi que les avantages et les inconvénients de l’évaluation de solutions SIEM gratuites ou open source par rapport à un logiciel d’entreprise. 

Une solution SIEM, ou Security Information and Event Management, couvre deux domaines jusqu’ici appréhendés séparément : la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM). Aujourd’hui encore, ces termes sont souvent utilisés l’un pour l’autre, alors qu’il existe des différences subtiles mais importantes. 

Un logiciel SEM suit les journaux d’événements réseau en continu, ce qui nécessite des analyses à court terme et de résoudre les perturbations. Un logiciel SIM stocke et analyse d’importants volumes de données réseau historiques et donc permet de prévoir des menaces futures. L’objectif est de combiner ces efforts de sécurité à court terme et à long terme en une solution SIEM unifiée. Que vous recherchiez une solution SIEM payante, gratuite ou open source, recherchez des outils présentant les fonctionnalités suivantes :

• Journaux d’événements : à la base, les journaux d’événements constituent le cœur du SIEM. La collecte de tous les événements sur votre réseau permet de détecter les anomalies en temps réel et d’examiner les perturbations.
• Détection des intrusions : une bonne solution SIEM ne suit pas seulement le comportement de votre réseau, elle peut également analyser ces données quasiment en temps réel. Sans contexte, les données sont inutiles. Par exemple, de nombreux échecs de tentative de mot de passe d’utilisateur peuvent ne présenter aucun risque, alors que des tentatives simultanées au niveau du système peuvent constituer une attaque de force.
• Alertes automatisées : outre l’analyse et la détection des intrusions, les systèmes SIEM doivent notifier les administrateurs réseau.
• Détection des menaces intelligente/par IA : un bon système SIEM doit non seulement détecter les intrusions, mais aussi anticiper et prédire les menaces futures. Cela requiert des flux d’informations sur les menaces les plus récentes, à comparer à des données récentes et d’archive.
• Filtrage et stockage des données : les journaux d’événements produisent d’énormes quantités de données dont la maintenance doit être effectuée via l’analyse des archives. Tout comme la journalisation des événements, le filtrage et le stockage des données sont importants pour détecter les anomalies et analyser les problèmes a posteriori. Les solutions SIEM doivent fournir des filtres utiles pour garantir que les données sont ciblées et utiles, ainsi que permettre aux utilisateurs de stocker ces données de façon accessible et économique.
• Visualisation : la présentation des données et de l’évaluation des menaces dans un format graphique est une aide considérable pour les fonctions de sécurité. Elle devient une norme pour les logiciels SIEM, soit sous forme d’une fonction intégrée, soit fournie par un complément tiers.
• Compatibilité : le logiciel SIEM doit être compatible avec le réseau existant des utilisateurs afin de fournir une vue d’ensemble des événements.
• Conformité : dans certains secteurs d’activité, les logiciels SIEM doivent contribuer à la conformité réglementaire.

De nombreuses petites organisations qui commencent juste à journaliser et analyser les données ont tendance à opter pour les outils SIEM gratuits et/ou open source. Ils sont bien sûr moins chers. Au fil du temps, de nombreux départements informatiques trouvent qu’ils demandent trop d’efforts et peuvent opter pour un produit plus professionnel. Peu de départements informatiques sont satisfaits par une option SIEM gratuite à long terme.

Les 10 meilleurs outils

1. SolarWinds Security Event Manager (SEM) : SEM offre une période d’évaluation gratuite de 30 jours. Il est idéal pour la sécurité, la journalisation des événements et la conformité (HIPAA, PCI DSS, SOX, etc.). 
2. Threat Monitor : Également de SolarWinds, Threat Monitor propose une version d’évaluation entièrement fonctionnelle de 14 jours. Il vous protège contre les vulnérabilités en temps quasi réel et offre des réponses automatisées, des rapports de conformité et des index détaillés¹.
3. Splunk Free : Bien qu’il existe une version payante plus complète, Splunk Free est un excellent logiciel SIEM. Il fournit une vue d’ensemble complète de la sécurité et est facile à parcourir malgré sa complexité¹.
4. LogRhythm NextGen SIEM : LogRhythm propose une solution SIEM avancée avec des fonctionnalités de détection des menaces et de réponse automatisée².
5. IBM QRadar : QRadar est un outil SIEM puissant qui offre une surveillance en temps réel, une analyse des menaces et une conformité aux réglementations².
6. Google Cloud Security Command Center : Ce service de Google Cloud offre une visibilité complète sur la sécurité de vos ressources cloud³.
7. Datadog : Datadog est un outil de surveillance et de sécurité qui peut également être utilisé comme SIEM. Il offre une vue unifiée de vos données de sécurité et d’infrastructure³.
8. JumpCloud Directory Platform : Bien qu’il ne soit pas exclusivement un outil SIEM, JumpCloud offre des fonctionnalités de gestion des identités et des accès qui peuvent contribuer à la sécurité globale de votre organisation³.
9. Splunk Enterprise Security : La version payante de Splunk offre des fonctionnalités avancées pour la sécurité, la conformité et la détection des menaces.
10. Google Cloud Security Command Center : Ce service de Google Cloud offre une visibilité complète sur la sécurité de vos ressources cloud.

La directive NIS 2 et le SIEM

La directive NIS2 va devenir le nouvel ensemble d’obligations de cybersécurité pour les organisations de nombreux secteurs jugés critiques pour l’économie.

Les 27 États membres de l’UE devront intégrer ces nouvelles obligations dans leur législation nationale avant septembre 2024.

Ces obligations englobent notamment une réduction du délai de déclaration des incidents (première alerte sous 24 heures) et l’application de mesures de gestion du cyber-risque.

En cas de non-conformité, les amendes sont élevées, et les cadres dirigeants auront de nouvelles responsabilités dans le domaine de la cybersécurité. Des mesures seront appliquées au moyen d’inspections sur place et d’audits, et les cadres pourront être suspendus voire interdits d’exercice

Le SIEM  ne peut pas déployer vos stratégies de cryptographie et de sécurité à votre place, mais il est essentiel que vous puissiez superviser le bon fonctionnent de ces mesures une fois en place. Mais il vous permettra au regard de la directive NIS2 de : 

• Fournir les données nécessaires pour une prise en charge et une réponse plus performantes face aux incidents, à ceux qui en ont besoin, quand ils en ont besoin. Le but est à la fois de respecter l’exigence de notification d’incident sous 24 heures de NIS2 et d’augmenter l’efficacité de l’analyse des causes profondes pour le rapport sous 72 heures ;
• Collecter et analyser des données sur les incidents de sécurité et l’exposition aux risques en temps réel, 
• Déterminer rapidement la disponibilité des services critiques, exploiter les données pour trouver la cause profonde des interruptions de service et collaborer avec les équipes opérationnelles pour résoudre l’incident ;
• Détecter les cyberattaques plus rapidement et plus en amont de la chaîne d’attaque, grâce à des détections basées sur des règles, des statistiques et le ML.
• Exploiter de puissantes pratiques d’ingénierie de détection et accélérer la mise en production de nouvelles techniques de détection pour une amélioration rapide de la couverture et de la visibilité ;
• Auditer l’accès aux données, y compris sur des volumes importants, pour vérifier que les stratégies fonctionnent et que les données sont traitées de manière sécurisée et conforme ;
• Superviser l’application des correctifs, créer un inventaire des actifs et vérifier la mise en œuvre des stratégies de cyberhygiène pour suivre l’exposition aux risques et présenter facilement des informations de sécurité, pour les audits réguliers comme pour les demandes ponctuelles des organismes de régulation ;

Conclusion

Les solutions SIEM doivent fournir une surveillance et une protection à court terme et à long terme, avec un minimum d’efforts et de dépenses pour la configuration et la personnalisation. Si votre entreprise commence seulement avec le SIEM ou est une petite entreprise, consultez ces produits SIEM gratuits et open source.