Intelligence et automatisation grâce au Security Information & Event Management

S’offrir les services d’un security operation center, c’est surveiller les menaces et qualifier les incidents. Cette entité regroupe des compétences humaines pointues, assorties d’un security information & event management.

Lorsque les entreprises s’équipent d’un centre des opérations de sécurité (SOC), elles puisent dans les moyens en interne – pour celles dotées des ressources adéquates –, ou sollicitent un fournisseur de services dont l’offre est modulée sur plusieurs niveaux de services qui répondent aux besoins de sociétés de taille plus modestes (PME et ETI) et surtout, à leur budget. Un Soc s’appuie sur des ressources humaines pointues mais aussi sur des outils, notamment le Siem (security information & event management). Ce dernier joue en quelque sorte le rôle de maillon central d’un Soc, car il collecte et enregistre les données (à savoir les logs), les agrège, les uniformise, analyse les incidents et les évènements, puis en accélère la détection ainsi que les interventions. Techniquement, dans sa récolte de logs, le Siem puise dans plusieurs solutions (firewalls, CaSB, sécurité des endpoints, serveurs, routeurs, etc.) Les analystes, de leur côté, configurent des règles de corrélation selon la politique de sécurité préconisée afin de détecter d’éventuelles menaces.

DU SIEM AU XDR

Mais au-delà des règles classiques de corrélation, le security information & event management intègre toujours plus d’intelligence, par des moteurs dédiés, pour augmenter son efficacité dans l’analyse des logs en détectant les plus pertinents. Voilà qui revêt une importance d’autant plus grande au vu du volume exponentiel de logs à traiter, et qu’environ 75 % de ses tâches sont liées à la détection, au triage et à l’investigation. Par ailleurs, il est accompagné de l’indispensable outil de remédiation Soar (security orchestration automation & response) afin de piloter l’instrumentation du traitement des alarmes, et de proposer ainsi une réponse automatisée pour chaque type d’incident. De même, le Siem moderne offre des capacités XDR (extended detection & response) pour accroître la surveillance sur toute la surface d’attaque, et réduire le délai de détection des menaces. Dans certains cas, les plates-formes XDR, par leur intelligence embarquée, leur richesse fonctionnelle, leur niveau d’automatisation, leur implémentation simplifié et économique, pourraient à terme, en remplacer certains. Mais, les éditeurs poursuivent leurs efforts afin de rendre leur plate-forme plus aisée à utiliser. À en croire les éditeurs représentés dans cette enquête, l’intuitivité et l’ergonomie font partie des critères de choix surtout auprès des PME et des ETI, lesquelles ne possèdent pas forcément les compétences dédiées en interne. Dans un souci de simplification, les éditeurs font appel à beaucoup d’automatisation et ce, de la source jusqu’à la remédiation.

ACCOMPAGNEMENT SUR MESURE

Le Siem est considéré comme un marché mature et assez morcelé entre de nombreux acteurs : les leaders déjà, avec IBM, Splunk, etc., classés dans le Magic Quadrant du Gartner 2021 qui côtoient des éditeurs de logiciels de sécurité comme McAfee, Trend Micro ou encore Fortinet. Un point commun les unit : ils commercialisent leur solution en indirect par l’intermédiaire de profils variés de revendeurs (intégrateurs, opérateurs de Soc et MSSP). L’accompagnement reste l’un des points clés d’une bonne relation avec les revendeurs, car le Siem est une solution complexe, malgré les efforts importants fournis par les éditeurs dans la simplification de leur plate-forme.