Mayday ! Les cyber-attaques se multiplient, les alertes explosent dans les Security Operations Centers (SOC) et les équipes techniques ne savent plus où donner de la tête pour répondre à la demande. Pas de panique : les solutions SIEM peuvent faire la différence et permettre d’assurer la sécurité des systèmes d’information, tout en participant aux besoins de conformité des entreprises. On vous explique comment.
Quand le burn out menace les équipes informatiques…
Une récente étude de l’un des leaders mondiaux de solutions de cybersécurité souligne que près de 51% des équipes informatiques sont en situation de surmenage et n’arrivent plus à assurer la gestion quotidienne des alertes. Au-delà du risque psychologique humain, ce chiffre souligne que de nombreux incidents informatiques ne sont pas analysés, avec toutes les conséquences que cela peut avoir pour la sécurité de l’entreprise. Pour faire face à la pression, il devient urgent d’automatiser les SOC pour renforcer la collaboration homme-machine et offrir une meilleure couverture sécuritaire. Il s’agit ici de s’appuyer sur des solutions informatiques de détection, d’analyse et de réponse aux menaces, comme le SIEM.
Faites plus largement confiance au SIEM !
Bien que présent sur le marché depuis plusieurs années, le SIEM n’est utilisé que par un nombre réduit d’experts. Retour rapide sur cet outil incontournable, identifié par le Gartner dès 2005. Concrètement le SIEM – pour Security Information and Event Management – est un système centralisé qui surveille et contrôle l’activité d’un réseau. Les équipes informatiques y configurent des règles de corrélation pour le guider dans la détection des menaces. L’avantage du SIEM est qu’il est capable de traiter un volume important de données en un temps record, et de signaler les comportements inhabituels ou suspects. En centralisant et uniformisant toutes les données, le SIEM facilite le travail des analystes de sécurité qui trouvent dans ce terminal unique toutes les informations pertinentes et hiérarchisées dont ils ont besoin pour sécuriser le réseau.
L’avènement des nouvelles générations de SIEM as a Service
S’ils présentent donc de nombreux avantages, les SOC et SIEM traditionnels sont parfois coûteux à mettre en place, et peu adaptés aux environnements IT actuels qui privilégient les systèmes hybrides et le Cloud. Mais c’est sans compter les nouvelles solutions qui émergent aujourd’hui (comme la récente plateforme SEKOIA). Elles permettent de mieux comprendre et anticiper les menaces, de les détecter, de les trier et de les faire remonter aux analystes dans un format contextualisé, compatible avec les environnements cloud, SaaS, on-premise ou en Open Source. Enfin – et c’est sans doute là leur principal atout – les nouveaux SIEM automatisent les réponses et maximisent leur efficacité au moyen d’un module de SOAR intégré.
En plus d’être un support technique précieux, le SIEM engage des enjeux qui sortent du territoire du SOC et renvoient à la gouvernance de l’entreprise. Trois ans après l’entrée en vigueur du règlement général sur la protection des données personnelles en Europe (RGPD), la question de la conformité est au cœur de la collecte des informations nécessaires au fonctionnement d’un système d’information reposant sur un SIEM. Intégrée dès les étapes de configuration, cette problématique peut être en partie gérée par l’outil. Une qualité de plus pour une solution dont les SOC auraient bien tort de se priver !
Par Fabien Azra, octobre 2021