SIEM Buyer's Guide
Guide

Guide de l'acheteur de logiciel SIEM

Ce n’est un secret pour personne que les menaces pour la sécurité augmentent, et qu’elles peuvent provenir de sources aussi bien internes qu’externes. Outre lesmenaces constantes des pirates informatiques cherchant à violer les protocoles de sécurité protégeant vos informations sensibles, un autre souci de plus en plus préoccupant émane des employés qui configurent accidentellement les paramètres de sécurité d’une façon qui ouvre de fait la porte aux attaques. Pour résoudre ces problèmes, les organisations informatiques ont mis en place divers systèmes de protection contre les intrusions et une multitude de différents risques.

L’inconvénient de ces dispositifs de protection est qu’ils génèrent tellement de données de surveillance que les équipes informatiques sont alors confrontées au problème de l’interprétation d’un tel volume de données pour identifier les problèmes réels. En fait, le volume de données de sécurité transmises aux groupes de sécurité informatique en sous-effectif est en grande partie inutile, sauf s’il peut être rapidement analysé et filtré en alertes exploitables. Compte tenu de la masse de données en question, il n’est plus possible pour les organisations de recourir à l’analyse manuelle pour gérer cela.

C’est là précisément que le logiciel SIEM entre en jeu.

Présentation de la SIEM

La SIEM — ou gestion des informations et des événements relatifs à la sécurité — est un type de logiciel ayant pour but de donner aux organisations des indications utiles sur les menaces potentielles pour la sécurité dans les réseaux critiques de l’entreprise. Cela est possible grâce à la collecte et à l’analyse centralisées des données de sécurité normalisées extraites de divers systèmes, notamment des applications anti-virus, des pare-feu et des solutions de prévention des intrusions.

Gartner a inventé le terme SIEM (prononcer « SIM ») dans un rapport de 2005 intitulé « Improve IT Security With Vulnerability Management » (Améliorer la sécurité informatique grâce à la gestion des vulnérabilités). Ce terme réunit les concepts de gestion des événements de sécurité (SEM) et de gestion des informations de sécurité (SIM) pour tirer le meilleur des deux approches. La SEM couvre la surveillance et la corrélation des événements en temps réel ainsi que le déclenchement d’alertes concernant la configuration et les vues de console liées à ces activités. La SIM fait passer ces données à la phase suivante, qui comprend le stockage, l’analyse et les rapports de conclusions

Pourquoi la SIEM est-elle importante pour les entreprises aujourd’hui ?

Avec la SIEM, vous disposez d’une méthode efficace pour automatiser les processus et centraliser la gestion de la sécurité d’une manière qui simplifie la difficile tâche que constitue la protection des données sensibles. La SIEM vous donne une longueur d’avance pour comprendre la différence entre une menace à faible risque et une menace potentiellement dangereuse pour l’entreprise.

Le logiciel SIEM fournit des informations exploitables qui vous permettent de gérer les vulnérabilités potentielles de manière proactive en temps réel, protégeant ainsi votre entreprise et vos clients contre les violations de données désastreuses. Avec la fréquence toujours croissante de ces attaques, cette technologie est plus importante que jamais.

Aiguisez votre vue

La SIEM est aujourd’hui un composant essentiel de votre boîte à outils informatique de sécurité. C’est une sorte de zoom qui vous permet d’aiguiser votre vue dans une perspective globale, et de concentrer les efforts là où ils auront le plus d’impact. Cela est particulièrement important dans les situations impliquant des menaces émergentes, lorsque la capacité à collecter et à analyser les données entrantes favorise la rapidité avec laquelle les analystes peuvent investiguer et résoudre les problèmes.

Aperçu des principales capacités de la SIEM

  • Centraliser la vision des menaces potentielles
  • Déterminer quelles menaces nécessitent des mesures correctives et quels événements sont sans conséquences
  • Faire remonter les problèmes aux analystes de sécurité appropriés capables de prendre des mesures rapides
  • Inclure le contexte des événements de sécurité afin de permettre des correctifs bien ciblés
  • Documenter les événements détectés et la manière dont ils ont été résolus dans une piste d’audit
  • Démontrer la conformité aux principales réglementations du secteur dans un format de rapports pratique

Comment la SIEM a-t-elle progressé au fil des ans ?

  • Intégration avec d’autres outils de sécurité : La SIEM extrait les données des applications anti-virus, les données de connexion, etc. pour vous donner une image globale de votre environnement. Cela vous aide à évaluer les impacts potentiels sur la sécurité des informations stockées sur site, dans le nuage ou dans une configuration hybride.
  • Données légales : La SIEM vous donne la possibilité de creuser dans les détails d’un incident de sécurité pour déterminer exactement ce qui s’est passé et quels équipements ont pu être affectés.
  • Piste d’audit : Pour répondre aux exigences de conformité, il faut pouvoir générer une piste d’audit détaillée de vos pratiques et des événements de sécurité, ce que la SIEM permet grâce à des rapports détaillés.
  • Données normalisées : La transmission des données de sécurité dans une vue centralisée de votre infrastructure n’est efficace que si ces données peuvent être normalisées. Cela signifie que malgré les milliers ou millions d’entrées provenant des différents systèmes et sources, tout peut être mis dans un format commun prêt pour que la solution SIEM puisse effectuer l’analyse et la corrélation. Cela allège la charge de travail de votre équipe et lui permet de bénéficier d’une vision rationalisée de l’activité et des problèmes potentiels.
  • Corrélation : Souvent, la mise en corrélation d’enregistrements ou d’événements particuliers (par exemple, une connexion qui vient d’être créée puis utilisée pour accéder à des informations sensibles) vous permet de clarifier la situation dans son ensemble et d’identifier les activités malveillantes dès qu’elles se produisent.

Principales caractéristiques d’une solution SIEM efficace

Étant donné le nombre de solutions SIEM sur le marché aujourd’hui et les capacités décrites précédemment, il est utile de comprendre les caractéristiques dont vous avez besoin pour soutenir vos efforts. Tenez compte de ces aspects pour évaluer vos options.

Hiérarchisation des événements de sécurité

Il est impossible de garder une longueur d’avance si votre équipe de sécurité est débordée par des investigations sur des événements de sécurité sans importance. Vous devez déterminer quels sont les événements les plus critiques et ceux qui sont moins prioritaires. Cherchez une solution qui facilite le processus de hiérarchisation grâce à des commandes intégrées qui peuvent être ajustées en fonction de vos besoins.

Normalisation des sources de données disparates

Les organisations s’appuient sur de multiples technologies pour gérer leurs activités. Cela rend la tâche des équipes de sécurité difficile pour comprendre les données qui proviennent de ces sources disparates. La SIEM transforme ces données en renseignements exploitables en les normalisant dans un format commun et en leur donnant un sens. Avec une solution fiable, les analystes n’auront pas besoin de comprendre les subtilités des différents systèmes d’exploitation, applications, bases de données, pare-feu ou équipements réseau pour savoir ce que les données signifient et quoi en faire.

Enrichissement des données

Recherchez la capacité d’obtenir un contexte supplémentaire aux événements.de sécurité pour une réactivité rapide et précise. L’enrichissement des données met à votre disposition tous les détails nécessaires sur l’événement et l’analyse légale. Par exemple, si un nouvel utilisateur est créé et qu’il se connecte immédiatement à un système critique, la SIEM peut reconnaître qu’il s’agit d’un comportement anormal et faire remonter l’incident pour investigation.

Détection des menaces en temps réel

Afin de minimiser l’impact d’une intrusion, vous devez détecter rapidement les menaces. Cela signifie avoir la possibilité d’enregistrer, de corréler et de hiérarchiser les événements en temps réel pour donner à votre équipe une longueur d’avance dans la résolution et l’atténuation des menaces avant que celles-ci n’aboutissent à une intrusion désastreuse.

Réponse optimisée aux incidents

Faites remonter automatiquement les événements à la bonne personne et gérez les cas qui nécessitent une investigation plus approfondie afin de rendre votre équipe plus efficace.

Mesures de sécurité prêtes à l’emploi

Lorsque vous connectez de nouvelles sources de données, comme des serveurs Windows® ou des bases de données Oracle®, assurez-vous de pouvoir appliquer automatiquement les contrôles de sécurité et règles d’escalade appropriés. Les modèles de sécurité prédéfinis permettent de démarrer rapidement et sont configurables selon les besoins.

Rapports sur la sécurité et la conformité

Les équipes chargées des opérations informatiques et de la sécurité sont tenues de fournir de façon régulière des rapports aux auditeurs et aux dirigeants. La plupart des organisations doivent également se conformer à de nombreuses réglementations, ce qui crée de la complexité et du travail de production de rapports. Le fait de disposer d’un puissant moteur de génération de rapports dans votre SIEM facilite la publication de rapports sur les données de journal, les événements et les activités de réponse aux incidents. Les rapports de conformité générés par la SIEM peuvent même vous aider à montrer comment votre maintien de la sécurité s’améliore au fil du temps.

Les caractéristiques essentielles

Investissez dans une solution dotée du niveau de fonctionnalités qui réponde à vos besoins, et suffisamment rationnelle pour que votre équipe soit en mesure de l’utiliser facilement au quotidien. Vous ne voulez pas vous retrouver coincé avec un outil compliqué ou coûteux, susceptible de vous empêcher de mettre en oeuvre d’autres contrôles essentiels dans votre organisation.

Autres critères à évaluer

Outre les considérations de fonctionnalité, d’autres critères de la solution SIEM détermineront son succès à long terme et sa facilité d’utilisation pour votre organisation

Solutions d’entreprise vs. open source

Certaines solutions SIEM entrent dans la catégorie entreprise, ce qui signifie qu’elles disposent d’une équipe de développement dédiée qui se consacre à l’amélioration du produit ainsi qu’à l’assistance clientèle. D’autres sont construites sur le modèle open source et reposent sur une large communauté de développeurs pour l’assistance et la correction des bogues. Les solutions SIEM open source fournissent des fonctionnalités de base qui peuvent être très utiles aux petites organisations qui commencent tout juste à enregistrer et à analyser les données de leurs événements de sécurité. Mais au fil du temps, beaucoup de professionnels de l’informatique trouvent que les logiciels SIEM open source nécessitent trop de travail pour être une option viable à mesure que l’organisation se développe. En outre, certaines entreprises ont des politiques qui empêchent la mise en oeuvre de solutions open source. Assurez-vous donc de bien comprendre les avantages et les inconvénients de chaque approche et ce qui est autorisé dans votre organisation.

Automatisation

Certaines parties du processus SIEM peuvent être automatisées pour gagner du temps et accélérer le partage des informations au sein de votre équipe. Les notifications peuvent également être acheminées à la personne appropriée en fonction de l’événement ou de la source de données. Par exemple, un événement de détection de virus provenant de votre environnement Linux peut être acheminé directement à votre administrateur Linux, qui saura mieux que quiconque comment isoler rapidement le système et remédier à l’infection avant qu’elle ne se propage dans l’environnement.

Mise en oeuvre et formation

Chaque fournisseur de logiciel a un processus différent en ce qui concerne la mise en oeuvre de sa solution et la façon dont votre équipe peut bénéficier d’une formation. Il est essentiel de comprendre les options qui s’offrent à vous Autres critères à évaluer
concernant ces services afin de savoir combien de temps il faudra pour mettre le logiciel en service et commencer à bénéficier de ses avantages de façon réaliste. Les solutions intuitives nécessitent un minimum de formation initiale pour obtenir des résultats qui profitent à votre organisation. Les solutions plus complexes exigent que votre équipe investisse beaucoup de temps en formation et dans les activités régulières de réglage du système.

Les services professionnels fournissent généralement des services d’intégration, de développement et de conseil. Si vous ne disposez pas des ressources nécessaires pour mettre en oeuvre la solution, ou si vous souhaitez que le fournisseur vous aide pour la migration vers la nouvelle solution, assurez-vous de demander si ces services sont fournis.

La formation doit vous donner une connaissance approfondie de la solution. Lorsque vous demandez des détails sur la formation, pensez à poser les questions suivantes au fournisseur :

  • Les coûts de formation sont-ils les mêmes quel que soit le nombre de participants à la session ?
  • La formation est-elle interactive ou présentée de façon académique par le formateur ?
  • Y a-t-il des programmes de cours consultables avant d’acheter les sessions ?
  • Pouvez-vous personnaliser le contenu de la formation ?

Assistance

Évaluez les options d’assistance à la clientèle du fournisseur. Sont-elles accessibles 24 heures sur 24, 7 jours sur 7 ? Pouvez-vous communiquer sur des questions par Internet, téléphone, messagerie instantanée ? L’assistance est-elle externalisée ou gérée localement ? Il est important de réfléchir à toutes ces considérations pour assurer la validité et la pertinence à long terme de votre application SIEM.

Autres considérations de coût

Méthodes d’octroi de licences et de déploiement

Certains fournisseurs de logiciel SIEM facturent en fonction de la quantité de données générées ou du nombre de systèmes gérés par la solution, tandis que d’autres ont simplement une approche forfaitaire. De même, les modèles de déploiement peuvent être sur site ou dans le nuage, et certaines solutions utilisent des agents alors que d’autres non. Un agent est un code qui doit être placé entre les points d’extrémité/systèmes afin de permettre l’envoi d’informations du système surveillé à la solution SIEM pour normalisation et évaluation. Les applications sans agent se connectent automatiquement aux systèmes qu’elles surveillent pour simplifier l’administration. Découvrez comment les différences entre les offres que vous évaluez peuvent affecter votre coût de possession global total.

Retour sur investissement

La capacité de détecter les menaces et de les faire échouer aura un retour sur investissement important pour votre entreprise, mais peut être difficile à quantifier. Concentrez-vous sur l’efficacité que la solution SIEM apporte à votre organisation informatique et sur le temps qu’elle fait gagner grâce au regroupement des multiples sources d’informations relatives à la sécurité. Vous pouvez évaluer comment la solution SIEM vous aide :

  • Centraliser la vision des menaces potentielles
  • Déterminer quelles menaces nécessitent des mesures correctives et quels événements sont sans conséquences
  • Faire remonter les problèmes aux analystes de sécurité appropriés capables de prendre des mesures rapides
  • Inclure le contexte des événements de sécurité afin de permettre des correctifs bien ciblés
  • Documenter les événements détectés et la manière dont ils ont été résolus dans une piste d’audit
  • Démontrer la conformité aux principales réglementations du secteur dans un format de rapports pratique

Impact sur les effectifs

Certaines solutions nécessitent un personnel spécialisé pour faire fonctionner le logiciel et gérer l’interface des événements. D’autres sont un peu plus légères et peuvent probablement être gérées par votre personnel actuel. Déterminez si la nouvelle application SIEM nécessitera des effectifs supplémentaires pour la gestion quotidienne, et si ce coût figure dans votre budget actuel.

Rôle de la SIEM dans la conformité réglementaire

La SIEM a gagné en popularité auprès des grandes entreprises qui s’efforcent de se conformer à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS). En outre, elle comprend des applications très utiles pour vous aider à respecter la règlementation de l’UE concernant le règlement général sur la protection des données (RGPD), la loi Sarbanes-Oxley (SOX), etc. Ces lois exigent des organisations qu’elles mettent en place des mécanismes pour détecter les menaces et les résoudre rapidement. Cela signifie que vous devez savoir ce qui se passe dans une infrastructure informatique de grande envergure pouvant couvrir des environnements sur site, en nuage et hybrides.

Une solution SIEM est essentielle pour mettre en place le bon type d’intelligence afin de surveiller les données et de réagir rapidement en cas de menaces jugées alarmantes. Lorsque toute cette activité est capturée dans une piste d’audit détaillée, les auditeurs peuvent voir que votre organisation prend les mesures nécessaires pour protéger ses données.

Liste de contrôle des exigences

 

Après avoir réfléchi aux caractéristiques et autres options dont vous aurez besoin dans votre solution SIEM, il est utile d’élaborer une liste de contrôle des exigences pour évaluer les différentes offres du marché et leur adéquation à vos besoins.

Vous trouverez ci-dessous un exemple de liste de contrôle pour vous aider à démarrer.

 

Exigence Fournisseur 1 Fournisseur 2 Fournisseur 3
La solution prévoit des contrôles d’accès basés sur les rôles pour la séparation des attributions.
Les règlements de sécurité dont j’ai besoin, tels que ____ (par exemple, PCI DSS, HIPAA, SOX, BCRA, FISMA), sont pris en charge par la solution.
La solution recueille les journaux et les événements des sources et types de systèmes dont j’ai besoin, tels que _____ (par exemple, Linux, AIX, Windows, IBM i, VMware, dispositifs réseau,
bases de données).
La solution met en corrélation les événements de sécurité en temps réel
La solution stocke les données historiques sur le long terme pour soutenir les exigences de conformité..
La solution fonctionne pour des cas d’utilisation multiples, y compris des projets non liés à la sécurité tels que les opérations informatiques.
Elle est facile à utiliser et ne nécessite pas de programmation complexe ni de personnel spécialement qualifié.
La solution est évolutive avec une tarification sans surprise.
La solution est soutenue par une entreprise qui a fait ses preuves en fournissant des logiciels fiables et en réalisant des investissements et améliorations supplémentaires.
La solution ne se limite pas à une installation uniquement sur site ; les spécialistes de la sécurité doivent prendre en charge des modèles hybrides et basés sur le nuage en premier.
Il existe un écosystème ouvert qui permet des configurations utilisateur afin de prendre en charge des cas d’utilisation spécifiques.
Le tableau de bord permet de trier et de filtrer les données en quelques clics de souris.
Il existe des rapports intégrés avec des modèles de rapport configurables.
La solution comporte une piste d’audit complète des activités des analystes de la sécurité.
La solution surveille l’activité des utilisateurs pour repérer les tentatives de violation et découvrir les abus.
La solution classe automatiquement les menaces par ordre de priorité et les attribue aux analystes.
La solution prend en charge la consignation des journaux d’application et des événements via des interfaces par menu simples.
La solution permet d’identifier les événements notables, d’indiquer leur gravité et d’afficher leur état.
La solution peut effectuer des recherches ad hoc sur les données des événements et des journaux.
La solution traduit les données provenant de sources multiples dans un format commun pour en faciliter l’analyse.
 

 

Vous avez votre liste restreinte de fournisseurs — et ensuite ?

Déterminer votre budget

Pour déterminer le montant que vous souhaitez dépenser dans une solution SIEM, prenez en compte ce qui est et n’est pas inclus dans le prix. Les questions à poser à l’équipe commerciale du fournisseur sont les suivantes :

  • Puis-je obtenir une licence pour des modules spécifiques ?
  • Puis-je louer le logiciel ?
  • Proposez-vous des licences basées sur l’utilisateur ou le fournisseur, ou les utilisateurs et les fournisseurs sont-ils illimités ?

Au-delà des licences initiales de logiciel, la plupart des acheteurs achètent un pack d’assistance et une maintenance annuelle, afin de pouvoir mettre à niveau vers la dernière version du produit dès qu’elle est disponible. Pensez également à tous les investissements optionnels que vous souhaiteriez intégrer au produit, tels que des services professionnels (par exemple, assistance à la migration et à la mise en oeuvre, formation au logiciel) ou des modules complémentaires qui élargissent ce que vous pouvez faire avec votre solution SIEM.

Examiner les ressources des fournisseurs

Prenez le temps d’explorer les ressources SIEM de chaque fournisseur. De bonnes ressources, comme la documentation en ligne et les vidéos pédagogiques, vous indiquent qu’un fournisseur ne se consacre pas seulement au développement de logiciel puissant, mais qu’il s’efforce également de vous aider à comprendre tout ce que le produit peut faire pour votre organisation.

Demander une démo

Une fois que vous aurez réduit le choix aux deux ou trois qui semblent répondre aux besoins de votre organisation, invitez les parties prenantes de la décision d’achat à des démonstrations personnalisées en direct. Elles durent généralement une heure et sont gérées par les experts SIEM du fournisseur.

Allez-y préparé et posez les questions qui vous aideront à évaluer complètement chaque solution et à répondre à vos interrogations. Lors de chaque démo, n’oubliez pas que vous évaluez non seulement le logiciel, mais aussi les représentants du fournisseur et leur professionnalisme. Comme ils seront votre partenaire SIEM dans les années à venir, vous devez avoir confiance dans leurs capacités.

Tester la solution

Pour la solution qui suscite vraiment votre intérêt, déterminez si vous voulez demander au fournisseur un essai du logiciel. Cela signifie l’installer sur votre réseau pour avoir une vision réelle de son fonctionnement. L’essai dure généralement 14 à 30 jours et vous permet de tester des scénarios avec tous vos paramètres actuels.

Prêt pour la prochaine étape ?
Laissez nos experts vous montrer ce qui rend Powertech Event Manager si efficace, tout en étant facile à utiliser.