Avis d’experts
« Chaque RSSI doit définir ses propres critères de choix »
Julie Gommes,
auditeur senior en sécurité des systèmes d’information
« Il existe une offre assez riche en termes de SIEM sur le marché. L’important pour le RSSI est de bien travailler en amont sur l’analyse des risques, des menaces spécifiques qui peuvent viser son entreprise avant d’orienter son choix. Les solutions présentent de vraies différences fonctionnelles, certains sont plus simples à paramétrer que d’autres. Le RSSI doit élaborer sa liste de critères et les pondérer en fonction des priorités de l’entreprise et de cette analyse de risque préalable, s’il dispose d’un CERT ou pas, etc. Certaines entreprises vont limiter l’action du SIEM a la surveillance d’équipements critiques, parfois très simples comme les systèmes de sauvegarde. Pour d’autres, comme les grandes entreprises très réparties géographiquement, avec des ressources informatiques sur lesquelles le RSSI n’a pas toujours un contrôle étroit, élargir le rôle du SIEM peut être extrêmement pertinent. »
« Il faut évoluer vers une notion de plateforme complète de sécurité. »
Filippo Cassini,
vice-président System Engineering Worldwide chez Fortinet
« Fortinet a construit une solution baptisée Security Fabric. Il s’agit d’une approche d’intégration via des API entre nos produits et des produits tiers qui permet de réellement créer une plateforme de sécurité où les différents équipements vont pouvoir s’échanger des informations entre eux. L’anti-spam va ainsi pouvoir prévenir les autres équipements qu’une campagne de malware est en cours. L’antispam va analyser le contenu du message, tester le message dans une sandbox et, si un comportement dangereux est détecté, celui-ci va pouvoir avertir les pare-feu, les pare-feu applicatifs (WAF), le message et ses URL seront mises en blacklist sur le réseau du client, bloqué à chaque niveau. C’est cette approche plateforme de sécurité que nous poussons aujourd’hui après de nos clients. »
« Les SIEM vont devoir traiter de plus en plus de logs »
Jean-Marc Boursat,
Manager Offer Unit Risk&Security Devoteam
« Il faut tenir compte de deux critères majeurs dans le choix d’un SIEM. Le SIEM doit collecter des volumes de données de plus en plus importants et effectuer des traitements de plus en plus nombreux et complexes. Seules les technologies Big Data sont en mesure de répondre à ces enjeux. Le SIEM nouvelle génération se doit d’utiliser ces technologies et même être capable de se connecter au Data Lake de l’entreprise. Cette marche vers le Big Data est une tendance lourde et si les SIEM traditionnels évoluent en ce sens, des éditeurs Big Data, tels que Securonix issu de la détection de fraude, sont, selon moi, une alternative prometteuse. Un deuxième point clé réside sur la capacité de détection proposée par l’éditeur de SIEM et l’enrichissement en continu de sa solution par de nouveaux scénarios de détection clé en main, faciles à déployer. Cette capacité peut être renforcée par de l’intelligence artificielle et des moteurs d’analyse comportementale. Ces nouvelles fonctions pourront sans doute un jour relayer l’approche par règles par une solution plus automatisée et moins lourde à maintenir.»