Supervision de la sécurité
Du simple outil de collecte des logs, le SIEM (Security Information and Event Management) s’est peu à peu transformé en vraie plateforme de traque des cyberattaques. Le Big Data, la data visualisation et maintenant l’intelligence artificielle ont révolutionné ces logiciels.
Une illustration du mariage de la cybersécurité et du Big Data : HPE a adossé son SIEM ArcSight à sa base de données Vertica afin d’améliorer le travail d’analyse des incidents.
De l’analyse en cybersécurité à la traque des hackers sur son réseau, le SIEM, qui permet de surveiller les applications, les comportements utilisateurs et les accès aux données, traîne la réputation d’être une solution complexe, coûteuse à mettre en place et à exploiter. Et si tous les grands SOC des grandes entreprises françaises et des MSSP sont bien évidemment dotés de SIEM qui remontent les données émises par les équipements de sécurité vers les consoles des analystes, pour beaucoup d’entreprises et de RSSI, le SIEM reste perçu comme un luxe.
Des SIEM haut de gamme réservés aux grands comptes
Quelques offres leaders se détachent dans le Magic Quadrant du Gartner : IBM au coude à coude avec Splunk et LogRythm dans le carré des leaders, suivis par HPE, RSA (EMC) et Intel Security. Avec Q-Radar, IBM est très présent chez les MSSP et les grands comptes français, notamment les banques. La solution a récemment reçu le renfort de l’IA d’IBM Watson afin d’aider les analystes dans leur compréhension des incidents de sécurité. Autre évolution notable de Q-Radar, son ouverture aux solutions tierces : « Q-Radar a évolué avec la mise en place d’un App Exchange, une plateforme où tout le monde peut proposer de nouvelles applications pour Q-Radar », explique Agnieszka Bruyère, directeur Security Services chez IBM France. Si Q-Radar est leader du marché, son mode de facturation à l’événement par seconde est pour beaucoup de RSSI un frein à son déploiement. Une image dont IBM cherche à se défaire via le SaaS : “Nous avons une offre Q-Radar très packagée en mode SaaS avec des services de monitoring associés”, souligne la responsable. « Les cas d’usage proposés sont assez classiques mais nos partenaires travaillent afin d’élaborer des offres et démocratiser les usages du SIEM. »
« Le RGPD a poussé des entreprises d’activité très différentes à s’intéresser à notre offre via nos partenaires. Le nombre de dossiers qui nous sont soumis ont triplé. »
Bernard Montel, RSA
Autre acteur de poids sur le marché des SIEM, RSA qui compte une soixantaine de clients en France pour son SIEM RSA NetWitness. “Il s’agit d’un SIEM de nouvelle génération car il va au-delà des logs” explique Bernard Montel, directeur Avant-vente de RSA pour la région EMEA. « C’est une plateforme de détection, d’analyse et de forensic qui capture les logs, mais aussi les événements réseau dans une plateforme unique et normalisée. Tous les autres éditeurs de SIEM ont imité cette démarche avec des modules de capture de flux réseau, mais leur démarche est différente. La capture de flux réseau n’est exploitée que pour le volet forensic or, nous, nous pouvons placer des règles sur les flux réseaux. » Autre évolution prise par l’offre SIEM de RSA, la captation de données au niveau des terminaux, les “endpoints”. L’éditeur a développé un agent RSA NetWitness Endpoint qui permet de faire des postes utilisateurs la troisième grande source de données de son SIEM. Et si IBM a beaucoup communiqué sur Watson for Cybersecurity, tous les éditeurs ont embarqué du Machine Learning dans leurs solutions. « Notre module Event Stream Analysis n’était au départ qu’un moteur de corrélation, mais depuis un peu plus d’un an nous avons ajouté un moteur de Machine Learning », explique Bernard Montel. « Ce moteur a actuellement deux cas d’usage : l’analyse comportementale sur les connexions de command & control et sur la détection des mouvements latéraux. D’autres cas d’usage du Machine Learning viendront s’ajouter par la suite, notamment dans la détection des ransomwares.»
Le mode SaaS bouscule le marché
Une autre tendance de fond dans le secteur est le mouvement vers le Cloud. Venu de l’univers du log management, Splunk et son mode Cloud s’est rapidement taillé une place de choix sur le marché des SIEM. Solution généraliste, Splunk a été adapté pour le marché du SIEM avec une déclinaison Splunk Enterprise Security et, aux analystes qui considèrent que la couverture fonctionnelle de Splunk est inférieure à celle des grands SIEM du marché, l’éditeur réplique avec son app store Splunkbase. Lors de la dernière conférence Splunk Live, Yoan Semin, ingénieur avant-vente de Splunk soulignait : « Les entreprises peuvent commencer avec Splunk Enterprise, puis utiliser les nombreuses apps qui sont disponibles sur Splunkbase. C’est ce qui va notamment leur permettre de collecter des données depuis Office 365 afin d’alimenter Splunk. Ensuite, Splunk Entreprise Security propose des outils d’investigation avancés. L’outil va permettre aux analystes de se concentrer uniquement sur les menaces critiques et d’être plus rapides dans les réponses à incident. » Enfin, l’éditeur propose notamment un module baptisé Adaptive Response qui va permettre d’agir directement sur les équipements de sécurité depuis le SIEM.
Face à cette approche “Cloud Centric” où seules les sondes doivent être déployées sur le SI de l’entreprise, les éditeurs ont dû adapter leurs offres afin que les MSSP puissent les proposer en mode SaaS ou même permettre à certains de leurs clients adeptes des architectures hybrides de faire tourner leurs SIEM sur les services IaaS du marché.
Les offres s’adaptent au mode SaaS
RSA, comme la majorité de ses rivaux a opté pour une approche “run anywhere” avec une solution qui reste disponible sous forme d’appliance mais qui peut aussi être déployée sous forme de VM, soit sur des serveurs on-premise, soit dans le Cloud si le client le souhaite. La démarche est la même chez Fortinet dont le SIEM FortiSIEM (ex-AccelOps) existe au format appliance ou sous forme de VM à déployer dans le Cloud. « Notre SIEM est aujourd’hui Cloud ready et il fonctionne en outre en mode multi-tenancy. Un MSSP peut héberger plusieurs clients sur un même SIEM sans difficulté. » explique Filippo Cassini, vice-président System Engineering Worldwide chez Fortinet.
Vers une simplification des interfaces utilisateur
Si les SIEM sont plus simples à déployer, leur fonctionnement n’a rien de trivial et nécessite des analystes très qualifiés. Si de solides connaissances en cybersécurité resteront toujours nécessaires pour exploiter les données délivrées par les SIEM, les éditeurs travaillent sur l’ergonomie et les capacités de leurs outils d’analyses. Fortinet fait aujourd’hui évoluer son offre vers de nouveaux outils de visualisation de données afin d’aider les analystes à détecter les anomalies au plus vite. HPE, présent sur le marché des SIEM depuis l’acquisition d’ArcSight en 2010, travaille à la simplification de l’interface d’un SIEM initialement développé pour l’armée américaine : « Notre solution n’a cessé d’évoluer vers une plus grande simplification pour l’administration de la plateforme et la partie hunting, c’est-à-dire l’analyse des incidents », explique Jean-Philippe Sanchez, avant-vente chez HPE Security Software. « La force d’ArcSight aujourd’hui, ce sont ces outils de chasse qui ne sont pas uniquement utilisables par des experts très chevronnés. Ces outils s’appuient sur notre moteur analytique Vertica, un moteur de base de données Big data qui permet de réaliser des recherches bien plus rapides. »
Un éditeur a bénéficié à plein de ce besoin de simplification des SIEM : le danois LogPoint. Présent activement en France depuis 2014, l’éditeur compte 80 clients dans la zone Europe du sud, dont 90 % en France. Parmi eux le PMU, l’INA, Pernod Ricard, le GIE Carte Bancaire, Aéroport de Paris. « Le succès de la solution s’explique par le fait que la solution a été conçue pour être simple à utiliser. Par ailleurs, l’offre est beaucoup mieux packagée que ses concurrentes et le temps facturé par les prestataires pour la mise en place a été divisé par 5 », argumente Frédéric Saulet, directeur régional pour l’Europe du Sud, le Moyen-Orient et l’Afrique de LogPoint. Atout de l’offre du danois, son SIEM n’est pas facturé au nombre d’événements seconde comme Q-Radar ou au nombre de Go stockés par jour comme Splunk, mais au nombre de nœuds, une métrique bien plus prévisible pour le RSSI. Il est ainsi possible de déployer le SIEM LogPoint à partir de 7 000 euros pour 25 nœuds gérés. Et si LogPoint cultive une image de solution légère, celle-ci n’en est pas moins capable de gérer des scénarios de sécurité particulièrement sophistiqués. Ainsi, Eurenco, fabricant d’explosifs appartenant à la SNPE, exploite un SIEM LogPoint afin de superviser une infrastructure SAP. « L’objectif est de surveiller d’éventuelles tentatives de fraude financière dans SAP au travers de l’environnement LogPoint. Nous avons un connecteur spécifique qui analyse les tables SAP afin d’analyser le comportement des utilisateurs SAP », détaille Frédéric Saulet. Une offre SIEM Open Source dynamique s’est développée, en parallèle de ces solutions commerciales, avec notamment la solution OSSIM dont AlienVault édite une version commerciale. .
Une offre SIEM Open Source dynamique s’est développée, en parallèle de ces solutions commerciales, avec notamment la solution OSSIM dont AlienVault édite une version commerciale.