Alimenté par l’ensemble des événements du SI, le SIEM voit, analyse et identifie les attaques. Mais il vaut peut-être mieux le faire exploiter par un spécialiste externe.
Un Security Information & Event Manager agrège des informations en provenance de sources diverses (applications, systèmes, équipements d’infrastructure…) afin d’identifier des attaques potentielles.
La force du SIEM réside dans sa capacité à corréler des signes qui, pris individuellement, seraient restés ignorés. Et donc à produire des alertes que l’on espère plus pertinentes.
Les SIEM sont utiles en temps réel pour donner l’alerte, mais aussi a posteriori pour aider l’analyse forensique. Ils contribuent également au respect des obligations réglementaires en alertant sur des situations non conformes.
Mais comme toute solution complexe, leur mise en oeuvre et surtout leur exploitation peut s’avérer trop coûteuse en interne. C’est pourquoi ces outils sont souvent exploités par un prestataire qui fournit en retour un flux d’alertes et, en option, pourra y répondre (voir SOC).
4 questions à poser avant l’achat
1 • Ai-je vraiment besoin d’un SIEM ?
Le SIEM est un outil puissant capable de détecter des attaques sophistiquées. Il ne sera utile que si l’entreprise est déjà en mesure de détecter et de répondre aux attaques plus communes. Avez-vous vous déjà, par exemple, une solution de log management bien exploitée ?
2 • Interne ou externe ?
Exploiter correctement un SIEM exigera très probablement des ressources supplémentaires. C’est pourquoi il est courant de déléguer l’exploitation d’un SIEM à un prestataire (voir notamment le référentiel des « Prestataires de détection d’incidents de sécurité » (PDIS) qualifiés par l’ANSSI)
3 • Support des sources existantes ?
Les principaux SIEM proposent un grand nombre de connecteurs vers les équipements et applications communes, mais il sera nécessaire de faire un pointage précis.
4 • Et les sources externes ?
Le SIEM choisi est-il en mesure d’accepter des sources d’information externes ?