Meilleure visibilité et aide à la prise de décision : les tableaux de bord de sécurité sont un outil indispensable dans le pilotage de la sécurité.
Selon l’institut SANS, la difficulté à fixer les bonnes priorités et à mesurer la sécurité sont parmi les principales causes de défaillance de la cybersécurité. Les tableaux de bord de sécurité apportent une solution à ces deux freins. Et pourtant, si les entreprises ont souvent de bons tableaux de bord commerciaux, elles peinent à mettre en place l’équivalent en cybersécurité. Et quand ils existent ceux-ci sont souvent dédiés à la seule conformité. Mais la conformité n’a jamais garanti la sécurité !
Point de départ et référentiel quotidien
De bons tableaux de bord de sécurité présentent un double avantage : ils sont d’abord un excellent point de départ pour initier une démarche de cybersécurité. Ils aident à couvrir l’essentiel des éléments de base d’une stratégie de protection.
Mais ils sont surtout au quotidien le meilleur moyen de détecter les écarts dans la posture de sécurité de l’entreprise. Ils offrent une vision globale du niveau de risque à un instant T et sa tendance (sommes-nous en progrès ou nos capacités de remédiation baissent-elles ?)
SIEM, SOC et conseil !
Parce que les indicateurs nécessaires au tableau de bord sont issus des équipements de sécurité et autres sources techniques, ils peuvent être un produit dérivé d’une solution de SIEM, voire même être fournis par le prestataire du SOC externalisé.
Mais le tableau de bord sécurité peut aussi être un projet d’entreprise à part entière.
Il pourra alors être mené en interne ou avec l’aide d’un consultant. L’essentiel de la mission consistera à identifier les indicateurs pertinents et leurs sources, à déterminer les valeurs de seuil (qu’est-ce qui est anormal ?), à mettre en place les connecteurs nécessaires pour récupérer les données et enfin à trouver une solution de présentation adaptée.
SIEM
Alimenté par l’ensemble des événements du SI, le SIEM voit, analyse et identifie les attaques. Mais il vaut peut-être mieux le faire exploiter par un spécialiste externe.
Un Security Information & Event Manager agrège des informations en provenance de sources diverses (applications, systèmes, équipements d’infrastructure…) afin d’identifier des attaques potentielles.
La force du SIEM réside dans sa capacité à corréler des signes qui, pris individuellement, seraient restés ignorés. Et donc à produire des alertes que l’on espère plus pertinentes.
Les SIEM sont utiles en temps réel pour donner l’alerte, mais aussi a posteriori pour aider l’analyse forensique. Ils contribuent également au respect des obligations réglementaires en alertant sur des situations non conformes.
Mais comme toute solution complexe, leur mise en oeuvre et surtout leur exploitation peut s’avérer trop coûteuse en interne. C’est pourquoi ces outils sont souvent exploités par un prestataire qui fournit en retour un flux d’alertes et, en option, pourra y répondre (voir SOC).
4 questions à poser avant l’achat
1- Ai-je vraiment besoin d’un SIEM ?
Le SIEM est un outil puissant capable de détecter des attaques sophistiquées. Il ne sera utile que si l’entreprise est déjà en mesure de détecter et de répondre aux attaques plus communes. Avez-vous vous déjà, par exemple, une solution de log management bien exploitée ?
2- Interne ou externe ?
Exploiter correctement un SIEM exigera très probablement des ressources supplémentaires. C’est pourquoi il est courant de déléguer l’exploitation d’un SIEM à un prestataire (voir notamment le référentiel des « Prestataires de détection d’incidents de sécurité » (PDIS) qualifiés par l’ANSSI)
3- Support des sources existantes ?
Les principaux SIEM proposent un grand nombre de connecteurs vers les équipements et applications communes, mais il sera nécessaire de faire un pointage précis.
4- Et les sources externes ?
Le SIEM choisi est-il en mesure d’accepter des sources d’information externes ?