La gestion des informations et événements de sécurité est une préoccupation clé pour beaucoup d’entreprises. Selon une étude menée par Ernst & Young en 2010, il s’agit même de la technologie la plus implémentée dans les entreprises pour prévenir ou détecter une attaque et réagir à cette attaque. Cette discipline est l’apanage de solutions que l’on baptise régulièrement SIM (Security Information Management) ou SIEM (Security Information and Event Management).

Le SIEM en bref

Un outil de SIEM a pour vocation de surveiller ce qui se passe sur l’ensemble du réseau et l’infrastructure SI de l’entreprise afin d’identifier les activités suspectes ou contrevenant à la politique de sécurité et conformité. Dans la pratique, il collecte des données d’événements de sécurité (venant des réseaux, applications, systèmes et sites hôtes de l’entreprise, …)  pour un double objectif :
1) Alerter en temps réel  lorsqu’une activité suspecte est identifiée (cela permet d’identifier et gérer les menaces, par exemple un accès non autorisé au réseau)
2) Produire des analyses et des rapports pour donner la posture de l’entreprise vis à vis de la conformité avec la politique de sécurité ou les réglementations (cela permet d’identifier les gaps vis à vis d’une conformité ou règle de sécurité et de définir les actions à faire pour y remédier). Elle permettent aussi, lorsqu’on étudie des données historiques d’événements de comprendre ce qui s’est passé lors d’une menace et d’identifier les ressources du SI vulnérables afin de mettre en place de nouvelles mesures de sécurité pour réduire les menaces.
A la base, les informations traitées par le SIEM sont des informations techniques remontant des différents éléments (tels que serveurs, routeurs, pare-feux, …) qui composent le réseau d’entreprise. Ces informations sont sous forme de journaux (ou logs) émis par l’ensemble des équipements de sécurité et logiciels du SI.

Pour nombre de responsables informatique et responsables de la sécurité, les SIEM permettent de venir à bout d’une tâche titanesque, vraie plaie des opérations de sécurité : gérer et tirer partie du déluge d’informations généré par les équipements du SI notamment ceux de sécurité, un volume tel que l’humain ne peut plus suivre. La fonction première d’un SIEM est donc d’automatiser et de rationaliser le processus de collecte des journaux (ou logs) d’événements provenant de diverses sources à travers le réseau. Qu’il s’agisse d’événements de sécurité ou non. Un autre rôle important est le rôle de filtrage, qui permet d’éliminer le bruit pour ne garder que les informations pertinentes pour le DSI ou le responsable de la sécurité. Mais un bon SIEM va bien plus loin, puisqu’il sait aussi corréler des informations qui, prises isolément, ne montrent aucune anomalie, mais qui, mises bout à bout par un algorithme sophistiqué, révèlent une attaque ou une tentative d’intrusion en cours.

Filtrer et corréler les informations  pour mieux identifier les menaces

Pour l’entreprise la valeur d’un SIEM réside donc non seulement dans son aptitude à collecter sans problème les informations de sécurité, mais aussi dans sa capacité à les agréger et à les corréler de façon « intelligente », afin d’identifier les menaces de sécurité, notamment en décelant des comportements anormaux susceptibles d’indiquer un problème ou une attaque. En déclenchant des alertes, une solution SIEM peut en effet activer des processus automatiques ou manuels afin de rechercher et remédier à un événement suspect qu’il soit une attaque reconnue ou  une défaillance d’un équipement par exemple.

Un autre bénéfice connexe des SIEM est qu’ils facilitent d’une part les investigations historiques (post-mortem) qui permettent d’étudier l’historique de données de sécurité pour comprendre les tenants et aboutissants d’une attaque ou un événement du réseau et d’autre part les  investigations numériques légales (forensics) pour simplifier le processus de réponse aux audits. Ces plates- formes incluent également de plus en plus couramment des fonctions de gestion et d’archivage de logs, ce qui facilite la conformité aux dispositions légales de rétention des données à long terme. Bref, elles sont aussi précieuses avant qu’après les faits tant pour des raisons techniques que réglementaires.

RSA® enVision MidMarket: Une appliance simple pour une visibilité totale sur la sécurité de l’entreprise

En choisissant le format Appliance pour sa solution RSA® enVision Appliance, RSA contribue à simplifierla mise en oeuvre d'un SIEM

En choisissant le format Appliance pour sa solution RSA® enVision, RSA contribue à simplifier la mise en oeuvre d'un SIEM

La plupart des plates-formes SIEM se présentent aujourd’hui sous forme de solutions logicielles ou d’appliances « prêtes à l’emploi », conçues pour simplifier le déploiement de ces solutions ; c’est sur ce dernier modèle que s’appuie la plate-forme RSA® enVision MidMarket que RSA a lancé à destination du marché des PME. La mise à disposition de la solution sous forme d’appliance est un choix particulièrement adapté aux besoins de ce marché car simplifie le déploiement en évitant à l’entreprise de se poser des questions en matière de dimensionnement de serveur, de paramétrage…

RSA® enVision MidMarket est dimensionné pour les besoins des PME et peut collecter des logs en provenance d’un maximum de 40 équipements comme des serveurs, des routeurs, des pare-feux… L’administration et le pilotage de la solution s’effectuent via une console web permettant également la génération de tableaux de bord avancés (plus de 1 100 rapports préconfigurés sont déjà fournis avec le produit).

Deux modèles d’appliances sont aujourd’hui disponibles pour le midmarket : l’appliance enVision ES 160 et l’appliance enVisionES 260, conçus respectivement pour gérer 20 et 40 équipements.  Pour un nombre d’équipements plus élevé, il existe d’autres modèles d’appliances destinés aux grandes entreprises. Selon RSA, les prix de la solution SIEM  RSA® enVision Mid-Market, débutent aux environs de 10 000 € .