Dans les SIEM actuels, par définition nous allons retrouver un ensemble de fonctionnalités types telles que présentées précédemment. Ainsi, le SIEM permet de collecter, stocker les évènements de sécurité, de les traiter et de les manipuler (normalisation, agrégation, corrélation). En fonction des règles de détection, des alertes peuvent être créées, à destination des équipes de sécurité. Le reporting permet quant à lui de créer des visualisations spécifiques permettant d’obtenir des indicateurs clés sur la santé du périmètre à sécuriser.

Ce qui est important à noter et c’est aussi cela qui marque la « modernité » des SIEM, ce sont les fonctionnalités suivantes :

• L’intégration de la CTI pour améliorer la détection et la qualification d’incidents de sécurité avec notamment l’utilisation d’indicateurs de compromission (IOC : Indicator Of Compromise) ainsi que des modes opératoires connus d’acteurs de la menace. Encore une fois, nous détaillerons ceci dans la suite du cours ;
• L’utilisation du Machine Learning et de l’analyse comportementale UEBA (User and Entity Behavior Analytics) ;
• L’intégration de modules spécifique tels que le SOAR (Security Orchestration Automation and Response) permettant de simplifier le travail des analystes notamment lors de situations de réponse à incidents (création de workflows, etc.).

Un SIEM, c’est une infrastructure technique, elle doit donc être déployée, paramétrée et maintenue. Pour ce faire, il nous faut du personnel compétent. On retrouvera celui-ci au sein de ce que l’on appelle un Security Operation Center, un SOC. Le rôle principal du SOC est d’assurer la pérennité des activités de l’entreprise. Au quotidien, cela consiste à assurer sa sécurité opérationnelle.

Une fois déployé au sein d’une structure, la première tâche du SOC est d’élaborer et de définir une politique de surveillance et de sécurisation du périmètre sensible. Pour effectuer cela, il peut être accompagné de l’équipe de réponse à incidents, si la structure dispose d’une telle équipe. Dans le modèle anglo-saxon, on désigne cette équipe par l’acronyme CERT (Computer Emergency Response Team). En France, l’acronyme utilisé est le suivant : CSIRT (Computer Security Incident Response Team).

Une fois ce premier travail effectué (ayant permis de définir le périmètre à surveiller), le SOC doit sélectionner un SIEM correspondant aux besoins et ressources de la structure avant de le déployer. Nous en parlerons dans les diaporamas suivants. Aujourd’hui, le marché des SIEM étant bien fourni, les possibilités sont relativement étendues.

Par la suite, le travail principal du SOC sera d’assurer la détection d’incidents en temps réel au sein du périmètre à sécuriser. Le cas échéant, si aucune équipe de réponse à incident n’est disponible, le SOC se chargera aussi de la réponse à incident. Généralement, le SOC fonctionnera 24h/24, mais d’autres modèles sont possibles. On pourra ainsi trouver des SOC qui assureront le travail de surveillance seulement en jours ouvrés.

Généralement, le SOC se structure autour d’un modèle en 3 couches.

• La première couche, constituée d’analystes de premier niveau (ou opérateurs) ayant comme principal rôle d’assurer le suivi et le traitement des alertes. Ce suivi se matérialise par une qualification de l’ensemble de ces alertes, en se basant sur les procédures et documentations du SOC. Le cas échéant, si les analystes ne sont pas en capacité de qualifier l’alerte, elle est remontée à la couche numéro 2. À côté de cela, les analystes de niveau 1 assurent une veille autour de l’analyse de logs (source d’informations du SIEM). Ils vont aussi pouvoir paramétrer le système de supervision, plutôt axé sur la partie reporting.
• Au niveau 2, on va retrouver des profils plutôt de type ingénieur en cybersécurité, ayant des compétences généralistes dans ce domaine. Ce sont les analystes de niveau 2. Tout d’abord, cette couche prend en charge l’ensemble des alertes qui n’ont pas pu être qualifiées par la couche 1. Elle assure également le maintien en conditions opérationnelles du système de supervision. De plus, les ingénieurs effectuent une veille technologique continuelle permettant notamment de se tenir avisé des dernières vulnérabilités parues. Dans le cas où ces failles impactent le périmètre monitoré, les analystes peuvent proposer des solutions adéquates afin de le sécuriser. Enfin, ils assurent le maintien du fond documentaire du SOC.
• Le personnel présent au niveau 3 est composé d’experts en sécurité dans des domaines spécifiques de la sécurité numérique. Cette couche prend en charge les alertes n’ayant pas pu être traitées par la couche 2. En effet, elle a la capacité d’effectuer des analyses plus approfondies. De plus, les experts assurent aussi un support technique aux deux premières couches. Ils dirigent et orientent le maintien en conditions opérationnelles du SOC.

Enfin, le cas échéant, si la structure ne dispose pas d’une équipe de réponse à incidents, la couche 3 peut prendre le lead sur la réponse à incidents.

Nous parlons ici du marché des SIEM. Plusieurs choses à noter :

1. C’est un marché concurrentiel : il existe aujourd’hui beaucoup de produits de type SIEM et des modèles de licences différents (basé sur les flux ou encore sur le nombre d’entités monitorées) ;
2. Le marché est dominé par deux firmes américaines :
   • IBM avec son produit QRadar ;
   • Splunk avec son produit Splunk.
3. Des produits propriétaires et open-source. Ainsi, professionnels et particuliers peuvent s’y retrouver.

Cette dernière diapositive permet d’obtenir une vue d’ensemble des éditeurs de SIEM sur le marché. On y retrouve de grands noms de l’informatique, des pure player du domaine ou de grandes firmes proposant elles aussi leur produit. A noter que cette matrice, proposée par le cabinet Gartner ne représente pas l’ensemble des solutions disponibles sur le marché. Cette matrice est le résultat de l’application d’un ensemble de critères de sélection.

◁ Précédent | ⌂ Sommaire | Suivant ▷