in ,

Qu’est-ce que le SIEM ? Fonctionnement, utilisations et aussi quelle solution utiliser ?

Le Security Information And Event Management (SIEM), sert à détecter les attaques et les anomalies de comportement, il aide a prendre en compte, (après un diagnostic précis), plus rapidement les actions à faire pour solutionner les soucis rencontrés, d’auntant plus que certains soucis peuvent maintenant être automatisés au préalable. LE SIEM et tous les experts vous le diront, vous permettra d’identifier plus facilement les menaces, presque en temps réel.

Security Information And Event Management
Security Information And Event Management

Qu’est-ce que le SIEM, alors que le nombre d’événements de cybercriminalité, d’incidents d’usurpation d’identité et de vols de propriété intellectuelle et de cyberattaques continuent d’augmenter, la nécessité de fournir une sécurité réseau adéquate pour se défendre contre ces types de menaces devient impérative pour toutes les organisations.

Pour sécuriser au mieux votre environnement, vous devez surtout exploiter toutes les données à votre disposition afin de déterminer la meilleure manière de déployer les ressources limitées dont vous disposez. Et c’est pour cela, que vous aurez besoin d’un logiciel SIEM.

La défense contre ces types de menaces est difficile, et l’attaquant aura toujours l’avantage. Cela s’explique par le fait que vous, en tant que professionnel de la sécurité, examinez toutes les menaces possibles pour votre environnement, alors qu’un attaquant, lui, n’a qu’à se concentrer sur ce qu’il cherche à accomplir et penser à la meilleure stratégie pour y arriver.

Mais qu’est-ce le SIEM ? Comment cela fonctionne ? Quels sont ses composants ? Et pourquoi une organisation devrait-elle penser à utiliser une solution SIEM ? Ce sont les questions auxquelles nous allons tenter de  répondre dans cet article.

Un SIEM, c’est quoi

Le système SIEM (Security Information Event Management) est un ensemble complexe de technologies conçues pour fournir une vision et une clarté sur le système informatique de l’entreprise dans son ensemble, ce qui profite également aux analystes de sécurité et aux administrateurs informatiques.

Il s’agit d’un ajout puissant à l’infrastructure informatique de pratiquement toutes les petites, moyennes ou grandes entreprises, départements ou entités gouvernementales.

Les professionnels de la sécurité et les analystes utilisent le système SIEM pour surveiller, identifier, documenter et parfois répondre aux évènements qui portent atteinte à la sécurité de leur système informatique.

Alors pourquoi un système SIEM et non un autre ? Certains des événements de sécurité sont évidents, comme les attaques par déni de service (DoS) délibérées et malveillantes et les épidémies de virus, alors que d’autres sont plus insaisissables, si obscurcis ou encore tellement nombreux et fréquents (des milliers d’événements par seconde) que sans l’aide d’un système SIEM puissant et finement réglé, ils passeraient complètement inaperçus.

Ces événements de sécurité plus insaisissables incluent notamment les violations de politique, les tentatives d’accès non autorisées…

SIEM, une combinaison entre le SIM et le SEM

Le SIEM est une approche du management de la sécurité informatique qui combine les fonctions du SIM (Security Information Management) et celles du SEM (Security Event Management) en un seul système de management de sécurité.

Le SIM, pour information, regroupe les technologies responsables de la collecte les données des fichiers journaux pour l’analyse et les rapports sur les menaces et les événements de sécurité. Quant au SEM, il permet la surveillance du système en temps réel, informe les administrateurs réseau des problèmes importants et établit des corrélations entre les événements de sécurité.

Comment fonctionne le système SIEM ?

Pour permettre aux responsables de sécurité de surveiller les évènements, le système SIEM utilisé commence par collecter des journaux depuis diverses sources d’information. Puis, il normalise les journaux, écrit les règles SIEM, corrèle les événements provenant des sources d’information transcrits dans les journaux et enfin « monitorise » ou surveille les évènements.

  • QUELLES SONT CES SOURCES D’INFORMATION ?

La plupart des gens ne réalisent pas le volume considérable de journaux générés chaque jour par leur activité quotidienne. Le simple fait qu’un utilisateur ouvre un navigateur Web et consulte ses e-mails génère un nombre important de journaux à partir d’une multitude d’appareils différents : l’ordinateur de l’utilisateur, ainsi que les divers routeurs, commutateurs et pare-feu que l’utilisateur devra traverser pour accéder au site Web.

Les sources d’informations font référence à tous les périphériques (routeur, commutateur, serveur…) et applications qui peuvent générer des journaux que le système SIEM peut par la suite collecter et traiter.

Les systèmes d’exploitation sont également des sources d’informations, car ils génèrent des journaux. Ces journaux affichent toutes les statistiques de votre système : qui s’est connecté, qui a fait quoi sur le système, et essentiellement tout ce que vous pouvez penser que les utilisateurs font ou que fait le système d’exploitation lui-même.

  • COLLECTE DES JOURNAUX DEPUIS LES SOURCES

La première étape consiste pour le système SIEM à collecter les journaux générés par les sources citées plus haut. En général, il existe deux méthodes de collecte de journaux (la méthode Push et la méthode Pull), même si les mécanismes réels de récupération des journaux varient en fonction du SIEM spécifique que vous utilisez.

La méthode push a l’avantage de faciliter l’installation et la configuration au niveau du SIEM. Habituellement, avec une solution SIEM qui utilise cette méthode, il vous suffit de configurer un récepteur, puis de pointer votre appareil source vers ce récepteur. Un exemple courant de ceci serait syslog. Lors de la configuration de l’appareil source à l’aide de syslog, configurez l’adresse IP ou le nom DNS d’un serveur syslog sur votre réseau, et l’appareil commencera automatiquement à envoyer ses journaux via syslog au récepteur syslog.

Contrairement à la méthode push, dans laquelle le périphérique source envoie des journaux au SIEM sans aucune interaction du SIEM, la méthode pull nécessite que le SIEM initie une connexion au périphérique source et récupère activement les journaux du périphérique source.

Par exemple, si les journaux sont stockés dans des fichiers texte plats sur un partage réseau, le SIEM doit d’abord établir une connexion aux partages réseau à l’aide des informations d’identification stockées avant de pouvoir lire le fichier texte plat pour les journaux du périphérique source.

À cause du fait qu’à chaque fois le système SIEM est obligé d’établir une connexion, ce qui n’est pas le cas de la méthode push, la méthode pull a l’avantage d’être plus sécurisée.

  •  NORMALISATION DES JOURNAUX

À ce stade, les journaux venant des différentes sources d’information sont déjà transmis au système SIEM. Seulement, ils sont encore dans leur format natif et donc inexploitables pour le système SIEM.

Pour que ces journaux soient utiles, il faut donc d’abord les reformater dans un format standard unique utilisable par le SIEM. Le fait de transformer tous ces différents types de journaux en un seul format s’appelle la normalisation. Chaque type de SIEM gérera l’acte de normalisation de différentes manières, mais le résultat final est que tous les journaux, quel que soit le type d’appareil ou le fabricant, se ressemblent dans le SIEM.

  • ÉCRITURE DES REGLES SIEM ET CORRELATION DES EVENEMENTS

Vous écrivez généralement les règles à l’aide d’une forme de logique booléenne pour déterminer si des conditions spécifiques sont remplies et examinez la correspondance de modèle dans les champs de données.

Supposons que vous vouliez déclencher une alerte pour toute personne se connectant à un serveur avec des informations d’identification de niveau administrateur local. Si vous disposiez de plusieurs systèmes d’exploitation de serveur différents dans votre environnement, vous devrez rechercher différents déclencheurs dans les journaux en fonction du système d’exploitation qui signalent lorsqu’un compte d’administrateur local a été utilisé pour se connecter localement.

En ce qui concerne la corrélation des évènements, c’est le rôle attribué au moteur de corrélation du logiciel SIEM. Il fait correspondre plusieurs événements standard d’une certaine manière liés provenant de différentes sources en un seul événement corrélé. La corrélation d’événements standard en un événement corrélé est effectuée afin de simplifier les procédures de réponse aux incidents pour votre environnement, en affichant un seul événement déclenché par plusieurs événements provenant de diverses sources.

  • LE MONITORING

Les solutions SIEM possèdent une console d’interface, qui est soit basée sur le Web, soit basée sur une application et chargée sur votre poste de travail.

Cette interface avec l’application SIEM réelle permet à vos gestionnaires d’incidents ou à vos ingénieurs système d’avoir une vue unique de votre environnement. Normalement, pour afficher les informations recueillies par le SIEM, les gestionnaires d’incidents ou les ingénieurs doivent se rendre sur les différents appareils et afficher les journaux dans leurs formats natifs. Le SIEM facilite grandement la visualisation et l’analyse de tous ces différents journaux car le SIEM normalise les données.

Depuis l’interface, vous pourrez également développer le contenu et les règles qui serviront à extraire les informations des événements en cours de traitement.

Les évènements que vous pouvez surveiller avec un système SIEM

  • LES VULNERABILITES

Vous pouvez programmer votre système SIEM pour détecter les éventuelles vulnérabilités présentes sur votre système informatique telles que :

Les protocoles vulnérables : de nombreux protocoles ont des vulnérabilités. Si vous essayez de sécuriser votre environnement, vous devez mettre en place des politiques pour interdire l’utilisation de protocoles vulnérables connus. Pour cela, demandez à vos routeurs d’alimenter leurs journaux dans le système SIEM ; et sur le système SIEM, programmez un filtre qui empêcherait les protocoles vulnérables non autorisés.

Les mauvaises configurations : une mauvaise configuration est une modification d’une configuration qui introduit des fonctionnalités ou des vulnérabilités indésirables. Parfois, c’est accidentel ; il peut aussi s’agir d’un oubli ou bien d’une mauvaise intention. Sachez que vous pouvez configurer votre système SIEM pour signaler toute mauvaise configuration.

  • LES ATTAQUES MALVEILLANTES

Au-delà de l’utilisation de protocoles risqués, des erreurs de configuration et des erreurs et ignorances des utilisateurs, les attaques malveillantes représentent également un danger considérable pour vos systèmes informatiques.

Prenons le cas des attaques de phishing ! Elles peuvent souvent être détectées en filtrant une demande de protocole HTTP vers des adresses IP publiques qui n’ont pas été attribuées ou vers des sites Web et des adresses IP malveillants connus. De nombreux pare-feu peuvent être configurés pour bloquer les requêtes vers ces adresses via un filtre de liste noire mis à jour dynamiquement et peuvent signaler au SIEM le rejet des requêtes sortantes vers ces adresses sur liste noire.

Virus, vers IP, usurpation d’identité depuis l’extérieur, usurpation d’adresse IP depuis l’intérieur, déni de service distribué (DDoS), débordement de mémoire tampon et attaques par injection SQL, attaques par mot de passe ou encore attaques contre les systèmes IDS/IPS ! Un bon système SIEM peut vous aider à détecter tous ces types d’attaque.

  • LES ANOMALIES

Les anomalies ou valeurs aberrantes sont des points de données, des événements ou encore des observations qui s’écartent du comportement normal d’un ensemble de données et qui soulèvent des suspicions.

Elles indiquent souvent des incidents critiques. Dans un système informatique, les anomalies peuvent causer des dysfonctionnements du système qu’il convient de traiter dans les plus brefs délais.

Les fonctionnalités d’une solution SIEM

Quelle solution SIEM utiliser ? Généralement, les outils SIEM open source offrent une flexibilité accrue et permettent aux organisations de réduire les coûts et de tirer parti du talent de milliers de programmeurs. Assurez-vous également que l’outil que vous aurez choisi présente les fonctionnalités suivantes :

  • La détection

Votre SIEM doit posséder un détecteur capable d’écouter sur le réseau, de surveiller les fichiers ou les journaux à la recherche de signes d’attaques et émet des alertes en conséquence.

Il existe essentiellement deux types de détecteurs : basés sur des modèles (signature) et basés sur des anomalies.

Les détecteurs basés sur des modèles (Signature) utilisent une signature de mauvais comportements connus et alertent lorsque l’activité correspond à cette signature. La plupart des dispositifs de sécurité en place aujourd’hui sont basés sur des modèles.

Les détecteurs basés sur les anomalies ont une ligne de base de bon comportement connu et alertent sur les anomalies ou les écarts par rapport à cette ligne de base. Notez que les détecteurs basés sur les anomalies sont les seuls types de détecteurs capables d’identifier les attaques zero-day.

  • Le monitoring

Votre solution SIEM devrait fournir un tableau de bord depuis lequel vous pouvez avoir une perspective sur le trafic réseau et y voir rapidement les changements dans le réseau.

Votre SIEM doit au minimum permettre les 3 types monitoring suivants : le monitoring réseau, la surveillance de la disponibilité, la surveillance personnalisée du système

  • Le Monitoring réseau permet entre autres de récolter des informations :

  1. ·- Qui traitent des statistiques du réseau comme le nombre d’octets transmis sur une période de temps.
  2. ·- Qui traitent des statistiques des services tels que pop, http, smtp, ssh, etc.
  3. · – Qui fournissent une image des sessions actives, en temps réel, et quels hôtes participent sur quels ports.

L’outil Ntop peut fournir ces informations par reniflage, ou les données de flux réseau peuvent être importées à partir de routeurs Cisco et d’autres périphériques.

  • La surveillance de la disponibilité,

Quant à elle, est utilisée notamment pour détecter les attaques par déni de service (DoS) ou autres pannes de réseau.

  • Concernant la surveillance personnalisée du système,

il s’agit d’un type particulier du monitoring qui vous permet de personnaliser un plug-in pour détecter à peu près tout ce qui vous intéresse et agir en conséquence.

Par exemple, vous pouvez déclencher une analyse de vulnérabilité d’un hôte que vous soupçonnez d’être compromis et ajuster davantage les propriétés de corrélation, de risque et de fiabilité en fonction des résultats.

  • L’analyse

Les analyses de vulnérabilité du réseau sont essentielles au processus de corrélation. Ces analyses tentent de simuler des attaques et de déterminer si un périphérique réseau est vulnérable à une attaque particulière.

  • Inventaire

L’une des questions fondamentales en matière de sécurité réseau est : qu’avez-vous ? C’est une question qui est souvent négligée ou qui n’est pas prise au sérieux jusqu’à ce qu’il y ait un incident. À ce stade, il est trop tard et les équipes des opérations de sécurité perdent alors un temps précieux à essayer de retrouver les informations sur les actifs.

  • Collecter

Votre solution SIEM doit pouvoir capturer et normaliser toutes les informations disparates sur les dispositifs de sécurité et de les fournir au serveur pour un traitement ultérieur. Cette fonction est très importante en raison des différents formats de données utilisés par les fournisseurs de dispositifs de sécurité.

 

  • Évaluer  les risques

L’évaluation des risques est le processus qui consiste à mesurer les risques et à tenter de déterminer ce qui est important et ce qui ne l’est pas. Cette évaluation des risques se veut une aide précieuse au processus décisionnel. Pour cette raison, votre solution SIEM doit être capable de calculer un paramètre de risque pour chaque événement.

  • La corrélation

Le composant le plus important de tout outil SIEM est son moteur de corrélation. Le travail du moteur de corrélation est de réduire les faux positifs (fausses alarmes) et d’empêcher les faux négatifs (lorsque les intrusions passent inaperçues).

  • La réponse automatique aux évènements détectés

Votre solution SIEM doit également être capable de répondre automatiquement à un événement donné ou à un ensemble d’événements. Les réponses peuvent inclure l’envoi d’un e-mail ou l’envoi d’une directive de modification du réseau, telle que l’ajustement d’un pare-feu ou la configuration d’un commutateur.

 

  • La gestion des évènements

Une fois qu’une attaque est détectée, collectée, évaluée pour le risque, corrélée et validée par l’analyste comme réelle, un ticket peut être généré pour suivre l’incident jusqu’à sa résolution.

  • Rapport d’analyse

De temps à autre, un analyste devra produire des rapports d’analyse ou de gestion. Il serait bien aussi si votre solution SIEM possédait un moteur de rapports robuste avec de nombreux rapports prédéfinis et la possibilité de personnaliser et de créer des rapports à des fins spécifiques.

Conclusions pourquoi il vous faut un SIEM

Nous pourrions vous apporter des dizaines de raisons, de le faire, nous nous contenterons pour en conclure de vous détailler quelques-uns des avantages du SIEM

  • Surveillance de base

La recherche dans le pool de journaux et la production de rapports constituent quelques unes des applications parmi les plus simples du SIEM.

Les organisations pourront obtenir des réponses à des questions telles que « Qui s’est connecté au système » « qui a fait quoi »

  • Détection des menaces

Les solutions SIEM peuvent aider les organisations à détecter les menaces internes et externes, grâce à la surveillance des événements de sécurité en temps quasi réel, aux alertes automatisées et à l’analyse de l’activité des applications ou des utilisateurs.

Sur le principe qu’il vaut mieux prévenir que guerir, il nous semble important, de savoir le plus rapidement possible, quels sont les évènements qui vont nous affecter.

  • Enquête sur les incidents de sécurité et intervention en cas d’incident

Les solutions SIEM permettent d’effectuer des recherches dans les données historiques, afin de réagir aux incidents de sécurité et de réaliser des analyses (en tous genres)  forensiques, numériques.

  • Contrôle de la conformité 

Au-delà des impératifs de sécurité, les entreprises utilisent également la technologie SIEM pour se conformer aux exigences de reporting imposées par les normes de conformité telles que HIPAA, PCI/DSS, SOX, FERPA et HITECH.

  • Conservation des journaux

Le stockage à long terme des journaux est souvent nécessaire à des fins de forensique et pour se conformer aux normes sectorielles telles que PCI DSS, HIPAA et SOX. En général, les organisations génèrent quotidiennement un volume important de données de journaux, et les solutions SIEM peuvent les accompagner dans leur conservation.

Auteur Antonio Rodriguez, Editeur et Directeur de Clever Technologies

 

Written by Antoine

Informaticien depuis des lustres, ancien directeur de Banque (Informatique, Comptabilité, Communication, Refonte Informatique), Antoine est un passionné par les nouvelles technologies, et les innovations liées à l'informatique. Une de ses passions est d'écrire des articles, sur les sujets les plus variés et les plus divers, mais en relation avec le monde du SMS ou de la communication, de la supervision, et de la gestion des astreintes.

souveraineté numérique européenne

La France dévoile son plan pour une souveraineté numérique européenne

Comment assurer la sécurité de votre projet basé sur un VPS ?

Comment assurer la sécurité de votre projet basé sur un VPS ?