apinan - Fotolia

Le SIEM en mode SaaS, une offre émergente mais séduisante

Facturation simple et claire, déploiement rapide, équipes concentrées sur l’analyse et libérées de la maintenance… Le SIEM en mode SaaS multiplie les bénéfices. Mais il n’est pas forcément adapté à tous.

Certes, le choix d’un système de gestion des informations et des événements de sécurité (SIEM) commence par une précise définition des besoins. Mais face au coût que peut représenter un tel projet – au-delà de politiques de tarifaires restant, pour certaines, problématiques –, il peut être tentant de chercher à limiter les dépenses opérationnelles autres que celles strictement liée à l’exploitation du SIEM. C’est là que l’on retrouve l’idée du SaaS qui permet de confier à un tiers toute la maintenance liée à l’outil. L’approche peut rappeler celle consistant à s’appuyer sur un prestataire de services managés. Mais elle diffère.

Trois modèles de déploiement

Anton Chuvakin et Augusto Barros, de Gartner, se sont penchés sur le sujet. Dans une note à destination des clients du cabinet, ils reviennent ainsi sur les spécificités des trois modèles de déploiement d’un SIEM – en local, en mode SaaS, et en passant par un prestataire de services. Et la seconde option s’avère ne pas manquer d’attrait. Le mode offre ainsi une flexibilité et un niveau de contrôle élevés, comparables à un déploiement en local, la maintenant en moins. Il y a certes une complexité supérieure à celle induite par le recours à un prestataire, mais avec ce dernier, la flexibilité est souvent moindre : « la plupart des processus sont contrôlés par le fournisseur ».

La question des coûts n’est pas négligeable non plus. Anton Chuvakin et Augusto Barros soulignent ainsi des modèles tarifaires plus simples que pour le SIEM en local, avec l’absence de coût lié au matériel, mais également un support et une maintenance inclus dans le prix de souscription du SIEM en mode SaaS.

Dans la pratique, selon Gartner, le mode SaaS se traduit par une utilisation « plus active » du SIEM qu’avec un déploiement local. Et si tous les cas d’usage d’un système de gestion des informations et des événements de sécurité peuvent s’appliquer, quatre ressortent pour lesquels le SIEM en mode SaaS apparaît particulièrement recommandable : la supervision d’actifs informationnels en mode Cloud, la corrélation avec des indicateurs issus du renseignement sur les menaces, la chasse aux menaces, et l’intégration rapide de nouvelles sources de journaux d’activité.

La connectivité comme point noir

Anton Chuvakin et Augusto Barros n’ignorent toutefois pas les faiblesses du SIEM en mode SaaS. Et cela commence par la dépendance à la connectivité à Internet, comme pour toute solution en mode Cloud.

Mais pour le SIEM, « la perte de la connexion à Internet conduit à une interruption, une perte des flux de logs vers le SIEM, et la perte d’accès à la console par les utilisateurs ». Des mécanismes de stockage en tampon peuvent permettre de compenser pour un temps, mais les mécanismes d’analyse des journaux d’activité ne pourront reprendre qu’après le rétablissement de la connectivité. Et ce n’est pas tout : « les limitations de bande passante peuvent également limiter la capacité à collecter les logs ». Sans compter le risque de voir cette collecte affecter des liens partagés avec d’autres processus et systèmes.

En outre, comme pour tout service Cloud, le SIEM en mode SaaS peut soulever des questions de conformité réglementaire, avec notamment celle de la territorialité du stockage des logs, le cas échéant, mais également des questions de sécurité, comme le fait de confier des éléments d’identification au service pour permettre la collecte des logs. En fait, Anton Chuvakin et Augusto Barros le rappellent simplement : « tous les risques classiques liés au Cloud sont présents pour les implémentations de SIEM en mode SaaS ».

Enfin, si le modèle tarifaire de ce mode de déploiement peut séduire, il n’est pas exempt de risque : la facture dépend des quantités de données envoyées. Une croissance rapide de ces volumes peut faire exploser les coûts, « créant un risque de déni de service économique ».

Quelques acteurs, plus à venir

A ce jour, Anton Chuvakin et Augusto Barros identifient trois principaux acteurs sur le marché du SIEM en mode SaaS : FireEye avec Threat Analytics Platform (TAP), Rapid7 avec InsightIDR, et AlienVault avec USM Anywhere. Les deux analystes soulignent l’effort de ce dernier sur le segment des PME, et saluent l’éventail d’outils intégrés. Mais ils relèvent l’absence de fonctionnalités d’analyse comportementale (UEBA) et de worflows avancés. De leur point de vue, TAP souffre également de fonctionnalités d’UEBA « limitées », ou encore de l’absence d’intégration avec Active Directory et de workflows avancés, sans produit tiers. Mais Anton Chuvakin et Augusto Barros soulignent des capacités d’analyse du trafic « robustes » et de capacités natives d’EDR, avec HX, d’intégration avec les sources de renseignement sur les menaces, ou encore de supervision Cloud.

Selon les analystes, InsightIDR souffre également de l’absence de capacités de workflow avancées natives, mais profite de fonctionnalités d’EDR « robustes », et d’intégrations avec des mécanismes de leurre. Et c’est sans oublier les capacités de supervision cloud et d’analyse comportementale natives.

Pour Anton Chuvakin et Augusto Barros, ce n’est qu’un début : « les développements de fournisseurs de SIEM en local comme Splunk et IBM montrent que ce type de service devrait continuer de croître en volume » et nombre d’offres. Selon eux, il est même possible que des acteurs du Cloud tels qu’Amazon et Microsoft s’intéressent à leur tour au SIEM en mode SaaS.

La carte de la prudence

En attendant que le marché ne murisse et ne s’étoffe, les analystes multiplient les recommandations. Cela commence bien sûr par une évaluation précise de ses besoins, ainsi que par celle des offres disponibles.

Mais une fois le choix arrêté, il convient aussi de bien se préparer, notamment en évaluant ses besoins à venir en bande passante montante, mais également en soignant sa connectivité et ses stratégies de résilience et de continuité – avec notamment le stockage des logs en tampon.

Surtout, comme pour tout service Cloud ou service externalisé, Anton Chuvakin et Augusto Barros conseillent une stratégie de repli, détaillée et structurée. Laquelle peut être d’ailleurs simplifiée avec une bonne stratégie de sauvegarde des logs, en interne, elle aussi chaudement recommandée. 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close