SIEM

Approche de la gestion de la sécurité, la gestion des informations et des événements de sécurité – ou SIEM (Security Information and Event Management) – fournit une vue holistique de la sécurité informatique d'une entreprise.

L'acronyme se prononce « sim » et non « sième » (le e est muet). 

Le principe d’un SIEM consiste à examiner depuis un guichet unique les données relatives à la sécurité de l'entreprise qui sont générées en de nombreux points. Cette approche facilite l'identification d'éventuelles tendances et de schémas inhabituels.

Une solution SIEM combine des fonctions de gestion des informations (SIM, Security Information Management) et des événements (SEM, Security Event Management) au sein d'un système unique de gestion de la sécurité.

Un système SEM centralise le stockage et l'interprétation des logs, et permet une analyse en quasi-temps réel. Le personnel de sécurité peut ainsi prendre des mesures défensives plus rapidement.

Un système SIM collecte des données et les place dans un référentiel central à des fins d'analyse de tendances. La génération de rapports de conformité est automatisée et centralisée. En regroupant ces deux fonctions, les systèmes SIEM accélèrent l'identification et l'analyse des événements de sécurité, ainsi que la restauration qui s'ensuit. Ils permettent aux responsables de satisfaire aux exigences légales de conformité de l'entreprise.

En outre, un SIEM collecte tout document lié à la sécurité, notamment les journaux, à des fins d'analyse. La plupart des systèmes SIEM fonctionnent en déployant une multitude d'agents de collecte de manière hiérarchique. Ces agents collectent alors des événements liés à la sécurité sur les appareils des utilisateurs, les serveurs, les équipements réseau, voire les équipements spécialisés de sécurité, tels que les pare-feu, ou encore les systèmes antivirus et anti-intrusions. Les collecteurs ainsi installés font suivre les événements à une console d'administration centralisée qui procède à des inspections et signale les anomalies.

Pour permettre au système d'identifier des événements anormaux, il est important que l'administrateur SIEM élabore en premier lieu un profil du système dans des conditions normales de fonctionnement.

Au niveau le plus élémentaire, un système SIEM peut reposer sur des règles ou utiliser un moteur de corrélation statistique pour établir des relations entre les entrées du journal des événements. Sur certains systèmes, un pré-traitement peut intervenir au niveau des collecteurs. Seuls certains événements sont alors transmis au nœud d'administration centralisé. Ce prétraitement permet de réduire le volume d'informations communiquées et stockées. Toutefois, cette approche comporte le risque de filtrer des événements pertinents de manière trop précoce.

En général, le déploiement de systèmes SIEM est coûteux, tandis que leur administration et leur exploitation s'avèrent complexes.

Si l'impératif de conformité à la norme PCI DSS (Payment Card Industry Data Security Standard) favorise généralement l'adoption d'une solution de ce type dans les grandes entreprises, de nombreuses PME, inquiètes face aux menaces avancées persistantes (APT), commencent à se pencher sur les avantages que peuvent offrir les prestataires de services de sécurité managés proposant l'approche SIEM.