NDR vs. SIEM
Dans la catégorie des outils de sécurité permettant de protéger le périmètre réseau, 2 outils émergent du lot. Il s’agit des NDR (aussi connus sous le nom IDS/IPS) et les SIEM. Ils sont souvent confondus, mais ils n’ont pas le même but.
Dans cet article, nous allons préciser le rôle de chacun d’eux.
NDR (Network Detection and Response)
Les NDR sont des technologies de détection des intrusions par excellence. On les branche à l'entrée du réseau généralement sur le commutateur principal du réseau (ou core-switch). Ils interceptent tout le trafic qui entre et sort du réseau et l’analysent pour détecter les signes d’attaques ou de comportement douteux. N’importe quel ordinateur qui communique dans le réseau est automatiquement découvert par le NDR, ce qui lui permet d’avoir une visibilité à 360 degrés du parc informatique.
Les NDR recherchent des signatures (ou pattern d’attaque) d’attaques dans le trafic réseau. Ils utilisent l’IA pour détecter les déviations de comportements qui sont le signe d’une cyberattaque.
Les NDR peuvent bloquer automatiquement les attaques (via le coupe-feu, etc.).
SIEM
Le SIEM est un outil qui permet de collecter et centraliser les événements de sécurité (ou logs) générés par les ordinateurs d’un parc informatique. Les SIEM collectent et stockent des journaux (logs) provenant de diverses sources réseau, telles que les serveurs, les bases de données, les routeurs, coupe-feu, etc. Son objectif: permettre d’avoir une vue unifiée des logs du réseau.
Des modules du SIEM (appelés agents) sont installés sur les ordinateurs à surveiller. Ce sont ces agents qui transmettent les logs au SIEM. Il est donc important de vous assurer d’installer un agent du SIEM sur tous les ordinateurs que vous souhaitez surveiller, sinon vous n’aurez aucune visibilité sur les attaques qui les ciblent.
Les SIEM offrent aussi d’autres moyens de collecter les logs sur les ordinateurs, tels que: l’utilisation du protocole SYSLOG.
Par défaut, les SIEM sont fournis avec des règles de détection d’attaques très basiques. C’est à vous de les faire évoluer et de les rendre plus efficaces. Vous avez la possibilité de créer des règles de détection (ou cas d’usage) pour surveiller des activités spécifiques. Par exemple:
- Les connexions avec succès à une base de données contenant des informations sensibles
- les créations d’utilisateurs qui ont lieu pendant la fin de semaine
- Les tentatives de connexion multiples échouées dans votre réseau
Comparaison NDR vs. SIEM
Fonctionnalités | NDR | SIEM |
Détection des intrusions connues | OUI | Par défaut, environ 20% des capacités du NDR |
Détection de trafic de maliciels connus | OUI | Par défaut, environ 20% des capacités du NDR |
Détection d’anomalies via l’IA | OUI | Souvent/partiel |
Détection de cyberattaques avancées (rançongiciels, shellcode/webshell, APT, etc.) | OUI | NON |
Détection des mouvements latéraux malicieux dans le réseau | OUI | NON |
Détection de cyberattaques dans le trafic chiffré | OUI (via l’IA) | NON |
Temps de déploiement | Heures (ex: 2H avec le NDR de Streamscan) | Semaines ou mois |
Installation d’agents sur les ordinateurs à surveiller dans le parc informatique | N/A | OUI |
Découverte automatique des ordinateurs du réseau | OUI | NON |
Installation d’agent sur chaque nouvel ordinateur | NON | OUI |
Maintenance en continu | NON | OUI |
Visibilité à 360 degrés du parc informatique | OUI | NON |
Détection des angles morts du réseau | OUI | NON |
Blocage automatique des attaques | OUI (via le coupe-feu, etc.) | NON |
Objectif de déploiement | Cyberdéfense | Conformité (PCI DSS, etc.) |
Conclusion
Comme vous l’aurez constaté, en termes de capacités de détection de cyberattaques, les SIEM sont très basiques comparés aux NDR. Si vous cherchez à protéger votre réseau contre les cyberattaques, utilisez un NDR.
La plupart du temps, le besoin d’utiliser un SIEM vient d’une obligation légale, contractuelle (ex PCI DSS). Il peut aussi être demandé par votre cyber-assureur. Le déployer vous permet de remplir certaines conformités et faire plaisir à votre cyber-assureur (ou autre), mais ne vous faites pas d’illusion, ce n’est pas garanti. Un SIEM ne vous protégera pas contre les cyberattaques. Ce n’est pas son rôle.
Si vous êtes obligé de déployer un SIEM pour des questions de conformité, et que vous souhaitez aussi vous mettre à l'abri des cyberattaques, déployez aussi un NDR.
Comment Streamscan peut vous aider?
L’expertise de Streamscan couvre le développement de technologies NDR, la surveillance de sécurité MDR, la réponse aux cyberattaques, etc.
Nous pouvons vous aider à mieux comprendre et traiter les problématiques et défis de la cybersécurité qui peuvent impacter votre organisation.
Parlez à l’un de nos experts ou appelez nous au +1 877 208-9040.