Le SIEM n’est pas un IDS/IPS et ne vous protège pas contre les cyberattaques
Une grosse confusion règne dans le domaine de la cybersécurité concernant l’utilisation des SIEM (Security Information and Event Management) pour sécuriser les réseaux. À tort ils sont assimilés à ces outils permettant de détecter les cyberattaques qui ciblent les organisations. Évidemment ce n’est pas le cas et ce n’est qu’après un incident de sécurité (rançongiciel, etc) que plusieurs organisations le découvrent.
Qu’est-ce qu’un SIEM ?
Le SIEM est à la base un outil d’agrégation de données et d'informations de sécurité. Les SIEM collectent et stockent des journaux (logs) provenant de diverses sources réseau, telles que les serveurs, les bases de données, les équipements de télécommunications, les coupe-feux et autres systèmes de sécurité. Chaque action qu’une organisation souhaite suivre à la trace doit être identifiée puis configurée et activée dans le parc informatique par un technicien. À partir du SIEM, il sera ensuite possible de consulter les données agrégées ou de les corréler pour détecter des cas d’attaques informatiques par exemple.
La plupart des SIEM offrent un tableau de bord dans lequel les données collectées sont organisées et présentées à l’utilisateur pour analyse, corrélation et prise de décision. Les SIEM stockent également les données pour une période de temps définie par l’organisation (ex. : 1 an), ce qui permet aux équipes de sécurité de plonger dans les données recueillies aux fins
d'enquête, le cas échéant.
Le SIEM détecte que des intrusions basiques
Les SIEM sont fournis avec des règles qui permettent de détecter certains scénarios malicieux basiques, par exemple: des tentatives de connexions échouées, des connexions douteuses à partir d’un compte administrateur, la création d’un compte usager, etc.
Ensuite c’est à vous de jouer! Vous devez créer vos propres règles de détection (communément appelés cas d’usage /use case) pour améliorer votre SIEM et le rendre plus efficace. Vous pouvez aussi créer de nouvelles règles à partir de règles existantes, ce qu’on appelle la corrélation.
Avec l’explosion du nombre de cybermenaces depuis la COVID-19, il est irréaliste aujourd’hui de définir l’ensemble des scénarios d’attaques auxquels une organisation peut être confrontée. De plus, le SIEM est un outil passif dans la mesure où il ne dispose pas de fonctionnalités permettant de bloquer les cybermenaces.
Une efficacité liée à l'expertise de celui qui configure le SIEM
Il faut retenir que l’efficacité d’un SIEM est étroitement liée au niveau d’expertise en sécurité opérationnelle de celui ou celle qui le configure. Si vous le faites configurer par une personne qui n’a pas d’expertise en cybersécurité opérationnelle, considérez que la capacité de détection de votre SIEM sera basse.
Si vous déployez un SIEM avec ses configurations par défaut et ne faites pas évoluer ses règles, vous serez très peu sécurisé.
Manque de visibilité 360 degrés du réseaux et existence d’angles morts
Déployer un SIEM dans un réseau est une tâche ardue et minutieuse.
- Vous devez d’abord identifier quels types d’événements pertinents doivent être journalisés et envoyés à votre SIEM. Ce n’est pas une bonne idée d’envoyer tous les événements à votre SIEM car cela risque de saturer votre réseau et la base de données de votre SIEM.
- Vous devez ensuite configurer chaque machine de votre parc informatique pour journaliser ces types d’événements et les envoyer à votre SIEM.
Le mode de déploiement des SIEM augmente de facto le risque d'existence d’angles morts dans votre réseau
- Si vous oubliez de journaliser des événements sur une machine de votre parc informatique (serveur, base de données, ordinateur, etc.), le SIEM n’aura aucune visibilité sur sa sécurité. Vous ne saurez donc pas si ladite machine est attaquée ou non.
- Si une attaque exploite un type d’événement que vous n’avez pas journalisé, votre SIEM restera muet et vous ne saurez pas que vous subissez une attaque. Par exemple, si vous ne journalisez pas les arrêts des antivirus, votre SIEM ne saura pas si un antivirus a été arrêté malicieusement. Or, ceci est très utilisé lors des attaques par rançongiciel.
- Un SIEM ne donnera pas de visibilité sur les attaques qui ciblent les technologies d’opération et les systèmes de contrôle industriels (OT, PLC, etc.) car il n’a pas été conçu pour cela.
Les SIEM sont très souvent déployés pour la conformité et non pour la sécurité
Très souvent la mise en place d’un SIEM est liée à une obligation de conformité. Ainsi, vous devez avoir un SIEM dans votre réseau pour être conforme à la norme de l’industrie des cartes de paiement PCI DSS. L’utilisation du SIEM peut aussi être une exigence de votre cyber-assureur. Il est aussi possible que certains de vos partenaires exigent que vous ayez un SIEM en place pour faire affaire avec vous.
Si vous avez le SIEM en place, vous cochez une case et vous êtes conformes. Mais vous n’êtes pas pour autant protégés contre les cyberattaques car le SIEM n’est pas un système de détection d’intrusions.
Pourquoi certains fournisseurs de services de surveillance de cybersécurité (SOC, MSSP, MDR) utilisent des SIEM
Certains fournisseurs de services de surveillance de sécurité bâtissent effectivement leurs offres sur des SIEM. Ils s’occuperont du déploiement du SIEM et sa configuration. Très souvent le SIEM sera activé avec la configuration par défaut, ce qui est minimaliste en termes de protection. Ce niveau de service correspondra à des organisations qui veulent avoir une sécurité de base. En effet, c’est toujours mieux que de ne rien avoir en place.
Notez aussi qu’un SIEM déployé en interne ou par votre fournisseur de service de surveillance externe doit s’entretenir. Si vous installez un nouveau serveur et que vous n’informez pas votre fournisseur externe afin qu’il le prenne en compte dans sa surveillance, vous venez de créer un angle mort dans la gestion de votre sécurité. Et cet angle mort peut vous être fatal.
Les SIEM pour la conformité, les IDS/IPS/NDR pour la sécurité
Si votre objectif est la conformité, déployez un SIEM et cochez la case. Vous pouvez le gérer en interne ou le faire gérer par un fournisseur externe en impartition.
Si votre objectif est de vous protéger contre les cyberattaques, vous devez absolument déployer un système de détection d’intrusions (IDS/IPS/NDR) tel que le CDS de Streamscan qui a été sélectionné comme innovation par le Fédéral. Le CDS est une technologie brevetée (brevet américain) qui capture tout le trafic qui entre et sort d’un réseau informatique et l’analyse pour détecter via l’IA les comportements douteux, les anomalies et les signes d’attaques grâce à des signatures et à l’IA. Il donne une visibilité à 360 degrés de la sécurité du réseau et découvre automatiquement les machines qui communiquent dans votre réseau, ce qui élimine les angles morts. Les attaques et trafics malicieux détectés par le CDS sont bloqués dans votre firewall afin d'éliminer leur impact.
Enfin, si vous êtes obligés de déployer un SIEM pour la conformité et qu’en plus vous voulez vous protéger réellement contre les cyberattaques, vous pouvez déployer un IDS/IPS/NDR en complément de votre SIEM. Ces 2 technologies ne sont pas incompatibles.
Découvrez comment notre CDS et le service MDR peuvent assurer la sécurité de votre réseau
Nous sommes convaincus qu'après avoir vu les résultats de notre surveillance à distance de la sécurité MDR, vous ne voudrez plus laisser votre réseau sans protection. Nous vous proposons donc une évaluation gratuite de 30 jours qui comprend :
- Une séance d'information
- Configuration du CDS dans votre réseau
- Evaluation et preuve de valeur gratuite de 30 jours
Parlez à l'un de nos experts ou appelez-nous au +1 877 208-9040.