Une solution SIEM est devenue une partie intégrante de l’arsenal de sécurité d’une organisation. Mais les organisations négligent souvent les capacités du système, car elles pensent que les fonctionnalités des solutions SIEM sont trop complexes et l’architecture impénétrable. Malheureusement, elles négligent de faire correspondre les exigences de leur organisation avec les fonctionnalités du produit.
Par exemple, une organisation qui traite les informations relatives aux cartes de crédit de ses clients doit se conformer à la norme PCI-DSS. Une solution SIEM peut aider à générer des rapports prêts à être audités, ce qui signifie que l’organisation n’a pas besoin d’une solution distincte pour se conformer à la réglementation informatique.
Bien que n’importe quel fournisseur puisse vous présenter les caractéristiques d’un produit SIEM, il est toujours recommandé d’acquérir une expérience pratique de la solution avant de la choisir.
Les défis de l’évaluation des solutions SIEM
L’évaluation d’une solution SIEM est un processus délicat si l’on considère les différentes fonctionnalités offertes par chaque solution. De plus, la sécurité de chaque organisation est unique, et il n’est pas logique de suivre une liste de contrôle prédéfinie pour l’évaluation.
Pour qu’une entreprise puisse identifier un système SIEM qui réponde à ses besoins, il est essentiel de déterminer les lacunes de sa configuration de sécurité actuelle et d’évaluer la sécurité de ses filiales sur différents sites, le cas échéant. Bien entendu, toute solution SIEM doit être dotée de certaines fonctionnalités de base.
Fonctionnalités à rechercher dans une solution SIEM
Voici les sept principales caractéristiques d’une solution SIEM :
1.Surveillance de la sécurité du réseau
L’une des principales caractéristiques à rechercher dans une solution SIEM est sa capacité à surveiller la sécurité du réseau. Les entreprises disposent souvent d’un large éventail de dispositifs tels que des postes de travail, des routeurs, des pare-feu, etc. Une solution SIEM doit être capable de surveiller les différents appareils du réseau, d’identifier les vulnérabilités qui pourraient conduire à une attaque potentielle ou à une violation des données, et de tenir l’administrateur informé des menaces en temps réel. En outre, la solution doit être intégrée à des flux de menaces pour empêcher les sources de menaces connues d’interagir avec le réseau.
2.Analyse du comportement des utilisateurs et des entités
Dans les grandes organisations, il serait impossible pour l’administrateur de garder un œil sur tous les utilisateurs manuellement. Une solution SIEM doit être capable d’apprendre le comportement des utilisateurs et de dériver une ligne de base. Dès qu’il y a un écart par rapport à la ligne de base, l’administrateur doit être immédiatement alerté. En outre, si la solution peut attribuer un score de risque aux utilisateurs en fonction de leurs activités, les administrateurs auront plus de facilité à identifier un compte compromis ou un initié malveillant.
3.Prévention des pertes de données
Les entreprises traitent d’énormes quantités de données. Il peut s’agir d’un large éventail de fichiers sensibles tels que les informations personnelles des clients, les détails des cartes de crédit, les informations sensibles sur les prix, etc. Si ces informations ne sont pas stockées en toute sécurité, elles peuvent entraîner des fuites de données, des demandes de rançon et nuire à la réputation de l’entreprise. Identifier les accès non autorisés aux données d’une organisation et alerter ses administrateurs est une fonction essentielle d’une solution SIEM.
4.Sécurité du cloud
Selon l’enquête Digital Readiness Survey de ManageEngine, huit professionnels de l’informatique sur dix déclarent que la pandémie a entraîné une augmentation de l’utilisation du cloud. Bien que l’approche “lift and shift” de l’adoption du cloud rende la migration plus facile et transparente, en raison des différences entre les architectures sur site et dans le cloud, il peut y avoir des répercussions massives sur la sécurité.
C’est pourquoi il est conseillé de disposer d’une solution SIEM capable de surveiller les activités en cloud et d’identifier les menaces potentielles. Elle doit également être capable de surveiller et de fournir des informations sur l’utilisation des applications fantômes et interdites.
5.Audit de répertoire
La surveillance des activités des répertoires joue un rôle essentiel pour éviter tout accès non autorisé aux ressources critiques. La surveillance d’Active Directory doit être une partie essentielle d’une solution SIEM afin de s’assurer que les permissions sont configurées conformément aux stratégies internes de l’organisation et aux réglementations du secteur.
6.Renseignements sur les menaces
Le renseignement sur les menaces permet d’identifier les IP, URL, adresses électroniques, domaines, etc. malveillants, fournissant ainsi un meilleur contexte de sécurité et réduisant le temps moyen de détection des menaces.
7.Gestion des incidents du début à la fin
Les incidents de sécurité sont inévitables, quel que soit le degré d’optimisation du système de sécurité réseau d’une organisation. Cependant, une solution SIEM doit être capable d’automatiser la réponse aux incidents, réduisant ainsi l’impact des menaces de sécurité. Les administrateurs doivent également être alertés des incidents au fur et à mesure qu’ils se produisent. Une solution SIEM doit être capable de corréler les événements individuels, d’identifier des modèles, de détecter les attaques potentielles et d’y répondre.
Les solutions SIEM peuvent améliorer la sécurité globale d’une organisation, mais il est important d’adapter les capacités de la solution aux besoins de l’organisation en matière de sécurité. En outre, il est important de comprendre les capacités de base de la solution pour détecter et se défendre efficacement contre les cyberattaques.
Source :7 key features of SIEM that every enterprise administrator should be aware of
