"Un SOC efficace ne peut pas uniquement s’appuyer sur un SIEM"

 |   |  1141  mots
(Crédits : DR)
89% des RSSI considèrent que leur service de cybersécurité ne répond pas à l’ensemble des besoins de leur organisation selon l’enquête annuelle “Global Information Security Survey” menée par EY. Pourtant près de 48% des entreprises déclarent bénéficier d’un SOC (Security Operation Center).

Un SOC a vocation à être le point central de la sécurité d'une entité. Il doit permettre l'amélioration et le contrôle de la sécurité à tous les niveaux temporels d'un incident : Prévention/Protection, Détection/Réaction et Investigation/Résilience/Renseignement. Le besoin des entreprises est d'avoir une vision exhaustive globale, opérationnelle et permanente de leurs sécurités, ainsi qu'une information rapide sur les incidents qu'elles rencontrent.

Le renforcement des obligations en matière de suivi de prévention et de suivi des incidents (RGPD, LPM) impose aussi de mettre en conformité et de suivre la conformité des systèmes d'information en termes de sécurité.

Pour répondre à ces différents points, les équipes opérant dans le SOC doivent pouvoir s'appuyer sur des sources d'informations multiples afin de couvrir l'ensemble des phases.

Lacunes d'un SIEM pour couvrir ce périmètre

Dans un système informatique, les logs permettent de savoir ce qui vient de se passer ou s'est passé il y a un certain temps. Le rôle d'un SIEM (Security Information Management System) est d'exploiter les logs.

Sur le plan temporel, le SIEM va donc pouvoir avoir un impact sur les phases de Détection/Réaction et d'Investigation. Mais, sans source d'information complémentaire, il sera peu utile sur la phase de Prévention/Protection.

Un SIEM n'est qu'un outil d'analyse de logs. Sa capacité est limitée aux informations fournies dans les logs. De fait, il ne sera pas en mesure de détecter des incidents ne laissant pas de traces sur les équipements dont les logs sont collectés. Cela le rend relativement inutile pour détecter un problème sur un système d'exploitation ou pour diagnostiquer l'impact d'un incident sur un système (telles une intrusion, l'installation de rootkit, l'altération du système ou des applications, ...).

Bien qu'étant la pierre angulaire d'un SOC, le SIEM a besoin de solutions complémentaires pour avoir une vision d'ensemble des faiblesses d'un SI et des événements s'y produisant.

Les principaux outils sont les solutions de contrôles de conformité en continue, de vulnérabilités et d'intégrité. Ces solutions permettent de fournir des informations sur les brèches utilisables par un attaquant, et suivent et tracent en profondeur les variations des systèmes ou les signes d'actions potentiellement illicites.

Apport des solutions de contrôles continus de vulnérabilités et de conformité

Selon Forrester, les vulnérabilités sont la première porte d'accès pour 53% des cyber-attaques. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) préconise l'ajout d'un scanner de vulnérabilité en continu comme bonne pratique de réduction de risques. Ce type de solution permet une meilleure détection et une amélioration de la réaction face aux menaces. Par ailleurs, maintenir ses systèmes en conformité permet d'en réduire le périmètre et donc les vulnérabilités. Vérifier toute évolution de ces états facilite la réaction à un dysfonctionnement ou à l'exploitation d'une brèche.

Le SIEM permet de détecter l'exploitation ou les tentatives d'exploitation de potentielles vulnérabilités d'un système d'information. Les tests de vulnérabilité et les mises en conformité visent à identifier de manière proactive les faiblesses de l'infrastructure et faciliter leur correction. Ils permettent aussi de vérifier quand une tentative d'attaque est détectée, si celle-ci peut, ou non, réussir.

Un SIEM fournit un nombre conséquent d'alertes tout au long de la journée. Les équipes sécurité doivent gérer cette masse d'informations importante et trier les véritables incidents de sécurité parmi de nombreux faux positifs. Un travail en amont, très chronophage, est aussi nécessaire pour configurer le SIEM selon ses besoins afin de trier les doublons et réduire les alertes.

Le fait de connaitre le niveau de risque des différentes cibles et leurs vulnérabilités permet de trier et prioriser efficacement les alertes remontées par le SIEM. Par exemple, s'il s'agit d'une anomalie sur un serveur sans vulnérabilité connue et non critique, la priorité est réduite et les équipes sécurité peuvent se concentrer sur des tâches plus importantes.

Comment construire un SOC efficace, pragmatique et le plus complet possible

Les standards de la sécurité comme l'ANSSI et le CIS (Center for Internet Security), entre autres, plébiscitent le recours à un SOC dans le cadre d'une politique de sécurité renforcée. Par ailleurs, certaines réglementations récentes l'imposent (LPM) ou le recommandent fortement (RGPD avec l'obligation du suivi de la sécurité).

La majorité des offres SOC s'avèrent être incomplètes pour répondre aux besoins. Elles se limitent à un SIEM et ne couvrent donc qu'une partie des attentes. C'est pour cela qu'il est nécessaire d'assembler des solutions complémentaires pour gérer le suivi de la sécurité de son infrastructure de "A à Z".

Le SIEM est la pierre angulaire du SOC mais il faut le coupler pour l'enrichir à des solutions de détection des vulnérabilités et de surveillance de l'intégrité en continu. C'est dans cette optique que les sociétés Oveliane (éditeur de solutions de contrôle continu de la conformité et de l'intégrité) et SecludIT se sont rapprochées.

"La complémentarité de nos solutions semble évidente pour couvrir l'ensemble du besoin et permet à nos clients d'avoir une vision complète de la sécurité avec leur SOC" ajoute Laurent Noë, PDG d'Oveliane.

Un des principaux avantages de ce couplage est que la solution ainsi formée peut empêcher le SIEM, qui traite une masse de données importante, de déclencher des alarmes trop fréquemment voire de faux positifs, le plus souvent lorsqu'il est déjà trop tard.

L'utilisation conjointe de ces 2 solutions dans un SOC permet aux entreprises de centraliser les logs dans le SIEM puis de construire les indicateurs de risque qui vont être les plus pertinents pour chacune d'elles. Elles pourront être alertées en temps réel de tout nouveau problème de sécurité ainsi que des vulnérabilités présentent sur leurs infrastructures

Sans logs pertinents, un SIEM est aveugle et le SOC inopérant. Apporter l'information sur l'état des vulnérabilités, sur le respect de la conformité et sur les changements est nécessaire pour que le SIEM donne une réelle vision de la sécurité et de l'ensemble des incidents se produisant dans un système d'information. Ce sont donc les éléments nécessaires pour qu'un SOC soit réellement utile, opérationnel et rende les services pour lesquels il est censé exister.

________________________________

SecludIT, basée à Sophia-Antipolis, est un éditeur de solutions de détection des failles en continu.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :