La transformation numérique est une évidence pour la plupart des entreprises, des administrations et des organisations préparant leur avenir, à moyen comme à long terme. Tous les dirigeants d’entreprise savent que les nouvelles technologies ont radicalement modifié les pratiques en entreprise. Cette transformation si essentielle génère un flux colossal de données dont beaucoup d’entreprises ne savent pas comment tirer de la valeur. Comment en effet ne pas se retrouver noyé sous l’abondance des données générées et comment utiliser efficacement ces informations en temps réel ? Comment transformer les données en informations utiles, quel que soit le secteur d’activité de l’entreprise ?

Le SIEM (Security Information and Event Management) permet de gérer les événements du système d’information dans ce contexte de Big Data. Il s’appuie sur les logs (journaux des événements) et leur analyse. Il dépiste les comportements anormaux des utilisateurs, des serveurs, des applicatifs, du réseau et signale les incidents et les dysfonctionnements. L’entreprise exerce ainsi un contrôle continu de son système d’information. C’est une aide précieuse pour déceler les anomalies et assurer la conformité avec la politique de l’entreprise comme avec les exigences réglementaires liées à son secteur d’activité. Côté sécurité, les logs permettent de bien comprendre comment s’est déroulé un incident, une attaque, un vol de données, une intrusion dans le système d’information…

Faire vivre les données

De trop nombreuses entreprises, hormis celles qui appartiennent à un secteur d’activité sensible comme la banque ou la défense, n’ont pas encore mis en place de solution pour gérer les logs. Pourtant, en fournissant un cliché de ce qui s’est passé, les logs font partie de la mémoire de l’entreprise. A ce titre, leur exploitation intelligente est utile à tous les services de l’entreprise, de la DSI à la DAF et de la Direction commerciale à la Direction générale…

Avec le Big Data, la quantité de logs, et par conséquent d’informations disponibles, a été multipliée de façon exponentielle. C’est un défi de taille pour les entreprises, confrontées à cette masse de données. Les archiver ne suffit pas, il faut les faire vivre et les exploiter efficacement. Aux données opérationnelles des entreprises, le plus souvent structurées et stockées dans des bases de données, viennent se superposer une quantité de données non structurées comme les logs applicatifs dont l’exploitation est de plus en plus complexe.

Comprendre l’univers des données, posséder les règles de conservation des archives et savoir quelles sont les exigences légales et réglementaires est nécessaire. L’entreprise doit connaître les types de données dont elle dispose et adopter une méthodologie pour les traiter. Il lui faut, par exemple, prêter attention aux données personnelles et les supprimer comme l’exige la réglementation. Un tel travail demande une réelle collaboration entre les différents services – DSI, RSSI, Responsable de la mise en conformité, Service juridique… – et les prestataires externes pour bien définir les objectifs et les périmètres à observer. Il faut pour cela disposer de tableaux de bord et de vues exploitables par les différents départements de l’entreprise. La réactivité est évidemment indispensable et l’analyse en temps réel des données des logs permet à l’entreprise de réagir rapidement. Par exemple, en fournissant des informations sur l’évolution de l’utilisation des ressources informatiques, les logs permettent à la DSI d’anticiper les besoins. Autre exemple, les logs permettent de trouver rapidement l’origine d’un dysfonctionnement – une baisse des performances, un taux d’occupation critique d’un disque, etc. Une rapide intervention évitera l’interruption du service, la baisse de productivité, voire l’arrêt d’une chaîne de production… Ce qui se traduit toujours par une perte du chiffre d’affaires.

Le SIEM, outil de gestion et de prévention

Les domaines d’application du SIEM sont nombreux. Elément-clé de la stratégie de sécurité de l’entreprise, par exemple, le SIEM assure la surveillance et le contrôle de la sécurité du SI en temps réel. A l’heure où les cyber-attaques se multiplient, avec une sophistication toujours plus grande et des effets de plus en plus désastreux, les outils performants pour la sécurité sont une des clés de la continuité de l’activité et de la compétitivité. En analysant des millions de logs, une solution SIEM performante permet de repérer les fraudes, les accès interdits aux données, les modifications non autorisées, les exfiltrations de données… et d’enquêter a posteriori sur les incidents de sécurité.

Un des atouts majeurs du SIEM est sa capacité à identifier ce qui relève de l’activité « normale », détectant par là-même les situations «anormales ». Sur les bases d’une politique définie avant le déploiement, les événements considérés comme anormaux provoquent le déclenchement d’alertes en temps réel. Le responsable de la sécurité peut ainsi prendre les mesures nécessaires pour neutraliser l’attaque ou supprimer le dysfonctionnement.

La menace permanente des attaques exige une surveillance continue des réseaux et une analyse approfondie des données de l’entreprise que seul un outil SIEM est capable de fournir. Avec un coût nettement moins élevé et un déploiement beaucoup plus rapide et simple qu’on le suppose généralement, ce puissant outil est autant un moyen de prévention qu’un outil de gestion fine et efficace des événements. Une simple comparaison montre aux entreprises qu’une solution SIEM de qualité permet de disposer d’un niveau de sécurité élevé, face aux risques d’une cyberattaque pouvant générer plusieurs millions d’euros de pertes directes ou de baisse de chiffre d’affaires.

Les solutions SIEM flexibles d’aujourd’hui s’adaptent aux besoins de chaque entreprise. Elles contribuent à la pleine réussite de la transformation numérique des entreprises en gérant des volumes de données croissants provenant d’infrastructures complexes, dans un contexte où la sécurité est en permanence menacée. Dans un monde de plus en plus connecté, de plus en plus ouvert et dans lequel l’information circule en permanence, les données des entreprises s’accompagnent d’un niveau d’exigence de plus en plus élevé. Le SIEM aide les entreprises à se réinventer et à s’adapter pour rester compétitives.

 

__________
Frédéric Saulet est Directeur Régional Europe du Sud de LogPoint.