Le niveau d’information apporté par une solution de SIEM[1] est devenu incontournable dans la politique de management de l’information et de la sécurité IT des entreprises. Pour que la qualité de cette information, son traitement et ses implications collent au plus près avec la réalité de l’organisation, la méthode d’implémentation est essentielle. Dans ce court point de vue sont abordés les six points conçus pour augmenter le bénéfice organisationnel d’une solution de SIEM avant, pendant et après son déploiement. L’idée de base en est simple : le SIEM apporte une plus forte valeur ajoutée s’il améliore l’interaction entre les personnes, la technologie et les processus. Il s’agit d’un projet dans lequel tous les acteurs doivent être impliqués.

  1. Le besoin

L’information et la communication internes en amont doivent faire que l’ensemble des personnes et services concernés adhèrent au projet, que ce soit le management, les responsables système ou les analystes sécurité…. Chacun est ainsi en adéquation avec les objectifs et les attentes de la solution globale. Une fois l’architecture globale déterminée, un processus itératif doit en définir le périmètre de manière continue, en incluant la création de cas d’utilisation spécifiques et détaillés. L’entreprise doit avoir préparé un plan définissant l’intégration des nouveaux workflows et des informations auparavant inaccessibles. L’implémentation d’une solution de SIEM va en effet faire émerger de nouveaux processus business, ce qui changera complètement les processus antérieurs au sein de l’entreprise. Un des premiers exemples est la modification des rapports de conformité.

  1. Les ressources

Pour tirer tout le bénéfice d’une solution SIEM, il convient d’évaluer avec précision les ressources qui doivent être dédiées à sa mise en œuvre et à son bon fonctionnement. Les événements et les alertes qui en proviennent devront être triés et mis en correspondance avec le système de gestion de la sécurité de l’information ainsi qu’avec le système de gestion des risques de l’entreprise. Cela permettra une évaluation ultérieure et une investigation par un analyste de la sécurité. Prévoir aussi d’effectuer une formation du personnel, formation qui est le plus souvent proposée par le fournisseur retenu ou par son partenaire certifié.

  1. Les systèmes clés

Pour éviter toute lacune dans l’information et tout manque de données, il est crucial que tous les systèmes clés soient intégrés à la solution de SIEM. En impliquant les responsables du système et les autres intervenants dès le début de la mise en œuvre, on augmente sensiblement le support organisationnel. Les avis des participants à l’implémentation (actuels et futurs, techniciens et usagers) doivent être pris en compte dans la solution finale. Pour faciliter la création de cas d’utilisation, une des solutions les meilleures consiste à les trouver dans les exigences de sécurité et de gestion des risques de l’entreprise qui déploie la solution de SIEM.

  1. Les événements et alertes

Il convient d’établir un programme intégré de réponse aux incidents en connectant le SIEM au reste de l’organisation. Dans le cas contraire, il faut définir un processus de traitement des alertes et des événements générés par la solution de SIEM. Le fait d’ignorer des alertes ou des événements pourrait en effet entraîner la non détection d’événements de sécurité, voire même la perte de données sensibles.

  1. La transversalité

Les événements du SIEM peuvent conduire à une enquête sur des systèmes au sein de l’entreprise. Il est évident que l’analyste sécurité ne peut avoir la science complète ni les connaissances métier dans tous les domaines du système. Il aura donc besoin des ressources de plusieurs départements pour expliquer, comprendre et s’engager plus avant dans l’investigation. Cela signifie également que le management doit donner à la sécurité informatique, qui assure la responsabilité et la bonne marche de la solution de SIEM, l’autorité nécessaire pour agir sur l’évolution de l’infrastructure informatique. Par exemple, la solution de SIEM doit accueillir toute nouvelle application acceptée dans l’infrastructure informatique. Cela exige une nouvelle approche de la gouvernance IT et de l’analyse de sécurité, dont les responsables doivent être partie prenante de toutes les décisions relevant de l’infrastructure informatique.

  1. L’adaptation

La pertinence, l’efficacité et la précision du SIEM dépendent de la qualité de son intégration aux processus de gestion de changement de l’entreprise. Tout changement dans l’infrastructure informatique peut avoir un effet significatif sur les fonctionnalités du SIEM, et son utilisation doit être en permanence affinée afin de rester pertinente. Une défaillance dans ce domaine pourrait conduire à des faux positifs, à des événements ratés, à des erreurs sur des systèmes cruciaux de l’infrastructure IT, à la réduction du soutien organisationnel du SIEM, avec comme conséquence une perte de valeur pour l’organisation ou la société.

En guise de conclusion

Les points de gouvernance évoqués ci-dessus sont un canevas pour intégrer une solution de SIEM dans l’organisation, et pour faire aussi en sorte que l’organisation intègre le SIEM dans son fonctionnement. Il n’y a pas deux entreprises semblables. La solution doit donc s’adapter à l’actuel comme au futur flux de travail organisationnel, ainsi qu’à la gouvernance et à l’infrastructure. En définitive cette méthodologie permet d’assurer la pertinence de la solution, l’engagement de l’entreprise et d’augmenter le soutien organisationnel à la solution de SIEM. Un gage de réussite, de pérennité et d’efficacité sur le long terme.

 

_________
Frédéric Saulet est Directeur Régional Europe du Sud de LogPoint

[1] Appelés également SEM (security event management) ou SEIM (security event information management) ou encore SIEM (security information and event management), ils permettent de gérer et corréler les logs (Source : Wikipedia)