Pas un jour sans que, dans tous les secteurs économiques, des entreprises ne soient victimes d’intrusion, de piratage ou de vol d’informations. Ces cyberattaques et leurs conséquences prouvent la nécessité d’une surveillance et d’une protection de la gestion des accès au système d’information. Si elle ne veut pas obérer sa capacité opérationnelle, l’entreprise doit sérieusement prendre en compte ce risque pour maintenir un niveau élevé de la sécurité du S.I. Une solution de SIEM de dernière génération garantit la sécurité en assurant le contrôle et la traçabilité des opérations. Elle répond en outre aux normes et aux obligations réglementaires (ISO 27001, CNIL, Sarbanes-Oxley, PCI DSS, Bâle 2…). L’objectif principal du SIEM (Security Information and Event Management) est de gérer et analyser tous les événements qui surviennent sur le Système d’Information. Les logs, nous le savons, représentent une mine d’informations. Leur analyse permet de savoir ce qui se passe réellement sur le S.I. et fournit notamment des renseignements sur les comportements des utilisateurs.
SIEM et sécurité des accès.
Ceux qui disposent d’un SIEM savent qu’il sert de façon générale à superviser la sécurité du système d’information. Mais savent-ils que le SIEM peut mettre en évidence une tentative de connexion forcée (attaque par brute force) sur l’une des applications par un utilisateur ou encore, révéler qu’un utilisateur a eu la mauvaise idée de confier ses login/mots de passe à un tiers, ou pire qu’il est victime d’une usurpation d’identité ? Quand il s’agit de comptes à privilèges, le risque est encore plus lourd de conséquences et l’effet peut être dévastateur pour le S.I. L’analyse des logs peut en apprendre beaucoup sur le comportement des utilisateurs et sur la manière de renforcer les protocoles et politiques de sécurité.
Quelles possibilités ?
En fonction des connexions recensées par le SIEM, celui-ci peut par exemple mettre en lumière qu’un même utilisateur a fait, de façon répétée et dans un temps donné, la même requête d’authentification pour se connecter à une application. Est-ce normal ? Pour le SIEM, sûrement pas. Une succession de frappes pour tenter de se connecter pourrait bien prouver qu’une personne malveillante cherche à renseigner via un annuaire de mots de passe, le champ de connexion pour « forcer » la connexion et s’introduire dans les espaces réservés de l’application.
Dans le même ordre d’idée, que penser de deux connexions quasi concomitantes par un même utilisateur mais dont les logs de la première connexion mettent en lumière que l’utilisateur se trouve à un point A en France et les logs de la seconde connexion, le localise à un point B mais en Chine ? A moins d’être en présence d’un super-héros doué d’ubiquité, le SIEM y verra un cas caractéristique d’usurpation d’identité de l’utilisateur dont les codes sont utilisés par quelqu’un d’autre ou bien d’une initiative indue de partage de crédentiel (couple login/mot de passe) pour permettre à un tiers de bénéficier du même service.
Comment agit le SIEM ?
Une solution de SIEM apporte à l’organisation qui la met en place une supervision unique sur son système d’information. Sa vocation est de collecter, normaliser, agréger, corréler et enfin analyser des logs pour détecter des événements de sécurité issus des serveurs, des applications, des bases de données ou d’autres sources, avec le bénéfice du temps réel.
A quoi ressemble un log ? Un log tient sur une ligne qui contient de nombreuses informations très utiles comme l’adresse IP utilisée par l’utilisateur ou encore un horodatage. La moindre action générant des logs, c’est par la nature des paramétrages algorithmiques établis dans le SIEM qu’il devient possible, par exemple, établir les incohérences de lieu par rapport à un utilisateur, le nombre d’actions possibles pour un même utilisateur…
Bien interroger son SIEM par rapport aux multiples rapprochements possibles des données brutes présentes dans les logs permet un contrôle de haute volée et des prises de décisions facilitées. La création de scénarios spécifiques liés à la politique de sécurité de l’entreprise ou de l’organisation vient encore enrichir les fonctionnalités très riches déjà présentes dans les SIEM de dernière génération.
Le SIEM a bien d’autres usages complémentaires dont les entreprises doivent se saisir pour l’exploiter au mieux. Outre la sécurité, il peut aussi optimiser les processus métier par l’analyse des logs liés aux interfaces clients, permettant par exemple d’améliorer la fluidité d’une plateforme de ticketing / Help desk de l’entreprise, améliorer la performance d’un centre d’appels, d’un SAV etc. ressources souvent vitales pour la performance commerciale des entreprises connectées.
_____________
Frédéric Saulet est Directeur Régional Europe du Sud de LogPoint