J’entends souvent les responsables IT ou les RSSI me demander de justifier l’investissement dans un SIEM. Le simple fait de poser cette question sous-entend que, de leur point de vue, un SIEM est un « mangeur de budget ». C’est parfois le résultat de leur expérience, mais c’est surtout le produit de la rumeur ambiante. Voyons ce qu’il en est.

En investissant dans un système de gestion des informations et des événements de sécurité, les entreprises ont de grandes attentes, souvent renforcées par le discours des fournisseurs. Soyons clairs, la satisfaction n’est pas toujours au rendez-vous, le SIEM utilisé s’avérant très onéreux et trop complexe à l’usage. Les besoins en ressources humaines (nouveaux recrutements, formations nécessaires…) liés à la difficulté d’exploitation de solutions souvent lourdes font croître encore le coût de leur SIEM. Un SIEM est donc souvent perçu comme un produit coûteux, difficile à installer et compliqué à utiliser, et c’est précisément ce que de nombreux responsables ont vécu avec cette technologie

Rien ne justifie un tel coût ni une telle débauche de difficultés. Il n’y a aucune raison pour que cette technologie ne soit pas abordable, qu’il s’agisse d’un grand compte ou d’une PME ; aucune raison pour qu’elle soit difficile à installer et compliquée à utiliser.

Le SIEM est un moyen fabuleux et impressionnant pouvant rassembler des millions et des milliards de logs de données de l’entreprise générés par les pare-feu, les équipements réseaux, les ordinateurs portables, la VOIP, les systèmes entrants, etc., même si la taille de cette dernière est modeste. Il rassemble en un seul endroit toutes les données dispersées, extrait les points intéressants et vous le dit.

Si nous avons été capables de concevoir une technologie qui devrait nous simplifier la vie, pourquoi nous cause-t-elle autant de déboires et de grincements de dents ? Si nous sommes assez intelligents pour élaborer un système aussi fabuleux, pourquoi le faire complexe ? Ne pouvons-nous pas le concevoir facile à utiliser et d’un coût abordable ? Bien sûr que oui, à condition de le vouloir vraiment et de se mettre à la place des utilisateurs. Malheureusement la priorité a souvent été donnée au développement des produits avant de s’occuper des besoins clients.

Encore une fois, regardons ce que ceux-ci demandent. Des SIEM simples à installer, intuitifs à utiliser et qui facilitent leur vie au lieu de la compliquer. Une solution qui fonctionne avec les systèmes déjà installés, n’obligeant pas à effectuer de nouvelles dépenses pour de nouveaux matériels sans utilité. Un modèle de licence simple où l’on ne paie que ce que l’on doit, pour un prix juste, raisonnable et prévisible. Ils veulent aussi des rapports aisés à comprendre, des tableaux de bord fournissant une synthèse complète de la situation, permettant de mieux connaître l’état de sécurité réel de l’entreprise et de détecter les menaces en temps réel. Ils veulent aussi la possibilité d’enquêter plus efficacement et plus rapidement sur les incidents et de vérifier leur conformité réglementaire. Ce type de SIEM existe, il est aujourd’hui le support actif d’une démarche de Threat Intelligence, cette capacité à recueillir en temps réel l’information qui permet l’action juste et efficace contre les menaces.

 

____________
Frédéric Saulet est Directeur Régional Europe du Sud de LogPoint