Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

7e RIAMS – Loglogic : le SIEM, une solution contre les risques… et non à risque

mai 2011 par Marc Jacob

UN RSSI est venu présenter l’évolution de son projet de SIEM dans le cadre de son Observatoire de la Sécurité des SI. Il utilise la solution de Loglogic et se fait assister par Atheos. Pour lui, pour obtenir plus facilement l’acceptation des utilisateurs, il faut monter ce projet dans le cadre de la nécessité de conformité et non de surveillance.

Après une présentation rapide de son Groupe, ce RSSI a décrit l’activité de son « Observatoire de la Sécurité des SI » qui est fort de 13 personnes. Ces missions sont de gérer au niveau du cœur de réseau un système de supervision, de veille stratégique informationnelle qui adresse la technologie, les menaces, l’obsolescence des technologies et tout ce qui tourne autour de l’image de son groupe. Il a une mission de coordination de crise au niveau SI, de contrôle et de conformité par rapport à la politique de sécurité…. Un certain nombre de menaces majeurs ont été répertoriés comme perte de la messagerie, les attaques ciblés, l’Hacktivisme…

Pour le projet SIEM, périmètre adresse l’interconnexion entre le réseau intérieur et l’extérieur. Il utilise le produit Loglogic. Il a été intégré dans le système existant de traitement et gestion des alertes. Le niveau 1 de cette équipe est composé d’une trentaine de personnes, au niveau 2 une dizaine de personnes, un niveau 3 a été aussi monté. Un Wiki a été mis à disposition de l’équipe de niveau 1.

Aujourd’hui, 250 millions de logs par jours sont analysés, 150 menaces a priori sérieuses sont répertoriées et deux incidents sont qualifiés donc environ 800 incidents de sécurité pour 2010.

Pour ce RSSI, il est possible de faire fonctionner un SIEM, mais il y a quelques conditions : industrialiser les dossiers et établir de façon documenter des scénarios de menaces. Dans son établissement, on ne parle de cyber-surveillance, mais de conformité et de non-conformité à la politique de sécurité afin de faire adhérer plus facilement les utilisateurs.

Techniquement, si on appuie son SIEM sur des scénarios compliqués, le système ne fonctionne pas. En revanche, si on fait des scénarios simples, le SIEM est efficace. Il faut aussi intégrer les évolutions du SI et donc intégrer le SIEM en amont des projets afin d’anticiper la gestion des changements. Enfin, il faut aussi être capable de prioriser les attaques.

Au niveau organisationnel, il faut sensibiliser les utilisateurs, communiquer auprès de la direction… Au départ le SIEM est fait pour contrôler ce qui se passe sur le SI, mais il faut aussi prévoir un système de contrôle du SIEM pour éviter les déviances. Bien sûr, il a déploré de trouver des activités illégales sur le SI comme du téléchargement… qui pose des problèmes d’image, mais aussi de relation en interne.

La communication doit aussi évoluer avec les menaces, l’évolution de la législation comme par exemple le « Paquet Telecom » qui va arriver prochainement ou encore les réquisitions judiciaires...

Par contre, il se pose la question de donner son SI à un MSSP, sachant que ce dernier aura une vue complète sur les règle de la politique de sécurité.

Il a mis l’accent sur l’importance de la qualité de l’intégrateur, Il travaille aujourd’hui avec Atheos.

Au niveau de l’évolution de la solution, il va aller vers plus de traçabilité, vers plus de communication vers les utilisateurs. Il préfère la pédagogie à la répression. Il souhaite aussi s’intégrer dans les stratégies métiers et avoir une approche 27001.

La prochaine étape est de devenir un CERT en interne pour avoir une légitimité au sein du Groupe, pour pouvoir être en relation avec l’extérieur. Le fait de devenir CERT lui permettra de bénéficier d’informations en provenance d’autres CERT.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants