7e RIAMS – Loglogic : le SIEM, une solution contre les risques… et non à risque
mai 2011 par Marc Jacob
UN RSSI est venu présenter l’évolution de son projet de SIEM dans le cadre de son Observatoire de la Sécurité des SI. Il utilise la solution de Loglogic et se fait assister par Atheos. Pour lui, pour obtenir plus facilement l’acceptation des utilisateurs, il faut monter ce projet dans le cadre de la nécessité de conformité et non de surveillance.
Après une présentation rapide de son Groupe, ce RSSI a décrit l’activité de son « Observatoire de la Sécurité des SI » qui est fort de 13 personnes. Ces missions sont de gérer au niveau du cœur de réseau un système de supervision, de veille stratégique informationnelle qui adresse la technologie, les menaces, l’obsolescence des technologies et tout ce qui tourne autour de l’image de son groupe. Il a une mission de coordination de crise au niveau SI, de contrôle et de conformité par rapport à la politique de sécurité…. Un certain nombre de menaces majeurs ont été répertoriés comme perte de la messagerie, les attaques ciblés, l’Hacktivisme…
Pour le projet SIEM, périmètre adresse l’interconnexion entre le réseau intérieur et l’extérieur. Il utilise le produit Loglogic. Il a été intégré dans le système existant de traitement et gestion des alertes. Le niveau 1 de cette équipe est composé d’une trentaine de personnes, au niveau 2 une dizaine de personnes, un niveau 3 a été aussi monté. Un Wiki a été mis à disposition de l’équipe de niveau 1.
Aujourd’hui, 250 millions de logs par jours sont analysés, 150 menaces a priori sérieuses sont répertoriées et deux incidents sont qualifiés donc environ 800 incidents de sécurité pour 2010.
Pour ce RSSI, il est possible de faire fonctionner un SIEM, mais il y a quelques conditions : industrialiser les dossiers et établir de façon documenter des scénarios de menaces. Dans son établissement, on ne parle de cyber-surveillance, mais de conformité et de non-conformité à la politique de sécurité afin de faire adhérer plus facilement les utilisateurs.
Techniquement, si on appuie son SIEM sur des scénarios compliqués, le système ne fonctionne pas. En revanche, si on fait des scénarios simples, le SIEM est efficace. Il faut aussi intégrer les évolutions du SI et donc intégrer le SIEM en amont des projets afin d’anticiper la gestion des changements. Enfin, il faut aussi être capable de prioriser les attaques.
Au niveau organisationnel, il faut sensibiliser les utilisateurs, communiquer auprès de la direction… Au départ le SIEM est fait pour contrôler ce qui se passe sur le SI, mais il faut aussi prévoir un système de contrôle du SIEM pour éviter les déviances. Bien sûr, il a déploré de trouver des activités illégales sur le SI comme du téléchargement… qui pose des problèmes d’image, mais aussi de relation en interne.
La communication doit aussi évoluer avec les menaces, l’évolution de la législation comme par exemple le « Paquet Telecom » qui va arriver prochainement ou encore les réquisitions judiciaires...
Par contre, il se pose la question de donner son SI à un MSSP, sachant que ce dernier aura une vue complète sur les règle de la politique de sécurité.
Il a mis l’accent sur l’importance de la qualité de l’intégrateur, Il travaille aujourd’hui avec Atheos.
Au niveau de l’évolution de la solution, il va aller vers plus de traçabilité, vers plus de communication vers les utilisateurs. Il préfère la pédagogie à la répression. Il souhaite aussi s’intégrer dans les stratégies métiers et avoir une approche 27001.
La prochaine étape est de devenir un CERT en interne pour avoir une légitimité au sein du Groupe, pour pouvoir être en relation avec l’extérieur. Le fait de devenir CERT lui permettra de bénéficier d’informations en provenance d’autres CERT.
Articles connexes:
- 7e RIAMS : Quand la famille de la sécurité se rencontre à Saint-Tropez
- 7è RIAMS : la dépérimétrisation du SI nécessite de repenser la sécurité
- 7e RIAMS : CA , ArcotID l’authentification forte au service des métiers
- 7e RIAMS : Kleverware, pour faciliter la Gouvernance des accès
- 7e RIAMS - Stonesoft : 5 recommandations face au défi du Cloud
- 7e RIAMS - SafeNet Misez sur le Cloud… en gardant les pieds sur terre !
- 7e RIAMS IBM : l’identité au centre des architectures ouvertes
- 7e RIAMS : Evidian, l’approche pragmatique de l’IAM
- 7è RIAMS, Qualys : les clés d’une gestion des vulnérabilités réussie
- 7è RIAMS, Microsoft : consumérisation, risque ou opportunité ?
- 7è RIAMS, Websense : Web 2.0, quelle stratégie de sécurité adopter ?
- 7è RIAMS, Trend Micro : virtualisation et cloud computing, comment migrer en toute sécurité ?
- 7è RIAMS, Oracle : la gestion des habilitations nécessite une attention particulière
- 7è RIAMS, Symantec : fuite d’information, comment ne pas être la prochaine victime ?
- 7è RIAMS : SSI, comment impliquer la direction générale et les métiers ?
- 7è RIAMS : gestion des identités, le choix des acteurs est primordial
- 7è RIAMS : Voyage en « DeloRIAMS »
- Michel Van Den Berghe, fondateur des RIAMS : Les RIAMS un esprit, des rencontres !