Skip to Content

Qu’est-ce qu’un système SIEM ? Définition et fonctionnement

SIEM est l’acronyme de « Security Information and Event Management », ou gestion des informations et des événements de sécurité en français. Dans la pratique, les solutions logicielles SIEM associent les avantages d’un système de gestion des informations de sécurité (SIM) et d’un système de gestion des événements de sécurité (SEM) dans une solution de sécurité complète capable d’analyser en temps réel les alertes de sécurité générées par vos applis et vos équipements.

Comment fonctionne un système SIEM ?

Le système SIEM collecte des informations dans les journaux et les données d’événement générées par les applications, les systèmes de sécurité et les équipements de l’entreprise. En mettant les événements en correspondance avec les règles et moteurs d’analytique, le système SIEM détecte les menaces de sécurité et les analyse en temps réel. Mieux encore, chaque élément est indexé pour faciliter la recherche et aider les équipes de sécurité à réaliser des analyses, à gérer les journaux et à établir des rapports.

Exemples de menaces détectables par une solution SIEM

Accès non autorisés

Une poignée de tentatives de connexion qui échouent, cela peut se comprendre. Mais si le numéro est composé jusqu’à 100 fois, c’est sans doute que quelqu’un tente de réaliser une attaque par force brute. Le logiciel SIEM surveille le comportement des utilisateurs et identifie les tentatives d’accès inhabituelles.

Menaces internes

Grâce à la surveillance permanente du comportement des employés, les systèmes SIEM peuvent détecter les menaces internes, qu’elles soient volontaires ou non. Des anciens employés dont les privilèges d’accès n’ont pas encore été supprimés aux utilisateurs internes malveillants qui peuvent essayer de voler ou de faire fuiter des informations confidentielles, sans oublier les modifications de sécurité accidentelles, les logiciels SIEM peuvent détecter tout comportement anormal et le transmettre pour analyse à un analyste de sécurité.

Hameçonnage

Les attaques d’hameçonnage consistent à se faire passer pour un organisme autorisé afin d’inciter les personnes ciblées à divulguer volontairement des informations personnelles ou confidentielles. L’hameçonnage passe le plus souvent par des e-mails incluant des liens ou des pièces jointes malveillantes, et provenant de pirates qui se font passer pour un fournisseur, un manager ou un membre du personnel. En complément d’une formation sur la sécurité, une solution SIEM est capable de détecter, par exemple, un employé qui se connecte depuis un lieu suspect à une heure inhabituelle, ce qui peut signifier que son compte a été piraté. Dans ce cas, vous pouvez bloquer l’accès au profil utilisateur en question pour éviter d’éventuelles atteintes, jusqu’à ce que l’employé ait confirmé qu’il était bien à l’origine de la tentative d’accès.

Attaques de type DoS (déni de service) et DDoS (déni de service distribué)

Les attaques de type déni de service (DoS) perturbent les services en inondant les réseaux d’un trafic suffisant pour paralyser les ressources système et provoquer un blocage. Si la fréquence de ces menaces augmente, c’est que les botnets peuvent facilement enrôler dans leurs essaims, à l’insu des utilisateurs, les périphériques réseau de ces derniers pour mener des attaques par déni de service distribué (DDoS). En surveillant les fichiers-journaux de votre serveur Web, le logiciel SIEM peut signaler les événements de trafic anormaux qui peuvent être le signe d’une attaque de type DoS ou DDoS. Si ce type d’attaque est détecté assez tôt, l’équipe de sécurité peut avoir le temps d’établir un système de défense et de préparer le rétablissement des services.

Injection de code

L’injection de code consiste à injecter du code malicieux dans des canaux d’entrée côté client, par exemple des formulaires en ligne, pour accéder à des systèmes ou à une base de données d’application. L’exemple le plus courant est l’injection SQL, qui consiste à insérer des commandes SQL dans des entrées non assainies, ce qui permet au pirate de modifier ou de supprimer des données directement dans la base de données. En surveillant l’activité depuis les applications Web, il est possible de signaler les incidents anormaux et, en corrélant les événements, de voir si le système a été modifié.

Ransomware et autres logiciels malveillants

Les ransomware, les virus, les vers, les chevaux de Troie et autres logiciels malveillants sont conçus pour s’infiltrer dans les systèmes informatiques et exécuter des programmes malveillants. La meilleure défense contre ces attaques est la prévention. Et justement, les systèmes SIEM offrent les capacités de surveillance nécessaires pour décrypter les journaux de sécurité, identifier les vecteurs d’attaque et détecter les comportements malveillants pouvant aboutir à une intrusion. Et en cas d’attaque réussie, le système SIEM peut également aider à déterminer l’étendue des dégâts et fournir à l’équipe de sécurité les informations nécessaires pour régler le problème.

Attaques MITM

On parle d’attaque MITM (man-in-the-middle), ou attaque de l’homme du milieu, lorsqu’un tiers malveillant intercepte les communications entre deux hôtes pour voler ou manipuler des informations. Lorsque les communications ont été interceptées, le pirate peut utiliser différentes techniques : détourner les sessions utilisateur en « reniflant » le mot de passe saisi ou injecter des paquets malveillants dans les flux de communication de données. Des connexions ou déconnexions fréquentes sur des sites inhabituels peuvent être le signe d’une attaque MITM. D’où l’intérêt du système SIEM, qui aide à détecter les oreilles indélicates avant qu’il ne soit trop tard.

Quand utiliser un système SIEM, en quelques exemples

Les systèmes SIEM sont des composants essentiels de toute infrastructure de sécurité d’entreprise. Voyons quelques exemples d’utilisation du SIEM.

Conformité aux normes relatives aux données

Les systèmes SIEM agrègent les données provenant des journaux d’événements, des outils de sécurité et des périphériques de l’ensemble de l’entreprise. C’est l’auxiliaire idéal pour la génération de rapports de conformité et de rapports réglementaires.

Voici quelques exemples :

  • RGPD : le Règlement Général sur la Protection des Données (RGPD) a été adopté par l’Union européenne (UE) pour protéger les données personnelles des citoyens européens.
  • HIPAA : la loi Health Insurance Portability and Accountability Act (HIPAA) adoptée aux États-Unis est destinée à protéger les informations médicales confidentielles des patients.
  • PCI : la Norme de sécurité des données pour l’Industrie des cartes de paiement (PCI-DSS) est une norme de sécurité des informations imposée par les principales sociétés émettrices de cartes de crédit afin de protéger leurs clients.
  • Conformité SOX : la loi Sarbanes-Oxley (SOX) est une réglementation américaine destinée à lutter contre la fraude comptable dans les grandes entreprises. Cette loi, qui s’applique aux conseils d’administration des sociétés cotées en bourse, aux dirigeants d’entreprise et aux cabinets comptables, exige des rapports précis sur l’emplacement de stockage des informations confidentielles, les personnes qui y ont accès et leur utilisation.

Comme le système SIEM offre un accès structuré aux informations des journaux et aux données de sécurité de toute l’entreprise, il facilite la création de rapports détaillés pour les organismes de réglementation comme pour les possesseurs de données individuels.

Détection des menaces de sécurité avancées

Comme nous l’avons vu en détail dans la section « Exemples de menaces détectables par une solution SIEM », les systèmes SIEM sont faits pour détecter les menaces de sécurité avancées. Prenons quelques exemples plus généraux pour savoir comment les systèmes SIEM participent activement à la détection des menaces.

  • Identification des anomalies : l’analytique comportementale et la corrélation des événements permettent de signaler les anomalies qui nécessitent un examen approfondi par les équipes de sécurité.
  • Exfiltration de données : parce que vous avez une vue d’ensemble sur l’utilisation des données, vous pouvez être prévenu des menaces internes et d’autres tentatives non autorisées de transfert d’informations confidentielles hors de l’entreprise.
  • Réponse aux nouvelles vulnérabilités : si un « exploit zero-day » ou une vulnérabilité du système est identifié, la solution SIEM permet de déterminer rapidement l’étendue de la vulnérabilité et de la corriger.
  • Enseignements à tirer des incidents passés : lorsqu’un incident se produit, vous pouvez vérifier rapidement s’il y a déjà eu des précédents. Les solutions trouvées par le passé peuvent vous aider à éviter que l’incident se reproduise et à résoudre plus rapidement les incidents récurrents.
  • Renseignements sur les menaces : appliquez l’IA à vos données de sécurité et vos journaux pour détecter les attaques sur vos systèmes informatiques. Comparez les signatures d’attaques connues aux données historiques.
  • Orientation des investigations : donnez aux analystes les moyens de tester leurs hypothèses en utilisant la plateforme SIEM pour explorer les données.

Sécurisation des déploiements IoT

L’Internet des objets (IoT) prend la forme d’un ensemble de périphériques réseau distribués, qui transmettent chacun en temps réel leurs propres journaux d’événements. Les systèmes SIEM sont parfaits pour sécuriser les déploiements IoT.

  • Surveillance des périphériques IoT : les périphériques IoT sont les principales cibles des détournements vers les botnets où ils sont utilisés pour mener des attaques DDoS. Une surveillance constante par un système SIEM peut vous aider à détecter les comportements anormaux, signes d’un périphérique compromis.
  • Surveillance du flux de données : les périphériques IoT utilisent souvent des protocoles de chiffrement pour communiquer entre eux. La solution SIEM est capable de détecter les schémas de trafic inhabituels entre les nœuds de votre réseau IoT et d’alerter les équipes de sécurité si des informations confidentielles sont compromises.
  • Contrôle des accès : en surveillant les accès (utilisateurs et heure) à vos périphériques IoT, vous pouvez détecter des activités ou des connexions suspectes.
  • Gestion des vulnérabilités : la solution SIEM peut vous aider à identifier les systèmes d’exploitation d’un certain âge et les vulnérabilités non corrigées dans votre parc de périphériques IoT. Elle peut également vous aider à isoler les périphériques les plus susceptibles d’être visés, par exemple parce qu’ils servent de point d’accès aux données confidentielles ou à des fonctions stratégiques.

Quelle différence entre une solution SIEM et un système de détection d’intrusion ?

Le système SIEM et le système de détection d’intrusion (IDS) se distinguent avant tout par le fait que le système SIEM a une fonction préventive, tandis que le système IDS est optimisé pour détecter et signaler les événements représentant une menace au moment où ils se produisent. Si les deux outils créent des alertes et génèrent des journaux, seul le système SIEM permet de centraliser et de corréler les informations de ces journaux sur différents périphériques et systèmes pour obtenir une vue d’ensemble de la sécurité de votre entreprise.

Les organisations associent souvent un système SIEM et un système IDS. Le système IDS sera utile au cours d’une attaque. La solution SIEM met les journaux IDS à la disposition des équipes de sécurité, avec d’autres informations système, pour qu’elles puissent générer des rapports de conformité et éviter de nouvelles attaques.

SIEM et SOAR : quelle différence ?

Les systèmes SOAR (Orchestration, automatisation et réponse aux incidents) sont relativement nouveaux. Ils prolongent les fonctionnalités du système SIEM en permettant l’automatisation des processus d’investigation, ce qui permet de traiter plus rapidement les alertes.

Le SIEM identifie les menaces en effectuant une corrélation des informations de différentes sources, y compris les firewalls, les applications, les serveurs et les périphériques. La solution SIEM tente de fournir les informations les plus pertinentes et des suggestions de résolution à l’équipe de sécurité. Mais c’est à cette dernière qu’il appartient de rechercher et de résoudre la source d’une menace potentielle.

La plateforme SOAR fait la même chose, et automatise en plus le parcours d’investigation. Elle ne se limite pas à alerter l’équipe de sécurité sur une menace potentielle mais, grâce à l’IA, apprend des comportements répétitifs et traite automatiquement les menaces grâce à l’orchestration.

Principaux fournisseurs de systèmes de cybersécurité SIEM

Voici quelques-uns des outils SIEM les plus vendus sur le marché :

 

Conclusion

Pour résumer, SIEM est l’acronyme de « Security Information and Event Management », ou gestion des informations et des événements de sécurité en français. Les outils SIEM permettent de détecter et de prévenir différentes menaces, notamment l’injection de code, les attaques de ransomware et les attaques DDoS. Ils sont particulièrement utiles pour détecter les anomalies, notamment les accès non autorisés, les tentatives de connexion suspectes et les flux de données inhabituels. Si vous avez besoin d’une plateforme de sécurité capable d’agréger les journaux de différentes sources dans un même emplacement central pour réaliser des analyses de sécurité, une solution SIEM pourra vous être utile.

CONTACTEZ-NOUS
Des questions, des commentaires ?

Vous avez des questions ou des commentaires concernant des produits ou certifications Pure ?  Nous sommes là pour vous aider.

Planifier une démo

Planifiez une démo en direct et découvrez comment Pure peut vous aider à transformer vos données. 

Tél. : +33 1 89 96 04 00

Services Médias : pr@purestorage.com

 

Pure Storage France

32 rue Guersant

75017 Paris

info@purestorage.com

 

FERMER
Votre navigateur n’est plus pris en charge !

Les anciens navigateurs présentent souvent des risques de sécurité. Pour profiter de la meilleure expérience possible sur notre site, passez à la dernière version de l’un des navigateurs suivants.