7 aspects à considérer pour évaluer une solution SIEM - RSA
7 aspects à considérer pour évaluer une solution SIEM - RSA
7 aspects à considérer pour évaluer une solution SIEM - RSA
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
L'objectif d'<strong>une</strong> <strong>solution</strong> <strong>SIEM</strong> est de maximiser la productivité<br />
des acteurs chargés de la sécurité.<br />
Les <strong>solution</strong>s de gestion des informations et<br />
événements de sécurité (<strong>SIEM</strong>) sont en passe de<br />
devenir l'un des éléments incontournables de<br />
l'infrastructure de sécurité de toute entreprise, jouant<br />
un rôle important dans la détection des menaces, la<br />
réponse aux incidents, l'investigation numérique<br />
Quelle que soit l'abréviation retenue (<strong>SIEM</strong>, SEM ou SIM),<br />
la gestion des informations et événements de sécurité est<br />
<strong>une</strong> préoccupation clé <strong>pour</strong> beaucoup d'entreprises (voir<br />
la brève description « Sécurité et <strong>solution</strong>s <strong>SIEM</strong> » en<br />
page 2). Selon Forrester Research1 , <strong>à</strong> la fin du premier<br />
semestre 2008, plus d'un tiers des entreprises étaient déj<strong>à</strong><br />
dans <strong>une</strong> phase d'adoption de la technologie SIM. Sur les<br />
259 décideurs sécurité d'entreprises européennes et nord<br />
américaines interrogés par Forrester, 32 % évoquent<br />
l'optimisation du reporting et de la conformité comme<br />
raison principale du déploiement d'<strong>une</strong> <strong>solution</strong> SIM et<br />
l'identification des incidents de sécurité arrive en<br />
deuxième position avec 20 % des réponses.<br />
Une <strong>solution</strong> <strong>SIEM</strong> a <strong>pour</strong> vocation de surveiller le<br />
moindre élément de l'entreprise et toucher l'ensemble de<br />
votre infrastructure : c'est <strong>pour</strong>quoi le choix d'un<br />
fournisseur est un engagement <strong>à</strong> long terme ayant un<br />
impact extrêmement important. En outre, les technologies,<br />
fonctionnalités et coûts totaux d'exploitation varient<br />
considérablement en fonction des <strong>solution</strong>s - rendant le<br />
choix d'autant plus complexe. Il est vrai que les<br />
entreprises ayant « eu des remords » après avoir choisi<br />
<strong>une</strong> <strong>solution</strong> qui n'était pas parfaitement adaptée <strong>à</strong> leurs<br />
besoins sont légion…<br />
Lorsque vous comparez les <strong>solution</strong>s, ne vous polarisez<br />
pas trop sur des fonctions très spécifiques comme<br />
l'interface utilisateur ou même les règles de corrélation.<br />
Au contraire, comme nous le proposons dans les sept<br />
recommandations que nous présentons ci-dessous,<br />
élargissez votre champ d'investigation en examinant l'offre<br />
de chaque fournisseur dans sa globalité, et notamment,<br />
l'envergure de la collecte des données événementielles et<br />
le degré d'intégration de la <strong>solution</strong>, <strong>à</strong> la fois interne et<br />
avec l'infrastructure environnante. Évaluez également la<br />
1 « Il faut s'attendre <strong>à</strong> de grands bouleversements dans le secteur des <strong>solution</strong>s SIM »,<br />
Paul Stamp, Forrester Research, 27.02.08<br />
légale (forensics) et la conformité aux standards de<br />
sécurité. Fort de son expérience avec plus de 1 300<br />
déploiements <strong>SIEM</strong> effectués avec succès <strong>à</strong> ce jour<br />
dans des entreprises de toutes tailles, <strong>RSA</strong> propose<br />
aux acheteurs potentiels sept critères d'évaluation<br />
des <strong>solution</strong>s proposées sur le marché.<br />
facilité de déploiement, l'évolutivité du produit et ses<br />
coûts totaux d'exploitation <strong>pour</strong> votre entreprise. Sans<br />
oublier bien entendu les points forts du fournisseur, et<br />
notamment son expertise dans le domaine de la sécurité,<br />
sa fiabilité financière, son implication dans la R&D et son<br />
degré d'indépendance par rapport aux fournisseurs et aux<br />
plates-formes. En choisissant <strong>une</strong> <strong>solution</strong> qui réponde <strong>à</strong><br />
vos besoins selon les critères évoqués ci-dessus, vous<br />
augmentez grandement les chances d'être satisfait sur le<br />
long terme.<br />
Recommandation n°1 : Définir votre modèle<br />
actuel de sécurité opérationnelle et l'utiliser<br />
<strong>pour</strong> déterminer vos exigences <strong>solution</strong><br />
Les entreprises utilisent des modèles de sécurité<br />
opérationnelle extrêmement divergents, et dans<br />
l'évaluation d'<strong>une</strong> <strong>solution</strong> <strong>SIEM</strong>, il est important de<br />
connaître clairement votre modèle afin de choisir <strong>une</strong><br />
<strong>solution</strong> qui corresponde exactement <strong>à</strong> vos besoins (et au<br />
budget) actuels tout en offrant suffisamment de flexibilité<br />
<strong>pour</strong> <strong>une</strong> évolution future.<br />
Certaines entreprises parmi les plus évoluées disposent<br />
d'un SOC (Security Office Center) centralisé où travaillent<br />
de nombreux analystes de sécurité, chacun ayant un<br />
secteur de responsabilité bien particulier (événements<br />
serveur, par exemple). Mais il est beaucoup plus courant<br />
d'avoir un petit groupe d'analystes, dont les rôles sont en<br />
premier lieu les opérations réseau ou informatiques de<br />
l'entreprise, et qui se partagent les responsabilités en<br />
matière d'opérations de sécurité. Il existe également un<br />
troisième modèle, le « SOC virtuel » dans lequel les<br />
membres sont géographiquement dispersés.