7 aspects à considérer pour évaluer une solution SIEM - RSA
7 aspects à considérer pour évaluer une solution SIEM - RSA
7 aspects à considérer pour évaluer une solution SIEM - RSA
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Les outils de workflow doivent être suffisamment flexibles<br />
<strong>pour</strong> prendre en charge et simplifier les processus<br />
d'investigation actuels de vos équipes. Ils doivent en<br />
même temps, permettre de gérer aisément les<br />
modifications imprévues des processus qui <strong>pour</strong>raient être<br />
implémentées dans le futur. Les fonctions de workflow<br />
doivent englober l'intégralité du cycle de vie des<br />
investigations - depuis l'identification et l'investigation<br />
initiale, en passant par le routage vers les membres de<br />
l'équipe les plus <strong>à</strong> même de traiter le problème, l'escalade<br />
automatique des incidents de haute priorité ou difficile <strong>à</strong><br />
résoudre, et jusqu'<strong>à</strong> la ré<strong>solution</strong>, la fermeture et<br />
l'archivage. Une intégration directe avec les principaux<br />
systèmes de génération de tickets d'incidents - tels que<br />
Peregrine et Remedy - permet de transférer en toute<br />
transparence les incidents actifs et toute l'investigation<br />
conséquente au « système d'enregistrement » corporate<br />
<strong>pour</strong> le suivi des événements et tickets d'incidents.<br />
Recommandation n°3 : Intégrer les exigences<br />
stratégiques au processus de sélection<br />
De plus en plus, l'efficacité des professionnels de la<br />
sécurité est déterminée par leur capacité <strong>à</strong> évoluer vers un<br />
nouveau rôle, c'est-<strong>à</strong>-dire de passer de protecteurs des<br />
ressources informationnelles de l'entreprise en initiateurs<br />
d'innovation et de réussite. Le choix d'<strong>une</strong> <strong>solution</strong> <strong>SIEM</strong><br />
nécessite donc non seulement de répondre aux exigences<br />
immédiates mais aussi de s'aligner avec les besoins<br />
métier stratégiques. Par exemple, la plate-forme doit<br />
intégrer suffisamment de fonctionnalités dans les trois<br />
principaux composants d'<strong>une</strong> <strong>solution</strong> <strong>SIEM</strong> - sécurité,<br />
conformité et opérations réseaux - de sorte qu'<strong>une</strong><br />
<strong>solution</strong> unique réponde <strong>à</strong> ces trois besoins, réduisant par<br />
conséquent les coûts et la complexité. Les éléments<br />
stratégiques <strong>à</strong> <strong>considérer</strong> incluent :<br />
– Les nouvelles initiatives métier, telles qu'<strong>une</strong><br />
acquisition, la mise en œuvre d'un service d'e-business<br />
important ou l'expansion d'un écosystème partenaire,<br />
ajoutent de nouvelles fonctions et de nouvelles<br />
exigences d'exploitation sur le réseau et créent de<br />
nouvelles zones de risques de sécurité. Une <strong>solution</strong><br />
<strong>SIEM</strong> doit être en mesure de planifier toutes ces zones<br />
Les outils d'investigation et de<br />
workflow jouent un rôle critique<br />
<strong>pour</strong> maximiser la productivité de<br />
l'équipe en charge des opérations<br />
de sécurité.<br />
en s'appuyant sur les données événementielles<br />
existantes <strong>pour</strong> vous aider <strong>à</strong> définir vos stratégies en<br />
termes d'opérations de sécurité et réseau. Et bien<br />
entendu, <strong>une</strong> fois ces initiatives en place, la <strong>solution</strong><br />
doit être en mesure de s'interfacer aisément avec de<br />
nouvelles sources d'événements <strong>pour</strong> capturer les<br />
données événementielles des opérations de sécurité et<br />
réseau que ces sources génèrent.<br />
– Conformité. Vous devez disposer d'<strong>une</strong> flexibilité<br />
suffisante <strong>pour</strong> répondre aux exigences de conformité<br />
nouvelles ou non prévues. Pour cela, il faut pouvoir<br />
consulter les événements précédemment capturés, et<br />
notamment ceux qui ne présentent actuellement aucun<br />
intérêt <strong>pour</strong> les régulateurs, mais qui peuvent se révéler<br />
d'<strong>une</strong> importance capitale <strong>pour</strong> de futurs audits. La<br />
collecte et la sauvegarde de tous ces événements de<br />
sécurité, et pas seulement les données se rapportant<br />
aux menaces et exigences de conformité actuelles, sont<br />
<strong>une</strong> étape obligatoire <strong>pour</strong> répondre aux exigences des<br />
audits futurs.<br />
– Gestion du risque informationnel. De plus en plus, les<br />
entreprises développent des approches <strong>pour</strong> identifier<br />
et mesurer où se situent leurs plus grands risques<br />
informationnels ( par exemple où résident les données<br />
critiques et où sont-elles les plus vulnérables) et<br />
utilisent ces informations <strong>pour</strong> prioriser les<br />
investissements en matière de sécurité. Votre<br />
fournisseur <strong>SIEM</strong> doit avoir <strong>une</strong> vision <strong>pour</strong> supporter la<br />
gestion du risque informationnel et <strong>une</strong> feuille de route<br />
définissant de façon claire et précise comment la<br />
3 Gartner, Dataquest Insight : Analyse prévisionnelle dans la sécurité des<br />
informations et la gestion des événements, <strong>à</strong> l'échelle mondiale, 2007-2012<br />
par Ruggero Contu et Mark Nicolett, 5 mars 2008<br />
Livre Blanc <strong>RSA</strong><br />
3