La délicate mise en ?"uvre du Siem - Security Information and Event Management

07/09/2007 à 00h00

Collecter et traiter les événements de sécurité et réseaux n'est pas un projet aussi facile. En témoignent deux retours d'expérience de Siem aux fortunes diverses.

Toujours plus de contraintes réglementaires, et donc toujours plus de rapports. L'Administration et les organismes publics n'y échappent pas. Et précisément, pour renforcer leurs capacités de reporting sur l'ensemble de leurs systèmes d'information, l'Opac de Paris (Office public d'aménagement et de construction) et le ministère du Travail, des Relations sociales et de la Solidarité se sont lancés dans le déploiement d'un outil de Siem (Security Information and Event Manager). ' Le plan Vigipirate nous oblige à conserver la trace des incidents éventuels, justifie Fabrice Pizzi, responsable sécurité pour le compte du ministère. Or nos sondes Niksun généraient beaucoup trop d'alertes. Nous ne savions pas traiter les informations qu'elles remontaient. ' En effet, avec 7,5 Go de logs bruts par jour et près de 3 millions d'alertes quotidiennes, garder la trace des incidents réellement significatifs s'avérait ardu. ' Nous avions plusieurs types de pare-feu, différentes passerelles antivirus, des serveurs Unix et Windows. Il nous fallait une solution pour centraliser leurs journaux ', poursuit-il.

Un moyen de rassurer sa direction

Même son de cloche à l'Opac de Paris, où la perspective de rendre des comptes sur le plan légal a poussé Didier Baumeister, responsable réseaux et informatique répartie, à chercher une solution d'agrégation des journaux des différents serveurs Windows et AS/400. ' Je veux aussi montrer à ma direction qu'elle dispose d'un SI efficace et sécurisé, et que les équipes travaillent bien ', ajoute Didier Baumeister.Au ministère du Travail, Fabrice Pizzi s'ouvre à Atos, son infogérant, de ses problèmes de consolidation des traces. La réponse proposée, ne mettant en ?"uvre que du reporting, est jugée insuffisante. ' Je voulais être prévenu lorsque nous étions piratés, et savoir exactement ce qui s'était passé. Atos s'est aperçu qu'il n'avait rien en la matière, alors qu'il disposait d'un SOC ' (Security Operation Center - NDLR). L'infogérant accepte d'acheter et de déployer un logiciel de Siem pour le compte du ministère. Après avoir évalué les outils de Netforensics, Network Intelligence, NetSecureOne, Intellitactics, Symantec et Exaprotect, il retient ce dernier. ' Autant pour sa grande polyvalence que pour son tarif vraiment plus attractif ', souligne Fabrice Pizzi. L'éditeur français a aussi bénéficié de la proximité et de la disponibilité de ses équipes de R&D.

La dernière pièce du puzzle sécurité

Pour Fabrice Pizzi, le Siem ne peut former que la dernière pièce d'un puzzle ardu. ' Il faut décorréler les projets : d'abord, des outils de détection et de prévention des intrusions ; ensuite, du bon reporting ; et, enfin, la corrélation. Mais avant d'acheter un logiciel de Siem, il faut déjà disposer de bonnes sondes, capables d'identifier des attaques, au lieu de se contenter de remonter tous les logs bruts, et se noyer ainsi dans la difficulté ', conseille le RSSI. C'est pourtant une fois déployé que le Siem révèle toute sa complexité. Le ministère du Travail a préféré laisser les équipes d'Atos s'occuper de l'administration du produit au quotidien. Et Fabrice Pizzi profite désormais d'un outil opérationnel et de rapports réguliers. L'Opac, en revanche, qui a tenté d'installer et de gérer le Siem de NetIQ en interne après une simple démonstration commerciale, n'a pas vécu la même expérience. ' Ce sont des produits de luxe, lourds, et très complexes à mettre en ?"uvre. Ils exigent une connaissance pointue des systèmes, et des mois de tuning ', constate Didier Baumeister.

Expertise exigée pour l'utilisation du Siem

Précisément, ce' tuning 'est au c?"ur de la difficulté à faire fonctionner un Siem. Le ministère du Travail y a consacré un bon mois, et le processus reste loin d'être terminé. ' Il faut vraiment s'associer à des experts au début pour affiner les informations remontées par le produit. Car cela exige une expertise concrète de la sécurité, conseille Fabrice Pizzi. Même avec un réglage particulièrement fin, il y a toujours des choses à qualifier manuellement. ' Pour ce faire, le ministère s'est reposé sur les équipes du Certa, l'organisme gouvernemental spécialisé. Faute d'une telle assistance, l'Opac peine aujourd'hui à justifier l'achat du produit. ' Il génère vraiment trop d'alertes au quotidien ! Il faudrait avoir un besoin très précis de reporting en temps réel pour justifier son utilité. Pour l'instant, j'ai du mal à présenter un retour sur investissement à ma direction ', reconnaît Didier Baumeister.Cependant, même si l'Opac ne parvient pas encore à exploiter son outil au mieux de ses capacités, son utilité n'est pas remise en doute. ' Il facilite l'analyse des logs a posteriori grâce à leur centralisation, et permet de détecter les problèmes de configuration. Nous avons ainsi une vision très précise des connexions et des messages échangés entre chaque machine, nous aidant à affiner au mieux notre système d'information ', justifie le responsable informatique. A l'avenir, les choses pourraient même évoluer. L'Opac s'est résolu à solliciter une prestation d'accompagnement auprès de son intégrateur. Une fois par mois, un consultant vient l'aider à configurer et exploiter l'outil de NetIQ. ' Sans son aide, j'aurais fini par mettre le produit à la poubelle ! explique Didier Baumeister. Mais, avec lui, je commence à envisager son utilisation dans le cadre de la conformité légale, en mettant en place des référentiels et à l'aide d'un module spécialisé. 'Outils complexes, les Siem semblent se prêter plus naturellement à l'infogérance. Mais en tant qu'outils de sécurité critiques, leur externalisation pose la question de la confidentialité. Dans le cas du ministère du Travail, la question a été résolue par le recours à un infogérant national et, surtout, historique. A l'inverse, se lancer seul dans l'aventure du Siem s'avère un pari audacieux, comme l'a découvert l'Opac. L'accompagnement se montre alors vital, tant lors du déploiement (installation des sondes, réglage de la sensibilité de l'outil, rédaction des procédures) que pour son exploitation (surveillance et acquittement des événements, qualification des alertes).redaction@01informatique.presse.fr

Les cinq fonctions du Siem

Les logiciels de Siem (Security Information and Event Manager) exploitent les informations générées sur le réseau par ses divers équipements : routeurs, serveurs, pare-feu, passerelles antivirus, etc. Ils assurent cinq grandes fonctions :
1. Collecte des événements sur les équipements. Avec ou sans agent, à partir des journaux spécifiques à chaque équipement. Cette opération s'effectue en temps réel ou a posteriori, à partir des journaux bruts conservés.
2. Normalisation des événements. Mise en un format unique standard (IDMEF, par exemple) ou propriétaire.
3. Corrélation des événements avec des informations extérieures : bases de vulnérabilités, audit de vulnérabilités préalable, etc.
4. Présentation. Sont affichés en priorité les incidents de sécurité exigeant une attention immédiate. Les alertes multiples ou inutiles sont supprimées.
5. Reporting. Génération de rapports selon divers formats (opérationnel, management, conformité légale), ou exportation des données vers un outil spécialisé.

Les leçons des deux projets

L'analyse des besoins
Polyvalence, simplicité d'utilisation, corrélation, capacité à gérer des tickets d'incident... Cette étape d'analyse est indispensable pour identifier le produit correspondant aux critères recherchés.

Le recours à l'infogérance
Libère les équipes opérationnelles de la gestion quotidienne d'un outil nécessairement lourd et complexe, afin de se focaliser sur son pilotage.

L'appui sur une expertise sécurité externe
Distinct de l'infogérant, cet intervenant a pour rôle d'assurer une meilleure qualification des alertes remontées par l'outil.

Le choix de l'outil sans analyse du marché
Les besoins immédiats auraient été mieux couverts par un outil de reporting standard.

Le déploiement et l'administration en interne
Le Siem requiert une expertise réseaux et sécurité forte, dont l'acquisition est souvent incompatible avec le peu de temps et le manque de disponibilité des équipes de production.

L'utilisation des seules règles par défaut Un Siem exige l'écriture de règles spécifiques pour coller aux spécificités de l'entreprise et du réseau qu'il surveille.

Avis d'expert : Didier Gras, responsable de l'activité ' threat management ' chez Alcatel-Lucent

Pour assurer la sécurité de certains de ses clients, l'équipementier recourt à un logiciel de Siem.

' La technique se révèle secondaire '

' Avant de choisir un logiciel de Siem, il convient surtout de s'y préparer en termes d'organisation. En réfléchissant aux procédures qui permettront de le faire vivre. Par exemple, à la façon de gérer l'évolution du parc. Au moindre patch, au moindre changement du format de log, il faut être en mesure de réagir rapidement et de reconfigurer le Siem pour qu'il demeure utile. '

' Un logiciel de Siem est une tour de contrôle, pas une tour d'ivoire '

' Il ne doit pas être isolé du reste des processus. Avant de le déployer, il s'agit de réfléchir à la manière de l'intégrer à la gestion des tickets d'incidents, à la gestion du changement, etc. L'outil doit s'intégrer à la démarche industrielle existante, sous peine de devenir inutile. Avant d'envisager son déploiement, il est nécessaire d'avoir mis en place une politique de sécurité et d'adopter une démarche industrielle dans la gestion de son système dinformation. '

Jérôme Saiz

Votre opinion