Inscrivez-vous gratuitement à la Newsletter BFM Business
Collecter et traiter les événements de sécurité et réseaux n'est pas un projet aussi facile. En témoignent deux retours d'expérience de Siem aux fortunes diverses.
Toujours plus de contraintes réglementaires, et donc toujours plus de rapports. L'Administration et les organismes publics n'y échappent pas. Et précisément, pour renforcer leurs capacités de reporting sur l'ensemble de leurs systèmes
d'information, l'Opac de Paris (Office public d'aménagement et de construction) et le ministère du Travail, des Relations sociales et de la Solidarité se sont lancés dans le déploiement d'un outil de Siem (Security Information and Event Manager).
' Le plan Vigipirate nous oblige à conserver la trace des incidents éventuels, justifie Fabrice Pizzi, responsable sécurité pour le compte du ministère. Or nos sondes Niksun généraient beaucoup trop
d'alertes. Nous ne savions pas traiter les informations qu'elles remontaient. ' En effet, avec 7,5 Go de logs bruts par jour et près de 3 millions d'alertes quotidiennes, garder la trace des incidents réellement
significatifs s'avérait ardu. ' Nous avions plusieurs types de pare-feu, différentes passerelles antivirus, des serveurs Unix et Windows. Il nous fallait une solution pour centraliser leurs journaux ',
poursuit-il.
Un moyen de rassurer sa direction
Même son de cloche à l'Opac de Paris, où la perspective de rendre des comptes sur le plan légal a poussé Didier Baumeister, responsable réseaux et informatique répartie, à chercher une solution d'agrégation des journaux des différents
serveurs Windows et AS/400. ' Je veux aussi montrer à ma direction qu'elle dispose d'un SI efficace et sécurisé, et que les équipes travaillent bien ', ajoute Didier Baumeister.Au ministère du Travail, Fabrice Pizzi s'ouvre à Atos, son infogérant, de ses problèmes de consolidation des traces. La réponse proposée, ne mettant en ?"uvre que du reporting, est jugée insuffisante. ' Je
voulais être prévenu lorsque nous étions piratés, et savoir exactement ce qui s'était passé. Atos s'est aperçu qu'il n'avait rien en la matière, alors qu'il disposait d'un SOC ' (Security Operation Center - NDLR).
L'infogérant accepte d'acheter et de déployer un logiciel de Siem pour le compte du ministère. Après avoir évalué les outils de Netforensics, Network Intelligence, NetSecureOne, Intellitactics, Symantec et Exaprotect, il retient ce dernier.
' Autant pour sa grande polyvalence que pour son tarif vraiment plus attractif ', souligne Fabrice Pizzi. L'éditeur français a aussi bénéficié de la proximité et de la disponibilité de ses équipes de
R&D.
La dernière pièce du puzzle sécurité
Pour Fabrice Pizzi, le Siem ne peut former que la dernière pièce d'un puzzle ardu. ' Il faut décorréler les projets : d'abord, des outils de détection et de prévention des intrusions ; ensuite, du bon
reporting ; et, enfin, la corrélation. Mais avant d'acheter un logiciel de Siem, il faut déjà disposer de bonnes sondes, capables d'identifier des attaques, au lieu de se contenter de remonter tous les logs bruts, et se noyer ainsi dans la
difficulté ', conseille le RSSI. C'est pourtant une fois déployé que le Siem révèle toute sa complexité. Le ministère du Travail a préféré laisser les équipes d'Atos s'occuper de l'administration du produit au quotidien. Et
Fabrice Pizzi profite désormais d'un outil opérationnel et de rapports réguliers. L'Opac, en revanche, qui a tenté d'installer et de gérer le Siem de NetIQ en interne après une simple démonstration commerciale, n'a pas vécu la même expérience.
' Ce sont des produits de luxe, lourds, et très complexes à mettre en ?"uvre. Ils exigent une connaissance pointue des systèmes, et des mois de tuning ', constate Didier Baumeister.
Expertise exigée pour l'utilisation du Siem
Précisément, ce' tuning 'est au c?"ur de la difficulté à faire fonctionner un Siem. Le ministère du Travail y a consacré un bon mois, et le processus reste loin d'être terminé.
' Il faut vraiment s'associer à des experts au début pour affiner les informations remontées par le produit. Car cela exige une expertise concrète de la sécurité, conseille Fabrice Pizzi. Même avec un réglage particulièrement
fin, il y a toujours des choses à qualifier manuellement. ' Pour ce faire, le ministère s'est reposé sur les équipes du Certa, l'organisme gouvernemental spécialisé. Faute d'une telle assistance, l'Opac peine aujourd'hui à
justifier l'achat du produit. ' Il génère vraiment trop d'alertes au quotidien ! Il faudrait avoir un besoin très précis de reporting en temps réel pour justifier son utilité. Pour l'instant, j'ai du mal à présenter un
retour sur investissement à ma direction ', reconnaît Didier Baumeister.Cependant, même si l'Opac ne parvient pas encore à exploiter son outil au mieux de ses capacités, son utilité n'est pas remise en doute. ' Il facilite l'analyse des logs a posteriori grâce à leur centralisation,
et permet de détecter les problèmes de configuration. Nous avons ainsi une vision très précise des connexions et des messages échangés entre chaque machine, nous aidant à affiner au mieux notre système d'information ',
justifie le responsable informatique. A l'avenir, les choses pourraient même évoluer. L'Opac s'est résolu à solliciter une prestation d'accompagnement auprès de son intégrateur. Une fois par mois, un consultant vient l'aider à configurer et
exploiter l'outil de NetIQ. ' Sans son aide, j'aurais fini par mettre le produit à la poubelle ! explique Didier Baumeister. Mais, avec lui, je commence à envisager son utilisation dans le cadre de la
conformité légale, en mettant en place des référentiels et à l'aide d'un module spécialisé. 'Outils complexes, les Siem semblent se prêter plus naturellement à l'infogérance. Mais en tant qu'outils de sécurité critiques, leur externalisation pose la question de la confidentialité. Dans le cas du ministère du Travail, la
question a été résolue par le recours à un infogérant national et, surtout, historique. A l'inverse, se lancer seul dans l'aventure du Siem s'avère un pari audacieux, comme l'a découvert l'Opac. L'accompagnement se montre alors vital, tant lors du
déploiement (installation des sondes, réglage de la sensibilité de l'outil, rédaction des procédures) que pour son exploitation (surveillance et acquittement des événements, qualification des alertes).redaction@01informatique.presse.fr
Votre opinion