Pourquoi s'y intéresser : les logiciels de SIEM (Security Information and Event Management) servent à corréler les logs, à savoir l'ensemble des événements et des alertes émis par les équipements de sécurité, en vue d'une aide à la prise de décision.
Les gains
1. Disposer d'une vue d'ensemble de la sécurité. Avec les logiciels de SIEM, toutes les informations du système d'information (SI) sont consolidées. Chaque équipement de sécurité (pare-feu, détecteur d'intrusion…) enregistre en effet des données qu'il faut traiter au cas par cas. Les SIEM les regroupent afin d'obtenir des statistiques pertinentes et des tableaux de bord.2. Éviter de passer à côté de tentatives de fraudes. En évitant la déperdition d'événements ou d'informations, la corrélation de logs aide à identifier des comportements anormaux qu'un équipement ne peut relever à lui seul.3. Bénéficier d'une politique de sécurité fine. Avec une telle vue d'ensemble, il s'avère plus facile de visualiser le spectre de vulnérabilités qui pèsent sur l'entreprise, et d'en déduire les règles de sécurité à appliquer.4. Reproduire des événements. Pour mener des investigations après un incident, les logiciels de SIEM permettent de réaliser de véritables reconstitutions de façon à étudier, par exemple, le comportement du SI le jour et l'heure de la sortie d'une information du réseau et à remonter à la source.Les limites
1. Maîtriser le cadre légal. Il n'est pas possible de tout collecter, stocker et agréger. Les informations ne peuvent être conservées que sur une durée donnée, et l'entreprise se doit de respecter la loi sous peine de se voir débouter en cas d'action en justice.2. Attention à l'engorgement du système d'information. En cas de déficience du logiciel de SIEM, le SI peut être saturé. Il faut donc veiller à s'éviter tout problème de disponibilité.3. Une automatisation partielle. Il convient de mener un suivi régulier des tableaux de bord et de ne pas se contenter de réagir en cas d'alerte. De même, s'il existe un mode d'auto-apprentissage, l'intervention humaine est plus que recommandée, ne serait-ce que pour alimenter le dispositif des problématiques métier de l'entreprise. Enfin, il faut s'assurer de la sécurisation des logs lors de leur circulation dans le système d'information.
