« Les premiers SIEM datent d'une vingtaine d'années mais, très lourds, ils ont souvent entraîné des désillusions » a constaté Gérard Gaudin, président du club R2GS (Club de réflexion et de recherche en gestion opérationnelle de la sécurité), en ouvrant les Assises du Domaine CyberDéfense et SIEM le 5 décembre 2012 au Mercure Porte de Versailles à Paris. Or les nouvelles menaces rendent plus indispensables encore qu'auparavant une démarche à base de SIEM, pourvu qu'ils soient bien utilisés.
Les SIEM (Security Information and Event Management) ont pour mission de corréler des événements informatiques (généralement des logs serveurs ou applicatifs) pour détecter des incidents de sécurité informatique. Or l'usage de ces outils s'avère extrêmement lourd et complexe si l'on n'y prend pas garde. Le club R2GS français a longuement travaillé sur le sujet avec ses homologues européens et recommandent de dépasser cette désillusion initiale. Pour Gérard Gaudin, il faut savoir à la fois optimiser l'équilibre entre la prévention et la détection/réaction (pour ne pas se noyer dans des détections sans intérêt), développer la compréhension des menaces (pour savoir quoi chercher) et intégrer la démarche SIEM dans la gestion globale du risque et la gestion de la sécurité informatique classique.
Détecter les attaques furtives
Selon Gérard Gaudin, « l'efficacité de la détection des incidents de sécurité informatique semble être souvent inférieure à 10% selon plusieurs études ». Le problème concerne surtout les fameuses « APT » (Advanced persistent threat : menaces persistantes évoluées). « Il est donc tout à fait essentiel d'accentuer les efforts en matière de prévention » recommande le président du R2GS. La prévention par liste blanche (liste d'autorisations expresses) fait chuter les menaces de 85% mais implique une lourdeur considérable dans l'administration de la dite liste blanche. Il semblerait que le département américain de la sécurité (NSA) travaille sur l'automatisation de la gestion de cette liste blanche.
95% d'attaques traditionnelles
Cependant, il ne faut pas oublier que 95% des attaques contre la sécurité des systèmes d'information sont des attaques opportunistes non-ciblées. Les APT sont donc plutôt rares mais très furtives et misant sur les faiblesses humaines, avec un gros travail d'ingénierie sociale. « La plupart des APT sont découvertes par hasard, simplement à partir de constats basiques comme des charges réseaux anormales » se désole Gérard Gaudin.
Les groupes hostiles usant d'APT sont de plus en plus nombreux et professionnels. En face, la mobilisation est insuffisante.
Des référentiels pour prévenir les menaces
Pour faciliter la prise de mesures adéquates, plusieurs travaux existent. Aux Etats-Unis le référentiel US CAG (Consensus Audit Guidelines) en fait partie et propose une vingtaine de mesures. En Europe, le réseau européen associé au R2GS promeut sa propre démarche. Il s'agit de concilier une approche de gouvernance stratégique de type top-down et une démarche terrain de type bottom-up. L'idée majeure de ces référentiels est de détecter ce qui vaut le coup, soit en raison de la fréquence soit en raison de la dangerosité de telle ou telle menace. Toutes les attaques laissent des traces dans les logs informatiques mais l'analyse est trop peu pertinente, aboutissant à un faible taux de détection des APT. Gérard Gaudin conclut : « Le plus gros défi de sécurité est aujourd'hui le BYOD puisqu'il s'agit d'équilibrer ouverture et liberté contre sécurité ».
Le club R2GS débat de la supervision de la sécurité informatique
Le club R2GS a organisé des Assises du domaine cyberdéfense et du SIEM le 5 décembre à Paris. Les systèmes de supervision des événements de sécurité informatique doivent être convenablement utilisés pour atteindre leurs objectifs de sécurisation.