SIEM et SOAR, de quoi s’agit-il ?

SIEM et SOAR, de quoi s’agit-il ?

Nous avons posé cette super question, à Thomas Kouam, passionné de cybersécurité, voici sa réponse.

« Ce sont des technologies relativement récentes, car la plupart d’entre elles sont basées sur l’IA. Le SIEM est la plus connue et la plus répandue de ces solutions. SIEM vient de l’anglais Security Information and Event Management, en français Gestionnaire des événements et des informations de sécurité. Un SIEM est un outil central au sein du réseau informatique. Il est connecté à toutes les composantes du réseau, via les fameuses solutions de surveillance de terminaux et de réseau. En pratique, il est connecté aux différentes solutions de surveillance de terminaux. La diversité des sources d’information garantit une visibilité globale sur l’ensemble du trafic.

Lorsque des incidents sont détectés par des EDR ou des NDR, ces solutions peuvent elles-mêmes traiter ces incidents, puisqu’elles ont des mécanismes de réponse internes. Sous réserve qu’elles aient été suffisamment entraînées. Mais dans la plupart des configurations, plus traditionnelles, le SIEM est connecté à des composantes du réseau, qui n’ont ni moyen de détection des menaces, ni moyen de réponse. Et oui ! Ce n’est pas tout le monde qui pense à investir dans un EDR, un NDR ou même un IPS. Dans la plupart des cas, les responsables informatiques découvrent ces solutions après une cyberattaque… Dans ces configurations, plus que communes, toutes les opérations de protection se font à la main, au niveau du SIEM. Autant te dire que c’est galère ! En particulier pour les réseaux étendus, qui ont souvent plusieurs milliers de terminaux.

Avant l’avènement de l’apprentissage automatique, le SIEM ne servait que de tableau de bord. Les analystes passaient leurs journées entières à scruter la moindre donnée affichée par le SIEM. Je pense que ce devait être l’un des métiers les plus ennuyants qui soit ! C’est mon avis. Mais bon… Avec l’apprentissage automatique, les choses se sont simplifiées. Certains SIEM, comme les EDR ou les NDR, sont maintenant capables d’identifier une menace et de la traiter. Ceci permet d’alléger la charge de travail des analystes. Ils peuvent alors se concentrer sur les menaces d’un certain niveau de complexité. Aujourd’hui, lorsqu’un SIEM identifie un incident ou une anomalie, il peut, soit traiter lui-même le problème si le niveau de complexité est abordable, soit alerter les spécialistes pour des niveaux plus complexes.

Le SIEM n’est pas seul dans la catégorie des solutions de surveillance globale. Il y a également le SOAR, Security Orchestration Automation and Response, en français Réponse et Automation, Orchestration de la Sécurité. Tout comme un SIEM, un SOAR se connecte à l’ensemble des périphériques du réseau pour avoir une visibilité globale. Cependant, il a la particularité d’être plus performant que le SIEM dans la réponse aux incidents. La vocation principale d’un SIEM est surtout d’alerter. Alors que celle d’un SOAR est surtout de répondre aux incidents. Grâce à l’IA, il apprend à reconnaître le comportement normal des différentes composantes du réseau, à partir de quoi il peut identifier des menaces et appliquer les mesures de protection adéquates. Tu devrais voir le SIEM et le SOAR comme deux solutions complémentaires. On spécialise le premier dans l’identification des menaces, tandis qu’on spécialise le deuxième dans le traitement de ces menaces. En pratique, les responsables de sécurité connectent le SIEM au SOAR, afin que ce dernier intervienne lorsque le SIEM déclenche une alerte.

Ces deux solutions sont très utilisées dans les SOC, Security Operation Center, les centres d’opérations de sécurité ; Tu as certainement dû en voir à la télé ou sur un internet. Ce sont des pièces circulaires, remplies de plusieurs dizaines d’écrans, qu’une bande de personnes scrutent incessamment, à longueur de journée, un peu comme s’ils lisaient un texte infini. Non, ce n’est pas Wall Street… En fait, ces gens analysent le trafic informatique de sociétés clientes 24h/24, 7J/7. En cas d’anomalie, ou de cyberattaque, ils interviennent instantanément. Ils font le même travail que les responsables de sécurité qui scrutent toute la journée les images de vidéo surveillance, pour les différents accès d’un bâtiment. A la seule différence qu’en cas de problèmes, ils interviennent avec des lignes de code, non pas des matraques et des 9 millimètres. »

Merci Thomas pour ces informations !

Qu’en pensez-vous ?

Venez nous le dire sur Linkedin : https://urlz.fr/nWLf

Be Fokus[ed]