Pourquoi envisager un service de sécurité géré plutôt qu’un SIEM ?


Vous avez récemment entendu parler des services gérés de détection et de réponse ? Vous envisagez de mettre en place un SIEM mais vous vous interrogez sur la différence entre un SIEM et un service géré de sécurité ? Peut-être votre SIEM est-il déjà en place, mais vous vous demandez si un service de sécurité géré ne constituerait pas une meilleure solution en matière de détection des intrusions et de réponse aux incidents ?

À la une, Bonnes Pratiques, Cybersécurité // 20/07/2017

Chez F-Secure, nous croyons fermement à une approche holistique de la cybersécurité. Nous l’appelons Live Security : une combinaison de technologies et d’expertise humaine. Parce qu’il n’est pas possible de renforcer la cyber sécurité d’une entreprise sans le talent des plus grands experts, et qu’il n’est pas non plus possible d’appliquer ce savoir-faire à grande échelle sans recourir à des logiciels intelligents.

Même si les organisations doivent faire face à de nombreux défis en matière de détection des intrusions et de gestion de crise, ce n’est rien comparé à la difficulté de garder auprès d’elles de bons experts en cyber sécurité. On estime qu’actuellement, il existe au moins deux emplois ouverts en cyber sécurité pour chaque personne recherchant un emploi dans le secteur. Et ce problème devrait se faire de plus en plus pressant.

Pourtant, la seule manière d’obtenir des données valides ou utilisables à partir d’une solution interne, comme un système SIEM (information sur la sécurité et gestion des événements), est de disposer de personnel qualifié. Voici un exemple concret, qui concerne l’un des clients de notre Rapid Detection Service :

Au sein d’une installation client de 1300 nœuds, nos capteurs ont collecté environ 2 milliards d’événements sur une période d’un mois. L’analyse des données brutes au sein de nos systèmes back-end a permis de les filtrer : nous avons ainsi obtenu 900 000 événements suspects. Nos mécanismes de détection et notre analyse de données ont ensuite réduit ce nombre à 25 détections. Ces 25 événements ont finalement été confirmés par nos analystes comme étant des anomalies. Nous avons ensuite contacté nos clients, qui ont vérifié et confirmé 15 évènements sur 25 comme étant des menaces réelles. À titre de comparaison, si notre client avait choisi d’utiliser une solution SIEM interne, son personnel ou ses ressources externalisées auraient dû faire le tri parmi les 900 000 événements suspects afin d’éliminer le bruit et les faux positifs et mettre ainsi à jour les véritables menaces. Un tel travail est particulièrement fatiguant, même pour les analyses les plus attentifs, et il implique la mobilisation d’une équipe 24h/24, 7j/7.

L’une des principales raisons pour lesquelles votre organisation devrait envisager un service de sécurité géré plutôt que le déploiement interne d’un SIEM pour la détection et la réponse est la suivante : les coûts, les coûts, les coûts !

Mettre en place des capacités de détection et de réponse face aux intrusions est une tâche difficile. Lorsque vous le choisissez avec soin, votre fournisseur de services gérés de détection et de réponse devient votre partenaire de sécurité informatique.

C’est pourquoi nous vous recommandons d’envisager un service géré plutôt qu’un dispositif « Do it yourself ». Mais ces deux approches ne s’excluent pas nécessairement l’une l’autre. Pour de nombreuses organisations qui ont investi dans une solution SIEM (pour diverses raisons), un service de détection et d’intervention géré comme le nôtre offre un niveau supplémentaire de sécurité qui s’intègre facilement au SIEM (via les processus et les API) et augmente l’infrastructure de sécurité existante. Ainsi, les systèmes SIEM peuvent être utilisés pour la gestion de journaux, et le service géré pour la détection et la réponse aux intrusions.

La conclusion est claire : si vous souhaitez mettre en place des capacités de détection et de réponse en complément d’un SIEM, optez pour un service géré de détection et de réponse.

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s