SIEM :

GUIDE COMPLET
Ce qu'il faut prendre en compte avant d'investir dans
la technologie SIEM

END CYBER RISK

 SIEM
SIEM: :DE
GUIDE DE VENTE VIA LES CANAUX GUIDE
GUIDE
DISTRIBUTION
COMPLET
COMPLET

ARCTIC WOLF
LEADER DU MARCHÉ EN OPÉRATIONS DE SÉCURITÉ

Qu'est-ce que la SIEM ?.............................................................................................................................................. 4

Pourquoi votre organisation aurait-elle besoin de la SIEM ?............................................................................... 5
Le bilan toujours plus lourd de la cybercriminalité................................................................................................ 6
Forces de SIEM............................................................................................................................................................ 7
Faiblesses de la SIEM................................................................................................................................................. 8
Quelle est l'alternative ?............................................................................................................................................ 11

©2021 Arctic Wolf Networks, Inc. Tous droits réservés. | Public 2

 SIEM
SIEM: :GUIDE
GUIDE COMPLET
COMPLET

LES ENTREPRISES MODERNES MÈNENT

LEURS ACTIVITÉS SOUS LA MENACE
CONSTANTE D'UNE CYBERATTAQUE.
C'EST UNE RÉALITÉ DU MONDE ACTUEL.
Les cybercriminels menacent vos systèmes informatiques et votre
infrastructure réseau en lançant des attaques par rançongiciels, virus,
hameçonnage et déni de service.

Ces attaques forcent vos équipes IT et de sécurité à rester constamment sur la défensive.
Ainsi, elles n'ont ni le temps ni le savoir-faire nécessaires pour détecter les menaces
avancées et y répondre de manière proactive. C'est une situation risquée car, lorsque vous
êtes sur la défensive, une seule erreur peut avoir des conséquences désastreuses.

C'est vrai dans tous les secteurs d'activité. Les organisations de toutes tailles sont exposées
à ce risque. Elles doivent protéger la propriété intellectuelle, les données à caractère
personnel et d'autres données sensibles contre la compromission ou le vol.

Par exemple, dans les cyberattaques très médiatisées de ces dernières années, nous trouvons
la violation de données d'Equifax, où les données personnelles de 145 millions de personnes
ont été volées, ainsi que les attaques mondiales par rançongiciel telles que WannaCry et Petya
qui ont visé des entreprises d'envergure plus modeste dans le monde entier.

Pour s'assurer que les données et les informations sensibles restent toujours sécurisées,
les entreprises doivent développer des stratégies de sécurité de pointe qui utilisent un
système de gestion des événements et des informations de sécurité (SIEM).

©2021 Arctic Wolf Networks, Inc. Tous droits réservés. | Public 3

 SIEM : GUIDE COMPLET

QU'EST-CE QUE LA SIEM ?

L'acronyme SIEM signifie Security Information and Event Management
(gestion des informations et des événements de sécurité). Il combine les
technologies SEM et SIM.

SEM SIM SIEM

Gestion des événements de sécurité
(Security Event Management)
Rassemble et analyse les données des
événements et des journaux en temps
réel pour fournir des corrélations.
Gestion des informations de sécurité
(Security Information Management)
Récupère les données de journaux
pour créer des rapports
historiques.
Gestion des informations et des
événements de sécurité (Security
Information and Event Management)
Combine les technologies SEM et
SIM, et collecte des fichiers journaux
provenant de diverses sources.

Les outils SIEM collectent des fichiers La plate-forme SIEM stocke et consolide
les données dans un seul et même
journaux provenant de sources
emplacement, permettant la corrélation
différentes, telles que les suivantes :
des journaux et des événements sur tous
les systèmes. Le personnel de sécurité
peut définir des profils qui spécifient le
Sécurité des Détection et Périphériques comportement normal de ces systèmes
points de prévention des réseau et créer des règles permettant d'identifier
terminaison intrusions les anomalies qui peuvent témoigner d'un
incident de sécurité.

La SIEM est une technologie fondamentale

d'un SOC (centre d'opérations de sécurité),
qui est généralement constitué d'une
Dispositifs de Serveurs Applications équipe dédiée de professionnels de la
sécurité d'application et appareils
cybersécurité qui surveillent, détectent
utilisateur
et gèrent les incidents de sécurité.

©2021 Arctic Wolf Networks, Inc. Tous droits réservés. | Public 4

 SIEM : GUIDE COMPLET

POURQUOI VOTRE ORGANISATION

AURAIT-ELLE BESOIN DE LA SIEM ?
Les cybermenaces sont en constante évolution. Pour y faire face, vous devez
surveiller et réagir en continu aux événements de sécurité. Les SIEM permettent à
votre organisation d'améliorer sa posture de sécurité en demandant à des analystes
de sécurité compétents d'étudier les menaces plus rapidement et plus efficacement.
Les tendances en matière de cybersécurité soulignent la nécessité d'utiliser une solution SIEM. 2019 a établi de
nouveaux records concernant les violations de données. Parmi celles-ci, les plus néfastes ont touché :

American Medical Capital One First American

Collection Agency : Financial Corp. : Financial :

25 106 885
MILLIONS MILLIONS MILLIONS
données des consommateurs données des clients données des clients

(de plus de 20 organisations de exposées à cause d'une erreur divulguées en ligne

soins de santé) compromises de configuration du pare-feu de à cause d'une erreur de
à cause d'un piratage. l'application Web AWS. configuration d'un site Web.

Même si ces nombres paraissent importants,

ils ne représentent qu'une infime partie du total.
Selon certaines estimations, près de

8 MILLIARDS
de dossiers ont été exposés en 2019.

©2021 Arctic Wolf Networks, Inc. Tous droits réservés. | Public 5

 SIEM
SIEM: :DE
GUIDE DE VENTE VIA LES CANAUX GUIDE
GUIDE
DISTRIBUTION
COMPLET
COMPLET

LE BILAN TOUJOURS PLUS LOURD

DE LA CYBERCRIMINALITÉ

17 %
D'AUGMENTATION
6
TRILLIONS
35
FOIS PLUS
DE DOLLARS
de violations en 2019 par coûts estimés dus à la du marché de la cybersécurité
rapport à 2018 cybercriminalité d'ici 2021 ces 13 dernières années

Centre de ressources en cas de vol d'identité Cybersecurity Ventures Cybersecurity Ventures

N° 1 3,92 1,9
AU CLASSEMENT MILLIONS DE RATIO
pour le risque le plus élevé que les le coût moyen d'une violation le ratio d'offre et de demande
entreprises encourent par rapport de données en 2019, moyen pour la cybersécurité aux
aux incidents de cybersécurité en contre 3,86 millions de États-Unis, il est de 4,9 en moyenne
2019, selon les professionnels de dollars en 2018 pour les autres secteurs
l'assurance et des risques, en hausse
par rapport à la 5e place en 2015

Cybersecurity Ventures IBM Security Centre de ressources en cas de vol d'identité

©2021 Arctic Wolf Networks, Inc. Tous droits réservés. | Public 6

 SIEM
SIEM: :DE
GUIDE DE VENTE VIA LES CANAUX GUIDE
GUIDE
DISTRIBUTION
COMPLET
COMPLET

FORCES DE SIEM

Garder un contrôle total

La SIEM vous propose un contrôle total pour vous permettre de le personnaliser selon
les besoins de votre organisation. Vous n'avez pas besoin de dépendre d'un prestataire,
et vous pouvez régler le système ou y intégrer de nouvelles sources de données.

Visibilité en temps quasi réel

Grâce à une visibilité complète sur l'ensemble de l'organisation et des mises à jour en
temps quasi réel, vous pouvez mieux comprendre et hiérarchiser les menaces, ce qui
vous permet de réduire les temps d'intervention en cas d’incident.

Analyse efficace du comportement des utilisateurs et des entités

SIEM vous permet d'ajouter une couche d'analyse du comportement des utilisateurs et
des entités (UEBA, user and entity behavior analytics) pour détecter les anomalies.

Audits et génération de rapports de conformité

La SIEM est un outil de conformité que vous pouvez utiliser pour générer divers
rapports exigés par les autorités de réglementation pour les audits. Les données
de journal peuvent vous permettre d'identifier les menaces internes, les transgressions
de stratégies et les violations de données.

Même si ces avantages vous aident à renforcer vos capacités de surveillance et d'intervention de sécurité, les
SIEM exigent « un entretien et une alimentation » considérables. Votre équipe de sécurité doit passer beaucoup
de temps à gérer et maintenir la plateforme et la régler à mesure que le panorama des menaces évolue.

©2021 Arctic Wolf Networks, Inc. Tous droits réservés. | Public 7

 SIEM
SIEM: :DE
GUIDE DE VENTE VIA LES CANAUX GUIDE
GUIDE
DISTRIBUTION
COMPLET
COMPLET

FAIBLESSES DE LA SIEM

Un personnel de sécurité à temps plein

24x7
Les SIEM génèrent des milliers d'alertes par jour, la majorité d'entre elles étant des faux
positifs, c'est-à-dire des alertes qui sont identifiées à tort comme des menaces.
Les ingénieurs de sécurité doivent faire le tri parmi toutes ces alertes et déterminer lesquelles
il faut étudier. La plupart des alertes étudiées ne nécessitent aucune action immédiate, mais les
autres représentent des attaques en cours qui doivent être gérées rapidement.
La plupart des violations de données, comme celle qui a touché Target en 2013, se
produisent malgré les alertes SIEM. Dans le cas de Target, l'équipe de sécurité était
dépassée par la « désensibilisation aux alertes », le tableau de bord de la SIEM affichait
trop de notifications et les signes d'une attaque sérieuse n'ont pas été remarqués. Le
résultat : Un accord entre plusieurs États à hauteur de 18,5 millions de dollars a été conclu
et la réputation de la marque a été ternie. Lorsque l'on combine les techniques d'attaque
sophistiquées et la complexité et les efforts nécessaires à la gestion d'une SIEM, il est plus
facile de comprendre pourquoi ces violations ont lieu.
De manière générale, il faut une heure à un analyste de sécurité moyen pour reconnaître huit
à dix événements de sécurité et y remédier. Une organisation employant 200 utilisateurs
peut être à l'origine de 100 alertes critiques par jour en moyenne, soit le nombre d'alertes
que pourraient gérer deux experts de sécurité à temps plein.

Surcharge de menaces
Une SIEM dépend d'une équipe d'ingénieurs de sécurité dédiée 24 heures sur 24 et 7 jours
sur 7, et ce dès son déploiement. Plusieurs outils et matériels supplémentaires sont également
nécessaires.
La phase de planification inclut à elle seule plusieurs étapes. Il s'agit de l'étape au cours
de laquelle vous définissez les objectifs de sécurité et concevez l'architecture de sécurité.
Vous devez également identifier les appareils de sécurité, les appareils de l’Internet des
objets (IoT), les ordinateurs portables, les serveurs d'entreprises stratégiques et les bases
de données à partir desquels les données de journalisation seront collectées.
Le rôle des ingénieurs de sécurité ne prend de l'importance que lors des opérations
effectives. Les ingénieurs construisent et affinent des règles de corrélation en fonction des
derniers renseignements sur les menaces, ce qui contribue à l'identification des vecteurs
d'attaques actuels. De manière générale, pour gérer une SIEM de manière continue, il faut
deux ou trois opérateurs de sécurité (niveau 1), des analystes de sécurité (niveau 2) et des
intervenants en cas d'incident.

©2021 Arctic Wolf Networks, Inc. Tous droits réservés. | Public 8

 SIEM : GUIDE COMPLET

FAIBLESSES DE LA SIEM

Problèmes de déploiement
Les cycles de déploiement des SIEM sont longs, et ces dernières ne fonctionnent
efficacement que lorsqu'elles sont connectées à des sources d'information appropriées.
Même si le déploiement initial peut paraître simple, le fonctionnement de ces systèmes
est plus complexe à mesure qu'ils évoluent, et il ne suffit pas de connecter la SIEM aux
sources de journalisation brutes et d'effectuer des recherches sur les corpus. Une fois que
votre équipe déploie les agents et active les moteurs de normalisation qui convertissent
les journaux bruts en données structurées, les erreurs de catégorisation imprévues ne
sont pas rares. Les cycles de déploiement peuvent durer jusqu'à 12 mois, et les échecs de
déploiement sont assez courants.
Le résultat : lors de la période de déploiement étendu dans son ensemble, votre entreprise
n'est pas entièrement protégée par la nouvelle SIEM.

Administration
Une SIEM doit être ajustée constamment. Cela vaut pour les règles, les algorithmes et les
agents. Les règles doivent être mises à jour régulièrement, et les fournisseurs déploient
souvent des correctifs et des mises à jour pour les appareils et les logiciels aux points de
terminaison. Chaque fois que cela se produit, l'agent doit correspondre à la version prise
en charge, faute de quoi il risque d'obtenir des milliers de faux positifs.

Multitâche
Une SIEM constamment multitâche a besoin d'un jeu complet de journaux provenant de
sources diverses en temps réel. La plupart des fournisseurs de SIEM utilisent le même
moteur pour l'ingestion de journaux, la mise en corrélation, l'analyse, la recherche et
la génération de rapports. Si vous utilisez le même moteur pour toutes les fonctions,
celles-ci interfèrent les unes avec les autres. Par exemple, effectuer une recherche
ou exécuter un rapport interrompt la collecte et d'autres fonctions non critiques.
C'est l'une des raisons pour lesquelles les SIEM internes ne peuvent pas fonctionner
pleinement et atteindre leurs performances maximales à un prix acceptable.

©2021 Arctic Wolf Networks, Inc. Tous droits réservés. | Public 9

 SIEM : GUIDE COMPLET

FAIBLESSES DE LA SIEM

Retards dans la génération de rapports

Une SIEM est conçue pour analyser en temps réel des données issues des différents
appareils d'un réseau. Elle peut détecter rapidement les anomales et les menaces, mais la
génération de rapports est généralement définie comme une fonction non critique, réalisée
seulement une fois toutes les semaines ou toutes les deux semaines.
En outre, les SIEM sont généralement peu performantes pour ce qui est de générer des
rapports. Des outils de gestion des journaux dédiés sont nécessaires pour les rapports
trimestriels. Les rapports portant sur plusieurs années ont quant à eux besoin d'une
architecture de troisième niveau, par exemple, un produit analytique pour la sécurité Big Data.

Coûts imprévisibles
Les estimations de prix émises par les fournisseurs de SIEM ne sont que… des
estimations. Avec le temps, le nombre de journaux et le volume des données
collectées varie considérablement à mesure des changements d'appareils, des
correctifs déployés et des nouveaux systèmes ajoutés au réseau. En conséquence,
il devient extrêmement difficile de planifier le budget à moyen terme, et les coûts
s'avèrent souvent plus élevés que prévu initialement.

©2021 Arctic Wolf Networks, Inc. Tous droits réservés. | Public 10

 SIEM : GUIDE COMPLET

FAIBLESSES DE LA SIEM

Mises à niveau vers la plate-forme supérieure

En général, votre fournisseur de SIEM vous fournit de l'équipement matériel. Vous avez
donc différents types d'équipement pour ingérer, trier et analyser/corréler un maximum
de données de journaux. Lorsque vous atteignez la capacité maximale, vous devez effectuer
une mise à niveau vers la plate-forme SIEM supérieure. Cette opération peut être très
chère, et doubler voire tripler le coût d'origine de votre SIEM.

Pénurie au sein de la cybersécurité

Aux complexités et au coût de propriété élevé de la SIEM s'ajoute le manque de talents
en cybersécurité capable de gérer l'ensemble. Cette pénurie s'étend à tous les secteurs,
ce qui rend le recrutement pour la SIEM encore plus problématique.

Même si vous avez les fonds nécessaires pour mettre en œuvre une SIEM, vous n'avez peut-être pas la
personne capable de l'opérer.

4 MILLIONS
Nombre de talents
manquants en cybersécurité
ISC2

62 % Pourcentage de croissance du personnel de

cybersécurité nécessaire aux États-Unis pour
répondre au besoin actuel des entreprises.

©2021 Arctic Wolf Networks, Inc. Tous droits réservés. | Public 11

 SIEM : GUIDE COMPLET

QUELLE EST L’ALTERNATIVE ?

Arctic Wolf propose des capacités Managed Detection and Response, ainsi
qu'une évaluation de la vulnérabilité et un système de génération de rapports.
Nous disposons notamment d'une plate-forme SIEM Cloud-Based qui collecte
et met en corrélation les données de journaux et les flux réseau provenant des
capteurs réseau déployés dans vos locaux.
La plate-forme Security Operations Cloud Native stocke tous vos journaux de sécurité et vos données de
télémétrie à un seul emplacement pour simplifier le respect des exigences en matière de conformité, mais aussi
les enrichir avec des renseignements sur les menaces et sur le contexte des risques, afin d’utiliser toutes ces
informations pour atteindre de meilleurs résultats dans le domaine de la sécurité.
La solution gérée est opérée 24h/24 7j/7 par des ingénieurs de sécurité expérimentés qui détectent les menaces,
réalisent des expertises et identifient les incidents prioritaires.

Security Operations d’Arctic Wolf vous offre les avantages suivants :

24x7

Réagissez aux Bénéficiez Profitez de l'expertise Réduisez le nombre

menaces plus vite d'une sécurité de notre équipe de de faux positifs dans
qu'avec une solution permanente, spécialistes de la les alertes
SIEM seule 24h/24 7j/7 sécurité

Arctic Wolf fournit des solutions de sécurité complètes de bout en bout pour les entreprises qui disposent
d'un budget limité. Elles vous permettent d'externaliser vos besoins tout en profitant des avantages d'une
solution de sécurité axée sur la détection des menaces et les mesures d'intervention en cas d'incident. Arctic
Wolf constitue également une option abordable pour de nombreuses organisations, car elles n'ont pas besoin
d'investir dans du matériel, des logiciels ou du personnel. Facile à déployer et à gérer, Arctic Wolf vous fournit
le personnel, les processus et la technologie dont vous avez besoin pour améliorer vos opérations de sécurité.

Boostez votre posture de sécurité avec Arctic Wolf

Découvrez comment Arctic Wolf, leader du marché Security Operations, vous aide à renforcer vos défenses
de la manière la plus complète, sûre et abordable possible.

Contactez-nous dès maintenant pour planifier une démonstration.

©2021 Arctic Wolf Networks, Inc. Tous droits réservés. | Public 12

À PROPOS D'ARCTIC WOLF
SIEM : GUIDE COMPLET

Arctic Wolf® est le leader du marché des opérations de sécurité. Grâce à la solution
Arctic Wolf® Platform cloud native, nous vous fournissons des opérations de
sécurité sous forme de service de concierge. Hautement qualifiés, des experts
Concierge Security® viennent compléter vos équipes pour fournir une surveillance,
une détection et des mesures d'intervention 24 h/24 7 j/7 ainsi qu'une gestion des
risques continue pour protéger proactivement les systèmes et les données tout
en renforçant continuellement votre posture de sécurité. Pour en savoir plus sur
Arctic Wolf, consultez le site arcticwolf.com

NOUS CONTACTER
arcticwolf.com | 1.888.272.8429 | ask@arcticwolf.com

©2021 Arctic Wolf Networks, Inc. Tous droits réservés. | Public

AW_G_SIEM Comprehensive Guide_1020