Académique Documents
Professionnel Documents
Culture Documents
GUIDE COMPLET
Ce qu'il faut prendre en compte avant d'investir dans
la technologie SIEM
ARCTIC WOLF
LEADER DU MARCHÉ EN OPÉRATIONS DE SÉCURITÉ
Ces attaques forcent vos équipes IT et de sécurité à rester constamment sur la défensive.
Ainsi, elles n'ont ni le temps ni le savoir-faire nécessaires pour détecter les menaces
avancées et y répondre de manière proactive. C'est une situation risquée car, lorsque vous
êtes sur la défensive, une seule erreur peut avoir des conséquences désastreuses.
C'est vrai dans tous les secteurs d'activité. Les organisations de toutes tailles sont exposées
à ce risque. Elles doivent protéger la propriété intellectuelle, les données à caractère
personnel et d'autres données sensibles contre la compromission ou le vol.
Par exemple, dans les cyberattaques très médiatisées de ces dernières années, nous trouvons
la violation de données d'Equifax, où les données personnelles de 145 millions de personnes
ont été volées, ainsi que les attaques mondiales par rançongiciel telles que WannaCry et Petya
qui ont visé des entreprises d'envergure plus modeste dans le monde entier.
Pour s'assurer que les données et les informations sensibles restent toujours sécurisées,
les entreprises doivent développer des stratégies de sécurité de pointe qui utilisent un
système de gestion des événements et des informations de sécurité (SIEM).
Les outils SIEM collectent des fichiers La plate-forme SIEM stocke et consolide
les données dans un seul et même
journaux provenant de sources
emplacement, permettant la corrélation
différentes, telles que les suivantes :
des journaux et des événements sur tous
les systèmes. Le personnel de sécurité
peut définir des profils qui spécifient le
Sécurité des Détection et Périphériques comportement normal de ces systèmes
points de prévention des réseau et créer des règles permettant d'identifier
terminaison intrusions les anomalies qui peuvent témoigner d'un
incident de sécurité.
25 106 885
MILLIONS MILLIONS MILLIONS
données des consommateurs données des clients données des clients
8 MILLIARDS
de dossiers ont été exposés en 2019.
17 %
D'AUGMENTATION
6
TRILLIONS
35
FOIS PLUS
DE DOLLARS
de violations en 2019 par coûts estimés dus à la du marché de la cybersécurité
rapport à 2018 cybercriminalité d'ici 2021 ces 13 dernières années
N° 1 3,92 1,9
AU CLASSEMENT MILLIONS DE RATIO
pour le risque le plus élevé que les le coût moyen d'une violation le ratio d'offre et de demande
entreprises encourent par rapport de données en 2019, moyen pour la cybersécurité aux
aux incidents de cybersécurité en contre 3,86 millions de États-Unis, il est de 4,9 en moyenne
2019, selon les professionnels de dollars en 2018 pour les autres secteurs
l'assurance et des risques, en hausse
par rapport à la 5e place en 2015
FORCES DE SIEM
Même si ces avantages vous aident à renforcer vos capacités de surveillance et d'intervention de sécurité, les
SIEM exigent « un entretien et une alimentation » considérables. Votre équipe de sécurité doit passer beaucoup
de temps à gérer et maintenir la plateforme et la régler à mesure que le panorama des menaces évolue.
FAIBLESSES DE LA SIEM
Surcharge de menaces
Une SIEM dépend d'une équipe d'ingénieurs de sécurité dédiée 24 heures sur 24 et 7 jours
sur 7, et ce dès son déploiement. Plusieurs outils et matériels supplémentaires sont également
nécessaires.
La phase de planification inclut à elle seule plusieurs étapes. Il s'agit de l'étape au cours
de laquelle vous définissez les objectifs de sécurité et concevez l'architecture de sécurité.
Vous devez également identifier les appareils de sécurité, les appareils de l’Internet des
objets (IoT), les ordinateurs portables, les serveurs d'entreprises stratégiques et les bases
de données à partir desquels les données de journalisation seront collectées.
Le rôle des ingénieurs de sécurité ne prend de l'importance que lors des opérations
effectives. Les ingénieurs construisent et affinent des règles de corrélation en fonction des
derniers renseignements sur les menaces, ce qui contribue à l'identification des vecteurs
d'attaques actuels. De manière générale, pour gérer une SIEM de manière continue, il faut
deux ou trois opérateurs de sécurité (niveau 1), des analystes de sécurité (niveau 2) et des
intervenants en cas d'incident.
FAIBLESSES DE LA SIEM
Problèmes de déploiement
Les cycles de déploiement des SIEM sont longs, et ces dernières ne fonctionnent
efficacement que lorsqu'elles sont connectées à des sources d'information appropriées.
Même si le déploiement initial peut paraître simple, le fonctionnement de ces systèmes
est plus complexe à mesure qu'ils évoluent, et il ne suffit pas de connecter la SIEM aux
sources de journalisation brutes et d'effectuer des recherches sur les corpus. Une fois que
votre équipe déploie les agents et active les moteurs de normalisation qui convertissent
les journaux bruts en données structurées, les erreurs de catégorisation imprévues ne
sont pas rares. Les cycles de déploiement peuvent durer jusqu'à 12 mois, et les échecs de
déploiement sont assez courants.
Le résultat : lors de la période de déploiement étendu dans son ensemble, votre entreprise
n'est pas entièrement protégée par la nouvelle SIEM.
Administration
Une SIEM doit être ajustée constamment. Cela vaut pour les règles, les algorithmes et les
agents. Les règles doivent être mises à jour régulièrement, et les fournisseurs déploient
souvent des correctifs et des mises à jour pour les appareils et les logiciels aux points de
terminaison. Chaque fois que cela se produit, l'agent doit correspondre à la version prise
en charge, faute de quoi il risque d'obtenir des milliers de faux positifs.
Multitâche
Une SIEM constamment multitâche a besoin d'un jeu complet de journaux provenant de
sources diverses en temps réel. La plupart des fournisseurs de SIEM utilisent le même
moteur pour l'ingestion de journaux, la mise en corrélation, l'analyse, la recherche et
la génération de rapports. Si vous utilisez le même moteur pour toutes les fonctions,
celles-ci interfèrent les unes avec les autres. Par exemple, effectuer une recherche
ou exécuter un rapport interrompt la collecte et d'autres fonctions non critiques.
C'est l'une des raisons pour lesquelles les SIEM internes ne peuvent pas fonctionner
pleinement et atteindre leurs performances maximales à un prix acceptable.
FAIBLESSES DE LA SIEM
Coûts imprévisibles
Les estimations de prix émises par les fournisseurs de SIEM ne sont que… des
estimations. Avec le temps, le nombre de journaux et le volume des données
collectées varie considérablement à mesure des changements d'appareils, des
correctifs déployés et des nouveaux systèmes ajoutés au réseau. En conséquence,
il devient extrêmement difficile de planifier le budget à moyen terme, et les coûts
s'avèrent souvent plus élevés que prévu initialement.
FAIBLESSES DE LA SIEM
Même si vous avez les fonds nécessaires pour mettre en œuvre une SIEM, vous n'avez peut-être pas la
personne capable de l'opérer.
4 MILLIONS
Nombre de talents
manquants en cybersécurité
ISC2
24x7
Arctic Wolf fournit des solutions de sécurité complètes de bout en bout pour les entreprises qui disposent
d'un budget limité. Elles vous permettent d'externaliser vos besoins tout en profitant des avantages d'une
solution de sécurité axée sur la détection des menaces et les mesures d'intervention en cas d'incident. Arctic
Wolf constitue également une option abordable pour de nombreuses organisations, car elles n'ont pas besoin
d'investir dans du matériel, des logiciels ou du personnel. Facile à déployer et à gérer, Arctic Wolf vous fournit
le personnel, les processus et la technologie dont vous avez besoin pour améliorer vos opérations de sécurité.
Arctic Wolf® est le leader du marché des opérations de sécurité. Grâce à la solution
Arctic Wolf® Platform cloud native, nous vous fournissons des opérations de
sécurité sous forme de service de concierge. Hautement qualifiés, des experts
Concierge Security® viennent compléter vos équipes pour fournir une surveillance,
une détection et des mesures d'intervention 24 h/24 7 j/7 ainsi qu'une gestion des
risques continue pour protéger proactivement les systèmes et les données tout
en renforçant continuellement votre posture de sécurité. Pour en savoir plus sur
Arctic Wolf, consultez le site arcticwolf.com
NOUS CONTACTER
arcticwolf.com | 1.888.272.8429 | ask@arcticwolf.com