Pour répondre aux exigences
de conformité réglementaire du SI (Sarbanes-Oxley, Bâle
2, PCI...) et prendre le pouls des connexions et des incidents relatifs à
ses composants matériels (anti-virus, pare-feux, solutions de détection
et de prévention des intrusions...), les entreprises sont nombreuses à
ne plus faire l'impasse sur une appliance (boîtier) SIEM (Security
Information and Event Management).
"Alors que les solutions
de SIM étaient initialement utilisées pour traiter
les logs a posteriori, celles de SEM permettent de faire remonter les événements
en quasi temps-réel", fait savoir Laurent Perruche, consultant senior
Solucom. Une évolution du marché qui a poussé nombre d'éditeurs
a procédé à des rapprochements stratégiques (ExaProtect/Solsoft)
et à des rachats (IBM/Micromuse, Novell/e-Security).
| Les
critères de choix | |
| 1 | Collecte
des logs sans agents et fourniture de SDK | |
| 2 | Volumétrie
des évènements rapportés par seconde | |
| 3 |
Etendue des composants de sécurité pris en charge par défaut | |
"Le recours à un agent de collecte de
logs a un côté intrusif obligeant à procéder à une installation, à une série
de paramétrages, de mises à jour et d'exploitation plus ou moins contraignantes
pour chacun des équipements réseaux, sécurité ou serveurs", prévient
Laurent Perruche. En outre, avant de choisir sa solution de collecte de logs et
de gestion des évènements, mieux vaut s'assurer que l'éditeur
fournisse par défaut des routines de programmation pour élaborer
ses propres règles et agents de collecte.
"Les solutions
de SIEM doivent être en mesure de tenir suffisamment la charge en fonction du
volume d'évènements traités qui variera en fonction des sources de données.
Au-delà du nombre d'évènements par seconde, il faut rester
vigilant sur le nombre de caractères inclus dans chaque évènement
qui peut varier de quelques dizaines à plusieurs centaines", explique
de son côté Elisabeth Conseil, consultante chez Telindus.
Autre
critère de choix auquel être attentif : le nombre de connecteurs
natifs proposés par les solutions pour chaque composant de sécurité
de l'entreprise. Alors que certains éditeurs comme EMC-RSA avec enVision
proposent par défaut une interopérabilité avec plus d'une
centaine de matériels, d'autres n'en supportent pas plus d'une dizaine.