Corrélation des événements : de la supervision à l'hypervision

Après une décennie de tâtonnements, la corrélation des journaux d'évènements rend enfin accessible la surveillance des systèmes d'information. Une nécessité sur laquelle tous les standards d'industrie ayant un ancrage direct ou indirect avec les TI ont leur mot à dire.

Avancée majeure pour des entreprises en quête de solutions informatiques peu coûteuses et rapidement opérationnelles, la corrélation des journaux d'événements est le dernier maillon d'une histoire de la sécurité des systèmes d'information au fond assez récente. Rappel des faits.

Des années 2000 à 2005, la surveillance liée aux performances et à la capacité des systèmes est au coeur des préoccupations des DSI. Cette focalisation relègue la surveillance liée à la sécurité au second plan. Au mieux, celle-ci est considérée comme un luxe, au pire comme un gouffre financier souvent teinté d'une complexité décourageante. Puis les auditeurs prennent soudainement la pleine mesure de cet enjeu et se mettent à recommander en 2005 la mise en place d'IDS et d'IPS, matériels alors dédiés à la réseautique pure dans la plupart des cas.

Entre 2006 et 2007 arrivent les années de la consolidation pour de nombreuses entreprises. L'heure est alors aux KPIs (Key Performance Indicators) de sécurité, nouvelle urgence du moment. Reste alors à en tirer, puis à en analyser au mieux les chiffres en centralisant ces derniers en un point via une harmonisation de leur format et de leur temps de rétention. Ce chantier se révèle toutefois rapidement titanesque du fait de la masse à documenter, de la longue courbe d'apprentissage et du temps nécessaire pour nettoyer les évènements. C'est dans ce contexte délicat que la supervision de systèmes voit le jour avec à la clé, la mise sur pied d'équipes en 24/7 et l'instauration de procédures de gestion d'incidents coûteuses. Sans surprise, cette solution est peu à peu abandonnée par les états-majors.

La corrélation des événements

Pour contourner ces fortes contraintes opérationnelles, une alternative émerge alors, fondée sur la corrélation des événements. L'intérêt ? En reconnaissant des scénarios en cours de réalisation via des règles pré-établies, cette approche permet d'automatiser une partie de l'analyse et de l'évaluation des sévérités et des priorités des incidents. Quelques exemples. La corrélation des journaux d'événements permet de déceler si à 3 heures du matin, c'est-à-dire hors des horaires d'ouverture des bureaux, un évènement de porte (porte forcée, tenue ouverte ou même simplement ouverte par un usagé valide) a eu lieu dans le secteur des TI et si deux comptes "administrateur" ont été créés dans les trente minutes suivantes. Cette technique peut aussi aider à savoir à la fois qu'un nombre important de pourriels et de virus ont été détectés par l'instance antivirus et que plusieurs escalades de droits systèmes se sont faites dans la même semaine sur des postes de travail. Enfin, il devient aisé d'identifier la menace d'une attaque de force brute dès lors que plusieurs comptes "utilisateur" (plus de 10 pour une entreprise de 50 salariés = + de 20%) se sont verrouillés plus de cinq fois sur une période de trois heures.

Les exemples abondent avec à chaque fois, la même constante : de multiples événements distincts correctement reconnus et reliés ensemble génèrent une alerte ciblée, facilitant leur notification et raccourcissant leur temps de traitement. La corrélation d'événements permet ainsi de comprendre jusqu'aux interactions entre de simples machines de type Windows (serveurs ou stations) via la création de plus de 300 règles, consolidant et corrélant des événements normaux en des situations anormales à gérer.

La voilà, la grande nouveauté. En étudiant les règles implantées pour reconnaître et piéger les interactions suspectes d'une infrastructure hétérogène multiplateforme et en prenant un caractère pro-actif, la supervision devient hypervision et revient à mettre en place une vraie IPS à dimension large. Reste que la mise en place de ce type d'outils dépend des caractéristiques propres à chaque réseau. Elle doit donc être conçue sur-mesure, fondée sur la sélection des règles correspondantes au cycle de vie de chaque entreprise. La sécurité des systèmes d'information n'a jamais été aussi accessible.