|
|
|
|
La gestion de l'information de sécurité de plus en plus nécessaire |
Organiser la remontée d'alertes de sécurité, conserver une trace des événements de sécurité, garder une cohérence globale : autant de tâches que se proposent de remplir les SIM.
(05/01/2006) |
|
La gestion de l'information de sécurité (ou SIM), fait partie
des niches émergentes du domaine de la sécurité informatique.
S'adressant aux grands comptes mais aussi aux opérateurs télécoms
et aux fournisseurs de services, le marché des solutions de
SIM a été favorisé par l'apparition de nouvelles menaces combinant
plusieurs techniques d'attaque.
Aujourd'hui, en effet, plus question de se protéger uniquement
avec un simple antivirus, les entreprises et les experts en
sécurité recommandent la mise en place de pare-feu, de solutions
de détection d'intrusions, de VPN ou d'antispam. Cette multiplicité
de technologies, combinée à la multiplicité de l'offre en
termes d'acteurs (Juniper, Cisco, Netscreen, CheckPoint, Symantec,
McAfee, Trend Micro, Sophos, Panda
) complexifient d'autant
la gestion de l'ensemble des produits.
Dès
lors, pour la grande entreprise souhaitant unifier son administration
et remonter les informations clés, une solution unique et si
possible indépendante s'impose. Mais l'agrégation d'informations
n'est pas l'unique rôle des SIM. "Nous retrouvons principalement
trois catégories d'usages : la continuité de services, la gestion
des risques en temps réel et la conformité avec la législation",
précise Franck Besnard, responsable technique chez Micromuse.
Dans le premier cas, il s'agit de contrôler le bon fonctionnement
des applications critiques, par exemple un site Web ou des
serveurs de bases de données. Le rôle des SIM se rapproche alors
de celui d'une sonde. Au besoin, ils peuvent contrôler pare-feu,
vulnérabilités, serveurs Web, systèmes d'exploitation, VPN,
antivirus
La
réglementation pousse à la tracabilité
de la sécurité |
Dans le deuxième cas, la gestion des risques en temps réel,
le client cherche avant tout à réagir de manière cohérente et
efficace aux menaces réseaux. L'outil doit donc être capable
de remonter les alertes des produits de sécurité, de les corréler
pour afficher un bilan complet et synthétique des risques et
des mesures à prendre.
Enfin, la conformité avec des lois - comme Sarbanes-Oxley - a contraint
les grands groupes à assurer un suivi des mesures de
sécurité et de fiabilité mises en place. Dans ce cadre, les
SIM enregistrent l'activité du réseau en stockant les différents
logs qu'ils reçoivent. Ils peuvent être alors utilisés comme
solutions de reporting pour la direction informatique, les utilisateurs
ou les instances de contrôles.
"Nous sommes capables de gérer jusqu'à 5 000 événements par seconde.
Derrière, une grosse base de données stocke ce qui s'est produit,
générant des teraoctets d'informations. Pour ne pas être submergé
par cette masse de données, l'administrateur peut créer des
catégories de classes d'alertes et s'appuyer sur les moteurs
de corrélation d'événements. Ce procédé automatique, évite par
exemple de générer 10 000 alarmes pour un même problème issu
d'un seul pare-feu", indique Franck Besnard.
La
fourchette de prix d'une solution SIM varie entre 50000
et 200000 euros |
La corrélation d'événements s'effectue par le biais de recoupement
d'informations statistiques (pour les nouvelles menaces), de
données d'inventaires, de gestion des vulnérabilités et de moteurs
de règles. Une solution de SIM doit donc être capable de dialoguer
avec des systèmes très différents.
"La plupart des échanges
avec les produits de sécurité s'effectuent par l'intermédiaire
de fichiers plats de type logs, syslog ou SNMP", souligne le
responsable de Micromuse.
Pour minimiser le délai de paramétrage du produit, un pré-paramétrage
des alertes et des règles peut être proposé, en fonction des
éditeurs. Mais une réflexion préalable sur l'administration
de la sécurité est nécessaire chez le client pour faciliter
l'intégration du produit. Des boîtes noires (appliances)
sont également proposées, incluant logiciel SIM pré-paramétré
et serveur. La fourchette de prix des solutions SIM varient
en moyenne entre 50 000 et 200 000 euros.
Face à ses solutions relativement lourdes à mettre en uvre
et coûteuses, les alternatives viennent des éditeurs plus traditionnels
de la sécurité tels Symantec, McAfee, Cisco, Juniper. Suite
logique des produits tout-en-un (antivirus, pare-feu, VPN, filtrage
d'accès, IDS
), les clients voulent désormais pouvoir simplifier
l'administration de leur solution tout-en-un et le reporting
des informations les concernant.
Les
éditeurs traditionnels s'intéressent de
plus à plus à la gestion de l'information
de sécurité |
Une tâche que remplissent des produits comme ePolicy Orchestrator
de McAfee. "ePo sait travailler avec n'importe quel produit
McAfee. Il récupère le produit à distance et propose une interface
en HTML. C'est un outil de télédistribution à distance, de contrôle
et de reporting", déclare Pierre Philis, ingénieur chez McAfee.
Pas question de logs ici, le serveur étant à l'origine de toutes
les actions que doit effectuer l'agent.
Une démarche qui peut être complétée ou non par l'utilisation
d'un serveur de règles de sécurité. "Les SIM nous remontent les
alertes et nous effectuons la résolution du problème. La gestion
de règles de sécurité permet d'avoir une politique
globale, de savoir par exemple quel sera l'impact d'une modification
de paramétrage d'un pare-feu sur l'ensemble du réseau. Cela
facilite aussi la configuration d'éléments hétérogènes car nous
nous plaçons au dessus des produits", affirme Gilles Samoun,
Président du directoire de Solsoft.
Les principaux acteurs du domaine du SIM sont aujourd'hui Arcsight, Intellitactics,
Micromuse, e-Security, Netfirensics, NetSecureOne, Exaprotect
et Network Intelligence.
|
|
|