REVEELIUM SIEM UEBA

Security Information Event Management

Des risques et pertes en constante augmentation :

  • Le coût moyen par donnée compromise est de 127€. En moyenne, 22 242 données sont compromises lors d’un incident (Ponemon Institute – Cost of data breach 2013).
  • Les attaques malveillantes et criminelles sont la première cause de la violation de données en France, elles représentent 42% des cas (avec un coût moyen par donnée compromise de 142€)
  • La négligence humaine, qu’elle soit le fait d’employés ou de sous-traitants, représente 31 % des violations de données (116€ par donnée compromise)

8 FOIS SUR 10

UNE ENTREPRISE PIRATÉE NE LE SAIT PAS.

97% des attaques

L’intelligence artificielle permet de couvrir 97% des attaques

Objectifs

  • Faire contrôler les pratiques de ses équipes par un tiers et obtenir un avis objectif
  • Répondre aux audits, contrôles financiers et règlementaires (ISO, RGS, HDS, DMP, HIPAA…) concernant la sécurité. Leur prouver que tout est mis en œuvre afin de respecter l’obligation de moyens
  • Sécuriser les infrastructures étendues sans intrusion et sans impact

Principe général

La capacité de comprendre et d’analyser les événements observables sur un système d’information est essentielle pour assurer sa sécurité. Trop souvent lors de nos audits, la gestion centralisée des journaux est une composante absente des mesures de sécurité. L’analyse et l’étude des solutions du marché du SIEM montrent que le système de licence, en plus d’être relativement onéreux, manque d’agilité pour la gestion des pics d’événements. La phase d’intégration au SI client est également une composante à ne pas négliger dans la mise en place de telles solutions.

En parallèle de ses activités d’intégration des SIEMs des grands acteurs du marché, ITrust a mis en place une solution SIEM alternative en se basant sur les principes suivants :

  • Pérénité – solution open-source
  • Adaptabilité – architecture flexible et modulaire
  • Simplicité – pas de licence contraignante
  • Preuve – s’assurer de l’intégrité et la valeur probante des journaux
  • Installation des services limitée au strict minimum
  • Désactivation des accès à distance. Seule une connexion locale et physique pour la maintenance est autorisée
  • Accès audités
  • Synchronisation du temps NTP pour la fiabilité des sources de temps
  • Cette solution permet de proposer une solution de SIEM à moindre coût à nos clients.

Plus-value ITrust

  • Intégration du SOC (security operation center) dans l’environnement du client
  • Installation et adaptation des filtres aux formats des sources d’évènements et mise en place de tableaux de bord
  • ITrust assure la maintenance de la solution et le supportaux équipes utilisatrices
  • Possibilité d’intégration de la brique supplémentaire d’archivage probant des journaux bruts en assurant aussi la sécurité et l’intégrité des ces archives
  • Couplage de la solution SIEM avec la solution de gestion des vulnérabilités IKare permettant d’avoir une vision d’ensemble du niveau de sécurité d’un SI

La Vision

Trust développe en R&D interne un moteur d’analyse comportementale basé sur IKare et les remontées des évènements d’un SIEM pour identifier les comportements déviants et détecter les anomalies.
Le choix de la solution présentée ici, de par sa modularité, permet à ITrust d’agir à tous les niveaux de la chaîne de traitement et d’utiliser les informations collectées pour nourrir le moteur d’analyse comportementale. Cette intégration se traduit a court terme par l’introduction de règles de corrélation métier et sécurité au sein du SOC et, dans un second temps et au gré des développements, l’introduction de l’analyse comportementale.

Nos clients en parlent mieux que nous :

Le GCS bénéficie d’une licence gratuite. IKare s’inscrit en complémentarité des audits organisationnels que nous proposons à nos adhérents. Cinq établissements ont pu en bénéficier et disposer ainsi d’une photographie instantanée de leur système. Certains ont pu découvrir des ports ouverts, une licence expirée, des mises à jour à effectuer ou encore la présence de malwares.
Auriane Lemesle

esponsable Sécurité des Systèmes d'Information, GSC Télésanté Centre