Sécurité dans le secteur public : 4 points à prendre en compte pour la mise en œuvre d'un SIEM moderne

En tant qu'organisation du secteur public, la sécurité fait partie de vos priorités. L'un des meilleurs moyens de sécuriser vos données et vos systèmes est d'opter pour une plateforme SIEM moderne. Bon nombre d'agences gouvernementales et d'établissements scolaires s'en servent comme élément de base de leur architecture de cybersécurité Zero Trust.

Les technologies SIEM ne cessent d'évoluer. De ce fait, les stratégies en la matière aussi. Il peut donc être difficile de suivre le rythme pour se tenir au courant des dernières mises à jour et exigences. Que vous débutiez dans le SIEM ou que vous souhaitez renforcer votre système existant, voici quelques points à prendre en compte pour le secteur public.

Retour à l'essentiel : qu'est-ce que le SIEM ?

Pour ceux qui sont encore novices dans le domaine, le SIEM est un système de gestion des informations de sécurité et des événements, qui étudie sous tous les angles les données venant de différentes sources, détecte les éventuels problèmes et prend des mesures. Une technologie SIEM combine la gestion des informations de sécurité (SIM) et la gestion des événement de sécurité (SEM). Au cœur de cette fonctionnalité, on retrouve le logging.

Selon la taille et la portée de votre organisation, vous disposez peut-être déjà d'un système SIEM, que vous devez potentiellement réévaluer. En effet, 47 % des organisations du secteur public indiquent qu'elles remplaceront ou renforceront leur système SIEM.

D'après le magazine FedTech, l'adoption de technologies SIEM de pointe est en pleine expansion dans les agences fédérales américaines, qui suivent les conseils du NIST et les exigences mises à jour concernant le logging. Au Royaume-Uni, les fonctionnalités SIEM sont si importantes que le National Cyber Security Centre (NCSC) a publié des conseils sur la façon de configurer des fonctions simples de logging dans le cadre de la cybersécurité, comme étape préalable à l'adoption d'un système SIEM. Le centre précise d'ailleurs que le logging est "crucial si on veut repérer et attraper des cybercriminels".

Pourquoi le SIEM revêt-il autant d'importance pour le secteur public aujourd'hui ? 

Les cybermenaces deviennent de plus en plus nombreuses et de plus en plus ciblées. La cybercriminalité devrait augmenter de 15 % chaque année jusqu'en 2025, d'après Cybercrime Magazine. Le coût global moyen d'une violation de données est de 4,35 millions de dollars. Il atteint même 9,44 millions de dollars aux États-Unis. Le secteur public continue d'être la cible des cybercriminels, étant donné que les données qu'il gère sont extrêmement sensibles (dossiers médicaux, identités, etc.). De manière générale, c'est le secteur de l'éducation qui essuie le plus grand nombre de cyberattaques, suivi par le gouvernement.

Qui dit multiplication des données, dit scaling des systèmes SIEM. Aujourd'hui, lorsqu'on parle de données, il n'est pas rare de les associer au terme "pétaoctets". L'utilisation des données n'est pas prête de diminuer. La technologie SIEM peut agréger l'ensemble des informations collectées auprès de n'importe quelle source et permettre aux équipes informatiques de relever les anomalies en temps réel, et de là, déjouer les menaces de manière proactive, avant qu'elles ne s'infiltrent dans votre organisation ou qu'elles ne nuisent à vos utilisateurs. Et comme les données se présentent sous plusieurs formes (par exemple structurées et non structurées), un système SIEM capable de les tamiser rapidement quel que soit leur type est un atout précieux.

Un système SIEM rationalise les outils pour les équipes informatiques et de sécurité. Les équipes du secteur public sont en compétition avec les entreprises du secteur privé dans le recrutement de talents dans les domaines de l'informatique et de la sécurité. Malheureusement, elles font souvent chou blanc. Les équipes qui n'ont pas suffisamment de ressources se retrouvent avec un volume de données trop important pour qu'elles puissent le traiter toutes seules. L'automatisation et la consolidation des données à grande échelle leur sont donc essentielles, ainsi que la capacité à les agréger en une seule vue. De plus, les solutions basées sur le cloud aident à rendre les outils SIEM accessibles aux agences et organisations plus petites qui n'avaient jusque-là pas les ressources pour une solution sur site.

Un système SIEM donne aux équipes les moyens de prendre rapidement des décisions stratégiques. Avec un agent unifié, vous pouvez approfondir la visibilité sur les hôtes, bloquer les ransomwares et les malwares, rationaliser l'inspection et invoquer des actions de réponse à distance. Ces possibilités sont cruciales dans un environnement de cybersécurité où chaque seconde compte et dans lequel les données peuvent provenir d'environnements essentiels, comme le champ de bataille, ou y être acheminées.

Quels sont les principaux points à prendre en compte pour la mise en œuvre d'un système SIEM dans le secteur public ?

Lors du choix de votre solution SIEM, il y a un certain nombre de points à prendre en compte, par exemple, la fréquence à laquelle vous ajoutez des sources de données, la taille de votre équipe et l'état de vos processus actuels. En plus des facteurs ordinaires, nous recommandons plus spécifiquement au secteur public de garder les points suivants en tête : 

1) La capacité à faire des recherches dans les logs antérieurs 

Les directives récentes, telles que la M-21-31 aux États-Unis, mettent l'accent sur la capacité à analyser ce qui se cache sous les attaques dont les temps de détection sont longs. Elles exigent que les agences conservent leurs logs sur des périodes prolongées (pour la M-21-31, de 72 heures pour des données de capture de paquets, à 12 mois pour un stockage actif, à 18 mois pour les données "cold"). Ces exigences impliquent des durées bien plus importantes qu'auparavant. C'est donc un point essentiel dont vous devez tenir compte lors de votre recherche de la solution SIEM appropriée. De nombreux systèmes SIEM existants ne conservent que 30 jours de données, ce qui force les données antérieures à passer sur un stockage cold. Résultat : le stockage des données devient très onéreux et fastidieux à gérer.

2) La rapidité à grande échelle 

Au fil du temps, votre organisation va accroître son utilisation des données. C'est inévitable. Néanmoins, il n'est pas envisageable de faire des compromis au niveau de la vitesse. Lorsque des données essentielles sont en jeu, chaque milliseconde fait la différence. Lorsque vous étudiez une solution SIEM, ne prenez pas uniquement en compte sa vitesse actuelle avec les sources de données que vous utilisez. Réfléchissez au volume de données que vous utiliserez dans le futur et déterminez si la vitesse de la solution sera impactée par cette augmentation. Si vous ne pouvez pas rechercher rapidement des données dans ce volume exponentiel, votre organisation gaspillera des ressources précieuses. La plupart des équipes de sécurité du secteur public ne peuvent pas se permettre de restaurer des archives sur le SIEM. La solution ? Disposer d'un niveau frozen.

3) Les exigences et les coûts de stockage des logs 

Faites attention à la façon dont un fournisseur SIEM structure ses tarifs. De nombreuses plateformes de SIEM basent leurs coûts de licence sur le volume de stockage quotidien que vous utilisez. Ce modèle de tarification deviendra vite ingérable pour les agences du secteur public qui voient leur collecte de logs exploser suite à la mise en place de nouvelles directives en matière de cybersécurité. Cherchez une solution flexible qui scalera avec votre organisation.

4) Une solution sur site ou dans le cloud ? 

Il est important de connaître la flexibilité qu'offrent les fournisseurs en ce qui concerne les solutions dans le cloud et sur site. Certaines solutions SIEM sont disponibles uniquement dans le cloud, ce qui peut être rédhibitoire pour les organisations du secteur public ayant besoin d'une solution sur site, ou au moins une option en ce sens. Si ce sont les solutions SIEM basées sur le cloud qui vous intéressent, vérifiez qu'elles respectent bien les directives du gouvernement concernant la conformité, ainsi que les réglementations telles que la FedRAMP. 

Plus de ressources sur les solutions SIEM pour le secteur public

• Consultez la liste de contrôle sur les cinq signes qui montrent que vous devez renforcer votre système SIEM (en anglais)
• Téléchargez le guide de l'acheteur de SIEM (en anglais)