Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Frédéric Saulet, LogPointBig : data et gestion des logs, faire face à la hausse du volume des données

février 2015 par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint.

Le Big Data, voilà un terme qui recouvre une réalité très vaste mais parfois aussi très « marketing ». Sa réalité constitue un défi de taille pour les entreprises qui se trouvent aujourd’hui confrontées à l’explosion du volume des données. Aux données opérationnelles des entreprises, le plus souvent structurées et stockées dans des bases de données, viennent se superposer une quantité de données non structurées dont l’exploitation est de plus en plus complexe. Les logs applicatifs sont l’exemple-type de ces données non structurées. Quelle que soit l’activité, impossible d’ignorer le sujet, et nombre d’entreprises se demandent comment aborder concrètement le problème du Big Data. Comment gérer les informations générées par les centaines de millions de logs pour détecter ou prévenir une attaque ? Les projets de sécurité sont désormais indissociables de toutes les organisations connectées, quel que soit leur métier.

Les volumes du big data rendent la gestion des données difficile Face à la masse colossale d’informations, les entreprises ont du mal à s’organiser. Selon l’étude « The Digital Universe in 2020 : Big Data, Bigger Digital Shadows, and Biggest Growth in the Far East » d’IDC iView, 2,8 zettaoctets d’informations ont été créés en 2012 et 40 zettaoctets sont prévus en 2020. Comment se repérer dans ces « lacs de données » qui grossissent chaque jour ?

Une parfaite compréhension de l’univers des données, des règles de conservation des archives et des exigences légales et réglementaires qui en découlent est nécessaire. Il faut par exemple éviter de conserver des données qui risquent de poser problème comme des données personnelles et les supprimer comme l’exige la réglementation. Ainsi, l’entreprise doit savoir de quels types de données elle dispose, puis adopter une méthodologie pour les traiter. Ce travail demande une collaboration active entre les acteurs internes (DSI, RSSI, mise en conformité, juridique…) et les prestataires externes pour définir rapidement les données à exclure en cas, par exemple, d’obligation de divulgation.

Rendre les données existantes accessibles et utilisables par tous est une nécessité vitale et participe autant de la sécurité que de la valeur de l’entreprise. Les communications numériques laissent toujours une trace - un log - de leur passage, donnant des informations critiques comme l’heure, l’endroit et le parcours. Chaque jour des centaines de millions de logs sont générés par l’activité des différents systèmes et des différentes applications. Or, aucune norme officielle ne régit actuellement le format d’un log. Cette absence de standard oblige les entreprises à déterminer elles-mêmes le format des logs (adresse IP, heure de début et de fin de session, nom de l’utilisateur…). Elles se retrouvent ainsi avec le challenge de la collecte et de la préservation les données. Autrement dit, elles doivent savoir gérer l’information contenue dans cette masse de données.

Le SIEM, aide incontournable pour analyser l’information

Comment établir des process pour la masse d’informations que représente le big data ? Choisir une solution appropriée avec une approche proactive et pérenne afin de gérer l’information est capital. La gestion des données n’a rien de ponctuel mais au contraire est une opération continue. Le SIEM (Security Information and Event Management) est l’outil essentiel pour gérer les événements du système d’information.

Les entreprises n’ont pas toujours conscience des dangers qui les menacent. Elles stockent des informations confidentielles, ce qui fait d’elles la cible privilégiée du piratage, du sabotage, de la fraude et de l’espionnage. Les données corporate, financières, RH, les offres des fournisseurs, les listes de clients… sont évidemment très recherchées par les hackers.

Une solution SIEM efficace doit donc remplir plusieurs objectifs : collecter, corréler, gérer, alerter, prévenir et améliorer. Elle doit être à même d’exploiter les traces, les événements et autres données pour obtenir un tableau de bord objectif de la circulation des données de l’entreprise. Le SIEM est ainsi un élément majeur de sécurité, car il contribue à la détection des cyber-menaces et génère les alertes en cas de dysfonctionnement. La sécurité informatique repose sur cette corrélation des logs pour identifier quand et qui est impliqué dans la violation de données et obtenir des preuves en cas de poursuites judiciaires.

Une solution de SIEM est également un outil-clé dans le processus exigeant et indispensable d’optimisation des réseaux. La surveillance et la documentation du trafic du réseau est quasi-incontournable pour être en conformité avec les normes de Qualité. En résumé, un SIEM efficace donne aux entreprises qui l’utilisent une longueur d’avance, autant sur les cybercriminels que sur leurs concurrents.

Un outil pour la défense des données du big data et le respect de la législation Tout le paramétrage du SIEM part de la politique de sécurité et des règles définies par l’entreprise. Le mot clé est la conformité. Les données du système sont converties au format d’événement du SIEM pour surveiller en permanence la conformité et repérer les événements de sécurité du système. Les rapports qui sont générés sont établis soit à partir des préconisations d’un éventuel audit, soit selon les recommandations de la politique de sécurité. L’entreprise peut alors réagir en temps réel aux incidents et prendre les mesures qui s’imposent pour améliorer le fonctionnement et la sécurité du système.

Le SIEM permet d’exécuter rapidement et efficacement des scénarii de surveillance métier, adaptés à l’activité du système d’information et des applications. Bien choisir son SIEM est aussi impératif pour bâtir des scénarii de contre-attaque et lutter efficacement contre les cyber-attaques, notamment les APT dont les formes sont de plus en plus furtives et évolutives. Le SIEM doit donc s’adapter pour répondre aux besoins spécifiques et à la politique de sécurité de l’entreprise. Cette surveillance proactive se traduit par des avantages déterminants comme l’amélioration de la gestion de la sécurité et des risques, la réduction du nombre et du niveau de criticités, la transformation des risques en remédiation, le respect des exigences de la conformité dans l’environnement du SI… L’entreprise est alors capable de détecter les anomalies et d’opérer les modifications nécessaires pour maîtriser ses données.

Le SIEM fournit une large vision des événements critiques du système, indispensable pour la gestion des risques. Il métamorphose la difficulté en une opportunité proactive, simple et en temps réel. Le choix d’un SIEM est donc délicat et doit faire l’objet d’un cahier des charges assis en premier lieu sur sa flexibilité et sa capacité d’évolution. Il doit en effet pouvoir s’adapter aux besoins qui évoluent et exploiter au mieux les données que le système d’information nous livre quotidiennement, celles d’aujourd’hui, et celles de demain. Dans une optique où le volume de données à traiter croît sans cesse, cette analyse optimale du Big Data fait partie d’une bonne stratégie de gestion des risques.




Voir les articles précédents

    

Voir les articles suivants