Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Log management : le RoI est possible

juin 2009 par Marc Jacob

Durant l’édition 2009 de CSO Interchange, un RSSI d’une multinationale a accepté de témoigner sur le déploiement dans son entreprise d’une solution de log management (SIEM). Actuellement, sa solution n’est déployée que dans deux pays pourtant, il a déjà tiré des enseignements qui lui permettront d’étendre sa solution à toutes les entités de son groupe. Pour lui, l’important dans un tel projet est de bien choisir son intégrateur et de ne pas écouter les discours des éditeurs… afin d’obtenir un RoI

Ce RSSI d’une multinationale a abordé les facettes de la sécurisation de l’information à travers la mise en place d’une gouvernance internationale de la sécurité, d’action de sensibilisation et de travail avec les métiers pour implémenter un SIEM (solution de logs management). Il a présenté le contexte qui a poussé sa société à déployer une telle solution. Son projet couvre la sécurité internet en particulier l’accès aux données et la navigation web. A l’époque, il avait plus de 10 millions d’événements de sécurité par jour soit 2 Gigaoctets de données. Il n’avait pas non plus de politique d’archivage des logs, ni d’indicateur d’événements centralisé ou d’analyse de risque préventive. Suite à ce constat, il s’est fixé plusieurs objectifs parmi lesquels :

- disposer d’une politique de sécurité centralisée dans ce domaine
- disposer d’indicateurs de sécurité centralisés
- optimiser le travail des équipes d’exploitation

Pour cela, il a eu besoin d’éléments de collecte et d’archivage, d’outil de corrélation et d’outil de reporting efficace. Selon lui, sur le marché il n’y aurait pas d’offre répondant parfaitement à ses trois critères.

Les sponsors du projet qui ont participé à son déploiement appartenaient à différents services en premier lieu la qualité qui lui a été d’une aide précieuse, l’audit compliance pour la partie conformité, l’archivage compliance, l’IT production et support, les RH et la finance, enfin l’exploitation de la sécurité.

Le projet a suivi les étapes traditionnelles de toute mise en œuvre : définition des besoins de chaque service, analyse des solutions, test et déploiement final. Le facteur clé de la solution retenue était l’intégration facile dans l’environnement jusqu’au couche haute (6 et 7). Le projet a pris 18 mois entre son début et le déploiement sur les deux pays. 45% du projet a été consacré aux éléments à corréler. Il a souligné que le choix d’un intégrateur compétent est primordial et surtout qu’il ne faut pas se fier aux discours des éditeurs. Il est aussi important de construire de nouvelles règles. En effet, il a rencontré des problèmes d’ajustement des règles. Au final, il lui a fallu 5 « input » en termes d’informations pour pouvoir bénéficier de réelles alarmes exploitables. Le premier jour, il a reçu 500 alertes qui ont été réduites en quelques semaines à une centaine. Aujourd’hui, il vise une dizaine d’alertes par jour. Cette phase lui a pris 3 mois.

En termes de RoI, il a fait une analyse qualitative et quantitative. Au niveau qualitatif, il est passé d’un mode réactif à un mode préventif. Il a pu aussi mieux planifier le besoin en équipements en particulier pour les serveurs nécessaires au stockage des logs et améliorer ses SLA. Au niveau quantitatif, il a gagné plusieurs heures de travail par jour pour l’ensemble de ses équipes : investigations, supports, détections des incidents…




Voir les articles précédents

    

Voir les articles suivants