SlideShare une entreprise Scribd logo

Comment réussir un projet de supervision de sécurité #SIEM #Succès

David Maillard
David Maillard
Données & analyses
1  sur  13
Comment réussir un projet de supervision de sécurité ?
Le SIEM (définition) Security Incident & Event Management • Collecte les journaux (multi formats) • Normalise les événements (taxonomie) • Corrèle et Reporte (tableaux de bords techniques, de pilotage et managériaux, synchrone et asynchrone) • Archive (au sein mémoriel et légal du terme) • Rejoue des événements (dans le cadre d’une analyse post mortem par exemple) • Gère le suivi (I) Objectifs métiers •Technique et/ou juridique : Collecte et centralisation de logs avec quelques règles de corrélations •Besoin : investigation technique interne, statistiques d’usages et détection d’usages anormaux •Conformité : Répondre à des besoins réglementaires (CNIL, PCI DSS, RDBF, etc.) •Besoin : indicateurs issus de corrélations visant à surveiller des données et/ou des traitements •Proactif : détection de comportements anormaux •Besoin : suivi d’utilisation, détection d’APT, etc.
Physionomie d’une attaque L’attaquant scanne le périmètre pour découvrir une faille dans le périmètre L’attaquant traverse les lignes de défenses et compromet un équipement en exploitant une vulnérabilité Depuis l’équipement compromis l’attaquant cible des données confidentielles (SGBD, collaboratif, etc.) L’attaquant déploit des backdoors pour exfiltrer les données sensibles et élargir sa surface d’attaque Les équipements d’interfaces journalisent les scans horizontaux et verticaux Les IDS/IPS détectent les signatures d’attaques et contrôlent l’effectivité des barrières Les serveurs journalisent les accès Les bases de données journalisent les requêtes Le SIEM corrèle et détecte les attaques
Logigramme Analyse Parsing Collecte Logs IT-IS-IM Capture paquets/sessions Flux d’informations Archivage Reporting Détection temps réel
Evénements pondérés Faux positifs, recorrélation, etc. Corrélation Agrégationdelogs Corrélationd’événement Corrélationvulnérabilité Corrélationd’inventaire Gestionderisques Alerte Gestion de crise Retour à la normale 1012 109 106 103 10 1
Les modèles SOCs Opérations Gestion des événements Gestion des vulnérabilités Gestion des opérations Gestion des référentiels Technologique Gestion des configurations Gestion et MCO de la solution Gestion des infrastructure s Métiers Gestion des escalades Gestion de la disponibilité PRA/PCA Gestion des évolutions Gestion des KPI et SLA Analyse Gestion des incidents Gestion des investigations Gestion des problèmes Gestion des indicateurs PAQ, PAS, Plan de Management, Catalogue de Services, etc. Des équipes organisées et indépendantes
Les modèles de delivery Intégration •Accompagnement à Maitrise d’Ouvrage(aide au choix, rédaction de RFI, RFP, etc.) •Installation (POC, Pilote, déploiement, maintenance, etc.) •Mise en œuvre des processus (RACI, Plan de management, catalogue de services, etc.) Infogérance •Suite à une intégration ou à une réversibilité •Mise en place d’équipes N1/N2 chez les clients N3 en base arrière sur base horaire contractuelle •Organisation 24/7/365 sur site ou en mode bascule sur SOC interne maitrisé (FRA/IND) Services Managés •Modèle SIEM as a Service •Intégration dans l’infrastructure du client ou modèle externe •Equipe dédiée ou mutualisée •Choix d’une technologie ou d’un modèle en Unités d’Œuvres
Les + de notre offre: Plan Do Check Act Il s’agit, sur la base d’une quantité significative de logs et en complément des solutions existantes: • De réaliser – l’identification et la collecte les données – la modélisation (schéma en étoile, KPI, dimensions) – la visualisation et l’analyse des données. • D’identifier – les comportements atypiques et les zones cachées dans les épaisseurs de trait, – les groupes (clusters) de données ayant des comportements proches et des paramètres explicatifs à ces clusters. – les tendances. Approche progressive : • Data exploration  Recherche de singularités • Data control  Recherche focalisée à partir des singularités et des d’input métiers • Data Mining  Corrélation des données
Conclusion Une démarche SIEM réussie c’est : • La fourniture d'indicateurs opérationnels et métiers nouveaux et la détection incidents méconnus auparavant. • Un mode de gouvernance sécurité plus réactif et plus précis basé sur un contrôle permanent extrêmement fin des systèmes d’information • Un procédure et des réactions, testés et déroulées avec la même rigueur que les PCA ou PRA. • Une baisse des coûts d’audits périodiques (données d'audits exploitables au niveau des SOC)
Les erreurs à éviter Défaut de continuité dans la chaine de transport du log Objectifs de surveillance mal ciblés • Faible diversité des événements détectés (seuils trop élevés, donc sans intérêt pour les acteurs) • Complexité mail maîtrisée (impossible à corréler) • Finalité sécurité (améliorer des investissements sécurité, pratiques dangereuses) Focaliser la surveillance sur les équipements de sécurité ou la DMZ au détriment des serveurs et des postes de travail (Approche Jéricho) Négligence dans les objectifs de détection • Comportements des usagers internes (signaux faibles et APT) • Préservation des biens et des fonctions sensibles Défaut de vérification de l’effectivité des corrélations (PDCA)
Les facteurs clés Paradigme •la sécurité est une activité pilotée par l’entreprise •Le SIEM facilite la lecture SIEM et pas SEM •engagements d’interventions voire de résolutions sur les alertes •RACI l’organisation Périmètre •intégrer le GT-BC •les systèmes industriels •les accès aux locaux, Communiquer et accompagner •Les avantages (dissocier l’intentionnel de l’accidentel) •Indicateurs de succès des taches quotidiennes •Alertes avancées Reporting •Temps réel (remontée d’alertes rapides sur détection proactive) •Périodique (vision synthétique hebdomadaire ou mensuelle) •Type de projet (solution, logiciel, infogérance, MSSP, etc. ) •Les finalités •Le périmètre (technique et fonctionnel) •L’équipe projet en charge du déploiement, du MCO et de l’exploitation Objectifs •Pré requis (synchronisation temporelle, standardisation des types de journaux, etc.) •Conception, construction et opération (différents périmètres) •Organisation des équipes (niveaux, plages horaires, etc. Planifier •Ne pas se restreindre (le diable est dans les détails) •Partager un référentiel commun de temps •Sécuriser et sceller l’archivage •Vérifier périodiquement l’effectivité de la corrélation (PDCA) Ne pas oublier
Le marché SIEM sur 3 ans (source Gartner) • Consolidation du marché de 25 acteurs à 16 • Seuls les produits mures technologiquement et avec une roadmap ambitieuse sont leaders
Cliquez pour modifier le style du titre David.Maillard@Sogeti.Com +33 6 24 13 32 03 ENVIE D’EN PARLER OU D’ALLER PLUS LOIN WANT TO GO DEEPER OR FORWARD

Recommandé

PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESTelecomValley
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIMYaya N'Tyeni Sanogo
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkIbrahimous
 
SOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterSOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterMichael Nickle
 
Rapport Splunk.pdf
Rapport Splunk.pdfRapport Splunk.pdf
Rapport Splunk.pdfHichemKhalfi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Introduction à DevOps
Introduction à DevOpsIntroduction à DevOps
Introduction à DevOpsMicrosoft
 

Recommandé

PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESTelecomValley
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIMYaya N'Tyeni Sanogo
 
Investigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkInvestigation de cybersécurité avec Splunk
Investigation de cybersécurité avec SplunkIbrahimous
 
SOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterSOC presentation- Building a Security Operations Center
SOC presentation- Building a Security Operations CenterMichael Nickle
 
Rapport Splunk.pdf
Rapport Splunk.pdfRapport Splunk.pdf
Rapport Splunk.pdfHichemKhalfi
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Introduction à DevOps
Introduction à DevOpsIntroduction à DevOps
Introduction à DevOpsMicrosoft
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
The ATT&CK Philharmonic
The ATT&CK PhilharmonicThe ATT&CK Philharmonic
The ATT&CK PhilharmonicMITRE ATT&CK
 
Présentation et démo ELK/SIEM/Wazuh
Présentation et démo ELK/SIEM/Wazuh Présentation et démo ELK/SIEM/Wazuh
Présentation et démo ELK/SIEM/Wazuh clevernetsystemsgeneva
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligenceMondher Smii
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...Kyos
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Cybersecurity in Oil & Gas Company
Cybersecurity in Oil & Gas CompanyCybersecurity in Oil & Gas Company
Cybersecurity in Oil & Gas CompanyEryk Budi Pratama
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm
 
Empower Your Security Practitioners with Elastic SIEM
Empower Your Security Practitioners with Elastic SIEMEmpower Your Security Practitioners with Elastic SIEM
Empower Your Security Practitioners with Elastic SIEMElasticsearch
 
Cisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’informationCisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’informationSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust - Cybersecurity as a Service
 

Contenu connexe

Tendances

IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
The ATT&CK Philharmonic
The ATT&CK PhilharmonicThe ATT&CK Philharmonic
The ATT&CK PhilharmonicMITRE ATT&CK
 
Présentation et démo ELK/SIEM/Wazuh
Présentation et démo ELK/SIEM/Wazuh Présentation et démo ELK/SIEM/Wazuh
Présentation et démo ELK/SIEM/Wazuh clevernetsystemsgeneva
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligenceMondher Smii
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...Kyos
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Cybersecurity in Oil & Gas Company
Cybersecurity in Oil & Gas CompanyCybersecurity in Oil & Gas Company
Cybersecurity in Oil & Gas CompanyEryk Budi Pratama
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm
 
Empower Your Security Practitioners with Elastic SIEM
Empower Your Security Practitioners with Elastic SIEMEmpower Your Security Practitioners with Elastic SIEM
Empower Your Security Practitioners with Elastic SIEMElasticsearch
 

Tendances (20)

IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
The ATT&CK Philharmonic
The ATT&CK PhilharmonicThe ATT&CK Philharmonic
The ATT&CK Philharmonic
 
Présentation et démo ELK/SIEM/Wazuh
Présentation et démo ELK/SIEM/Wazuh Présentation et démo ELK/SIEM/Wazuh
Présentation et démo ELK/SIEM/Wazuh
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Mehari
MehariMehari
Mehari
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
Gestion des accès privilégiés : Améliorez votre sécurité avec Wallix Admin Ba...
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Cybersecurity in Oil & Gas Company
Cybersecurity in Oil & Gas CompanyCybersecurity in Oil & Gas Company
Cybersecurity in Oil & Gas Company
 
Alphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentauxAlphorm.com Formation Splunk : Maitriser les fondamentaux
Alphorm.com Formation Splunk : Maitriser les fondamentaux
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide complet
 
Empower Your Security Practitioners with Elastic SIEM
Empower Your Security Practitioners with Elastic SIEMEmpower Your Security Practitioners with Elastic SIEM
Empower Your Security Practitioners with Elastic SIEM
 

Similaire à Comment réussir un projet de supervision de sécurité #SIEM #Succès

Dataw formation-data-warehouse-et-systemes-d-aide-a-la-decision
Dataw formation-data-warehouse-et-systemes-d-aide-a-la-decisionDataw formation-data-warehouse-et-systemes-d-aide-a-la-decision
Dataw formation-data-warehouse-et-systemes-d-aide-a-la-decisionCERTyou Formation
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIArsène Ngato
 
L’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireL’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireDidier Labonte
 
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihmTelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihmMarc Hage Chahine
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandPatricia NENZI
 
Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9CERTyou Formation
 
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’IT
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’ITSystem Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’IT
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’ITMicrosoft Technet France
 
LAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfLAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfAssociationAF
 
2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...
2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...
2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...Club Alliances
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptKhaledabdelilah1
 
Score card sécurité Infologo
Score card sécurité InfologoScore card sécurité Infologo
Score card sécurité InfologoInfologo
 
Implementer ITIL
Implementer ITILImplementer ITIL
Implementer ITILhdoornbos
 
Implementeritilv2 140114131107-phpapp01
Implementeritilv2 140114131107-phpapp01Implementeritilv2 140114131107-phpapp01
Implementeritilv2 140114131107-phpapp01Nacer HAMADENE
 
La documentation du système d'information
La documentation du système d'informationLa documentation du système d'information
La documentation du système d'informationChiheb Ouaghlani
 

Similaire à Comment réussir un projet de supervision de sécurité #SIEM #Succès (20)

Cisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’informationCisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’information
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FR
 
Dataw formation-data-warehouse-et-systemes-d-aide-a-la-decision
Dataw formation-data-warehouse-et-systemes-d-aide-a-la-decisionDataw formation-data-warehouse-et-systemes-d-aide-a-la-decision
Dataw formation-data-warehouse-et-systemes-d-aide-a-la-decision
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SI
 
L’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireL’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaire
 
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihmTelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
TelecomValley 2017 05-18-ARMAGNACQ_automatisation+test_ihm
 
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - ComputerlandDisaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
Disaster Recovery Plan (DRP) & Business Continuity Plan 2012 - Computerland
 
Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9Gu202 g formation-infosphere-guardium-9
Gu202 g formation-infosphere-guardium-9
 
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’IT
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’ITSystem Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’IT
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’IT
 
LAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdfLAIR_230330-SécuritéSAE.pdf
LAIR_230330-SécuritéSAE.pdf
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...
2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...
2010.11.26 - DSI - Comment maîtriser l'intégration du Cloud et du SaaS dans l...
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
 
Score card sécurité Infologo
Score card sécurité InfologoScore card sécurité Infologo
Score card sécurité Infologo
 
Implementer ITIL
Implementer ITILImplementer ITIL
Implementer ITIL
 
Implementeritilv2 140114131107-phpapp01
Implementeritilv2 140114131107-phpapp01Implementeritilv2 140114131107-phpapp01
Implementeritilv2 140114131107-phpapp01
 
La documentation du système d'information
La documentation du système d'informationLa documentation du système d'information
La documentation du système d'information
 
Zdi Strategy Process Map
Zdi Strategy Process MapZdi Strategy Process Map
Zdi Strategy Process Map
 

Comment réussir un projet de supervision de sécurité #SIEM #Succès

  • 1. Comment réussir un projet de supervision de sécurité ?
  • 2. Le SIEM (définition) Security Incident & Event Management • Collecte les journaux (multi formats) • Normalise les événements (taxonomie) • Corrèle et Reporte (tableaux de bords techniques, de pilotage et managériaux, synchrone et asynchrone) • Archive (au sein mémoriel et légal du terme) • Rejoue des événements (dans le cadre d’une analyse post mortem par exemple) • Gère le suivi (I) Objectifs métiers •Technique et/ou juridique : Collecte et centralisation de logs avec quelques règles de corrélations •Besoin : investigation technique interne, statistiques d’usages et détection d’usages anormaux •Conformité : Répondre à des besoins réglementaires (CNIL, PCI DSS, RDBF, etc.) •Besoin : indicateurs issus de corrélations visant à surveiller des données et/ou des traitements •Proactif : détection de comportements anormaux •Besoin : suivi d’utilisation, détection d’APT, etc.
  • 3. Physionomie d’une attaque L’attaquant scanne le périmètre pour découvrir une faille dans le périmètre L’attaquant traverse les lignes de défenses et compromet un équipement en exploitant une vulnérabilité Depuis l’équipement compromis l’attaquant cible des données confidentielles (SGBD, collaboratif, etc.) L’attaquant déploit des backdoors pour exfiltrer les données sensibles et élargir sa surface d’attaque Les équipements d’interfaces journalisent les scans horizontaux et verticaux Les IDS/IPS détectent les signatures d’attaques et contrôlent l’effectivité des barrières Les serveurs journalisent les accès Les bases de données journalisent les requêtes Le SIEM corrèle et détecte les attaques
  • 4. Logigramme Analyse Parsing Collecte Logs IT-IS-IM Capture paquets/sessions Flux d’informations Archivage Reporting Détection temps réel
  • 5. Evénements pondérés Faux positifs, recorrélation, etc. Corrélation Agrégationdelogs Corrélationd’événement Corrélationvulnérabilité Corrélationd’inventaire Gestionderisques Alerte Gestion de crise Retour à la normale 1012 109 106 103 10 1
  • 6. Les modèles SOCs Opérations Gestion des événements Gestion des vulnérabilités Gestion des opérations Gestion des référentiels Technologique Gestion des configurations Gestion et MCO de la solution Gestion des infrastructure s Métiers Gestion des escalades Gestion de la disponibilité PRA/PCA Gestion des évolutions Gestion des KPI et SLA Analyse Gestion des incidents Gestion des investigations Gestion des problèmes Gestion des indicateurs PAQ, PAS, Plan de Management, Catalogue de Services, etc. Des équipes organisées et indépendantes
  • 7. Les modèles de delivery Intégration •Accompagnement à Maitrise d’Ouvrage(aide au choix, rédaction de RFI, RFP, etc.) •Installation (POC, Pilote, déploiement, maintenance, etc.) •Mise en œuvre des processus (RACI, Plan de management, catalogue de services, etc.) Infogérance •Suite à une intégration ou à une réversibilité •Mise en place d’équipes N1/N2 chez les clients N3 en base arrière sur base horaire contractuelle •Organisation 24/7/365 sur site ou en mode bascule sur SOC interne maitrisé (FRA/IND) Services Managés •Modèle SIEM as a Service •Intégration dans l’infrastructure du client ou modèle externe •Equipe dédiée ou mutualisée •Choix d’une technologie ou d’un modèle en Unités d’Œuvres
  • 8. Les + de notre offre: Plan Do Check Act Il s’agit, sur la base d’une quantité significative de logs et en complément des solutions existantes: • De réaliser – l’identification et la collecte les données – la modélisation (schéma en étoile, KPI, dimensions) – la visualisation et l’analyse des données. • D’identifier – les comportements atypiques et les zones cachées dans les épaisseurs de trait, – les groupes (clusters) de données ayant des comportements proches et des paramètres explicatifs à ces clusters. – les tendances. Approche progressive : • Data exploration  Recherche de singularités • Data control  Recherche focalisée à partir des singularités et des d’input métiers • Data Mining  Corrélation des données
  • 9. Conclusion Une démarche SIEM réussie c’est : • La fourniture d'indicateurs opérationnels et métiers nouveaux et la détection incidents méconnus auparavant. • Un mode de gouvernance sécurité plus réactif et plus précis basé sur un contrôle permanent extrêmement fin des systèmes d’information • Un procédure et des réactions, testés et déroulées avec la même rigueur que les PCA ou PRA. • Une baisse des coûts d’audits périodiques (données d'audits exploitables au niveau des SOC)
  • 10. Les erreurs à éviter Défaut de continuité dans la chaine de transport du log Objectifs de surveillance mal ciblés • Faible diversité des événements détectés (seuils trop élevés, donc sans intérêt pour les acteurs) • Complexité mail maîtrisée (impossible à corréler) • Finalité sécurité (améliorer des investissements sécurité, pratiques dangereuses) Focaliser la surveillance sur les équipements de sécurité ou la DMZ au détriment des serveurs et des postes de travail (Approche Jéricho) Négligence dans les objectifs de détection • Comportements des usagers internes (signaux faibles et APT) • Préservation des biens et des fonctions sensibles Défaut de vérification de l’effectivité des corrélations (PDCA)
  • 11. Les facteurs clés Paradigme •la sécurité est une activité pilotée par l’entreprise •Le SIEM facilite la lecture SIEM et pas SEM •engagements d’interventions voire de résolutions sur les alertes •RACI l’organisation Périmètre •intégrer le GT-BC •les systèmes industriels •les accès aux locaux, Communiquer et accompagner •Les avantages (dissocier l’intentionnel de l’accidentel) •Indicateurs de succès des taches quotidiennes •Alertes avancées Reporting •Temps réel (remontée d’alertes rapides sur détection proactive) •Périodique (vision synthétique hebdomadaire ou mensuelle) •Type de projet (solution, logiciel, infogérance, MSSP, etc. ) •Les finalités •Le périmètre (technique et fonctionnel) •L’équipe projet en charge du déploiement, du MCO et de l’exploitation Objectifs •Pré requis (synchronisation temporelle, standardisation des types de journaux, etc.) •Conception, construction et opération (différents périmètres) •Organisation des équipes (niveaux, plages horaires, etc. Planifier •Ne pas se restreindre (le diable est dans les détails) •Partager un référentiel commun de temps •Sécuriser et sceller l’archivage •Vérifier périodiquement l’effectivité de la corrélation (PDCA) Ne pas oublier
  • 12. Le marché SIEM sur 3 ans (source Gartner) • Consolidation du marché de 25 acteurs à 16 • Seuls les produits mures technologiquement et avec une roadmap ambitieuse sont leaders
  • 13. Cliquez pour modifier le style du titre David.Maillard@Sogeti.Com +33 6 24 13 32 03 ENVIE D’EN PARLER OU D’ALLER PLUS LOIN WANT TO GO DEEPER OR FORWARD