• Like

Service de protection de l’information

  • 342 views
Uploaded on

Afin d’éviter les principaux pièges dans lesquels les services de protection des données tombent, ce livre blanc explore les risques et défis des projets de management des informations de sécurité. …

Afin d’éviter les principaux pièges dans lesquels les services de protection des données tombent, ce livre blanc explore les risques et défis des projets de management des informations de sécurité. L’objectif est de fournir aux entreprises des directives qui permettront d’assurer le succès de ces projets, et par la même de protéger plus efficacement réseaux et organisations.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
342
On Slideshare
0
From Embeds
0
Number of Embeds
4

Actions

Shares
Downloads
8
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Services de protection de l’information Les cinq pièges principaux des services de protection de l’information : assurer le management efficace des informations de sécurité
  • 2. Ce livre blanc est destiné à aider les professionnels de la sécurité, de l’informatique et de la conformité chargés de déployer les services de protection de l’information à éviter les pièges responsables de l’échec ou des restrictions d’implémentation des services dans d’autres entreprises. En explorant les risques et défis émanant des projets de management des informations de sécurité (SIM – Security Information Management), nous espérons pouvoir fournir aux entreprises nécessitant un système de management des informations de sécurité des directives qui permettront d’assurer le succès de ces projets. Pourquoi manager les informations de sécurité ? En vue de répondre aux exigences règlementaires et protéger plus efficacement leurs réseaux, une grande partie des organisations font appel aux outils de management des informations de sécurité SIM. En recueillant les événements de sécurité provenant des firewalls, des dispositifs IDS/IPS et des serveurs, et en établissant une corrélation et des rapports basés sur ces informations, la technologie SIM permet d’établir un système de défense en profondeur. Lorsqu’elle est correctement implémentée et managée, cette technologie renforce les opérations de sécurité en offrant : • Une identification et une intervention plus rapides aux menaces réelles • L’élimination des alertes de faux positifs • L’évaluation et la priorisation des risques • Des métriques de haut niveau pour aider à la prise de décisions stratégiques Dans le cas des organisations sujettes aux règlementations telles que PCI, GLBA, FFIEC, HIPAA, SOX, FISMA, NERC CIP et autres, la technologie SIM prend en charge certaines exigences de conformité clés en matière de surveillance et d’audit des journaux. SIM génère également des rapports de conformité automatiques qui peuvent servir à surveiller le statut de conformité et démontrer aux auditeurs l’efficacité du contrôle. Toutefois, l’implémentation et la surveillance de la technologie SIM n’est pas une tâche aisée. De nombreuses sociétés ont eu des difficultés avec les projets SIM parce qu’elles se sont vues confrontées à des risques et des défis inattendus, ce qui a eu pour conséquence un gaspillage des ressources, un affaiblissement de la sécurité operationelle et des résultats négatifs lors des audits. Piège n°1 : la collecte des informations de sécurité « Nous avons acheté notre outil SIM il y a déjà plusieurs mois, mais nous ne sommes toujours pas parvenus à l’intégrer entièrement sur l’ensemble du réseau. » Pour des raisons de nécessité, les outils SIM sont des systèmes complexes. La plupart des réseaux sont hétérogènes et intègrent un large éventail de technologies différentes, dont des firewalls, des systèmes IDS/IPS, des routeurs, des commutateurs, des serveurs, des applications et autres sources de données. Le simple fait de déterminer quels dispositifs et systèmes il importe de surveiller implique un effort majeur de catalogage et de mappage de votre environnement informatique. De plus, l’implémentation d’un outil SIM destiné à détecter, traiter et rapporter les informations de sécurité nécessaires générées par toutes ces sources de données est un processus complexe qui peut prendre des mois entiers. Nous voyons souvent les entreprises réduire considérablement les implémentations pour éviter tout échec d’exécution, en particulier dans le cas des sociétés qui ne disposent pas des ressources nécessaires pour engager des spécialistes qui les aideront à déployer cette technologie.
  • 3. Les outils SIM managés par un agent rendent le processus encore plus compliqué parce qu’ils requièrent l’installation de différents agents logiciels pour chaque type de source de données. Dans les entreprises de moyenne ou grande taille comptant des centaines ou des milliers de dispositifs, ce projet peut prendre une grande ampleur et exiger des ressources financières considérables. Pour assurer leur bon fonctionnement, ces agents doivent être correctement configurés et mis à jour chaque fois que le système hôte est mis à jour. De plus, si aucun agent logiciel n’est disponible pour une source de données particulière, la société est obligée de développer son propre agent. Certains produits SIM comprennent des outils qui peuvent aider à créer de nouveaux agents capables de prendre en charge de nouvelles sources de données ne disposant pas d’agent « officiel ». Même avec ces outils, le processus de développement d’un agent peut prendre énormément de temps et demander une connaissance approfondie de la nouvelle source de données. Une solution alternative à la collecte des événements par un agent consiste à transférer les événements via un protocole standard depuis chaque source de données vers un dispositif de collecte SIM. Cette méthode requiert l’installation d’un dispositif de collecte SIM susceptible de recevoir et de traiter les données des journaux transférées à partir de protocoles standards tels que Syslog et SNMP (Simple Network Management Protocol – protocole simple de gestion de réseau). La plupart des dispositifs et serveurs de réseau prennent en charge le transfert des données de journaux effectué à partir de ces protocoles, ce qui évite aux entreprises d’avoir à installer des agents logiciels SIM. Toutefois, certains dispositifs et applications n’ont pas la capacité native de transférer les données des événements nécessaires pour répondre aux exigences de sécurité et de conformité. Dans ces cas-là, il peut s’avérer nécessaire d’installer des agents pour assurer la détection des événements au sein de la plateforme SIM. Piège n°2 : une surcharge d’événements « Notre outil SIM a fonctionné sans problème pendant plusieurs mois, mais aujourd’hui nous nous retrouvons avec bien trop d’événements à analyser. » L’achat et le déploiement d’un outil SIM peut exiger un investissement en capital important. Il est donc essentiel que cet outil offre une capacité d’adaptation et puisse prendre en charge l’environnement de l’entreprise au fur et à mesure que cette dernière évolue. Les outils SIM reposent généralement sur des mesures de performance telles que les « événements par seconde » pour déterminer leur capacité d’adaptation. Ces mesures sont importantes parce qu’un outil SIM doit avoir la capacité de traiter un grand volume d’événements cumulatifs dans un environnement réseau typique. Cependant, il n’est pas sage de s’en tenir à cette seule métrique pour mesurer la capacité d’adaptation d’un outil SIM. Une des fonctions noyau d’un outil SIM consiste à « trouver une aiguille dans une botte de foin », c’est-à-dire identifier les quelques événements de sécurité et de conformité parmi les millions de journaux et d’alertes sans pertinence. La capacité d’un outil SIM à détecter des millions d’événements et ne conserver que les quelques « événements d’intérêt » de sécurité exigeant un examen humain permet de déterminer les besoins en matière de ressources pour assurer l’examen et l’intervention en cas d’événements de sécurité potentiels. Les outils SIM utilisent des filtres et des règles de corrélation pour ne conserver de ces événements que les informations de sécurité nécessaires à examiner. Seul un maigre pourcentage d’événements (moins d’un pourcent) provenant d’un environnement réseau moyen présentent un intérêt pertinent en matière de sécurité et de conformité. Toutes les autres activités constituent le trafic commercial normal ou simplement du « bruit ». Par exemple, un utilisateur navigant le site CNN.com peut générer des douzaines d’événements firewall par page consultée. Ces événements n’ont aucune pertinence en
  • 4. matière de sécurité ou de conformité et peuvent être éliminés du processus SIM sans conséquences négatives. Les filtres et règles de corrélation correctement managées ont la capacité de réduire considérablement le volume total des événements en isolant les événements intéressants. Si les filtres et règles de corrélation ne sont pas réglés minutieusement et maintenus jour après jour pour assurer un filtrage de qualité des événements d’intérêt (par exemple, minimisation des faux positifs, élimination des doubles, consolidation précise, etc.), la quantité des événements soumis à l’examen dépassera rapidement la capacité de l’entreprise à évaluer efficacement les menaces, ce qui se traduit par un gaspillage des ressources, la négligence de certains incidents et un processus SIM inefficace. Piège n°3 : des rapports inexacts « Nos rapports SIM ne sont plus fiables. Ils contiennent bien trop de données insignifiantes. » Une des motivations clés pour l’achat de produits SIM repose dans leur capacité de reportage. La technologie SIM offre la capacité d’établir des rapports complets recueillant les données à partir de systèmes disparates, mettant ainsi à votre disposition des informations qui étaient auparavant très difficiles à consolider. Les rapports SIM vous permettent de déterminer votre statut général en matière de sécurité et d’examiner en détail la sécurité des actifs spécifiques de votre environnement. SIM permet également de rationaliser les rapports de conformité en facilitant le regroupement de toute la documentation relative aux contrôles de sécurité et son efficacité aux yeux des auditeurs et de la direction. Toutefois, l’exactitude des rapports SIM est déterminée par l’exactitude du traitement des événements dans le processus SIM. Si les événements ne sont pas correctement recueillis, corrélés et examinés, les informations retenues dans les rapports deviennent inexactes, ce qui compromet la valeur des rapports SIM. Un grand nombre des entreprises déployant les outils SIM reçoivent des rapports précis pendant un certain temps après avoir implémenté la technologie. Cependant, la qualité de ces rapports baisse rapidement si l’entreprise a du mal à assurer le management et la maintenance continue de la technologie SIM. Les entreprises se trouvant dans cette situation ne peuvent plus utiliser les rapports SIM que pour couvrir leurs besoins de base en matière de reportage stratégique. Piège n°4 : manque de ressources « Nous avons acheté un SIM dans le but d’économiser du temps et de l’argent. Nous nous attendions à pouvoir utiliser SIM comme de simples utilisateurs, pas à avoir à manager entièrement le produit. » Les entreprises décident le plus souvent d’acheter les outils SIM en vue de réduire leurs coûts en matière de sécurité et de conformité. En automatisant les processus de management et de reportage, SIM permet de réduire considérablement les coûts des programmes de sécurité relatifs à la détection et l’intervention en cas d’intrusion, le managementdes journaux, les audits de conformité et bien d’autres tâches. Compte tenu des avantages de cette technologie, les coûts directs des composants logiciels et matériels de SIM semblent moindres et un tel investissement est entièrement justifié. Toutefois, l’acquisition d’un produit SIM engendre bien d’autres frais et exige beaucoup d’autres ressources. Aucun projet SIM ne peut réussir sans disposer des ressources nécessaires pour implémenter la plateforme SIM et assurer son management jour après jour. Contrairement à d’autres technologies
  • 5. de sécurité traditionnelles, telles que les firewalls et les systèmes de détection des intrusions, SIM doit pouvoir s’intégrer avec tout un éventail de technologies déjà installées sur votre réseau pour assurer son efficacité. Pour assurer une telle capacité d’intégration, SIM est naturellement complexe. En conséquence, il est impératif de disposer d’une connaissance en profondeur de la plateforme SIM pour pouvoir l’implémenter et la manager correctement. Mais la simple expertise en matière de plateforme SIM ne suffit pas en soi. Il faut également pouvoir comprendre les diverses sources de données de votre environnement et avoir la capacité de déterminer quelles données provenant de ces sources s’avèrent pertinentes dans le cadre des exigences de sécurité et de conformité de votre entreprise. Autrement, les projets SIM ne parviennent pas à déployer la capacité nécessaire pour répondre aux objectifs de votre programme de sécurité. Les coûts générés par les besoins de personnel et d’expertise nécessaires à l’exécution d’un projet SIM sont souvent sous-estimés au moment de l’achat de l’outil SIM. Il est impératif de disposer d’au moins une des ressources dédiées pour pouvoir manager l’infrastructure SIM et effectuer les tâches nécessaires pour maintenir un niveau de performance adéquat au fil du temps. Selon une estimation effectuée par Salary.com, la fourchette de compensation totale annuelle pour le chef d’un projet SIM se situe entre 100 000 et 130 000 dollars. En plus d’un chef de projet, il faut compter des analystes SIM pour assurer la surveillance et l’examen des événements d’intérêt provenant de la plateforme SIM. En fonction de vos besoins de couverture, le nombre d’analystes nécessaires peut aller d’un seul analyste assurant la couverture 8 heures par jour, 5 jours par semaine dans des environnements de petite envergure (comprenant moins de cinq dispositifs managés), jusqu’à plus de dix analystes pour assurer la couverture 24h/24, 7j/7 et 365j/an dans les grandes entreprises. Selon les estimations de Salary.com, la fourchette de compensation totale annuelle pour un analyste de sécurité de l’information se situe entre 75 000 et 100 000 dollars. Une grande partie des outils SIM se composent de trois composants logiciels de base disponibles chez les fournisseurs SIM : collecteurs, agents et une console de management de plateforme SIM. Vous devez vous procurer les serveurs nécessaires à chaque collecteur et la console de management SIM. Il se peut également que vous ayez besoin d’un logiciel de bases de données pour assurer le stockage des événements, la corrélation et le reportage. Chacun de ces éléments contribue au coût total du déploiement d’un projet SIM et engendre des frais de maintenance. Certains produits destinés à être utilisés dans un environnement réduit les regroupent dans un seul système pour minimiser les coûts. Cette méthode limite les capacités d’évolution du système qui n’est pas aussi efficace lorsqu’implémentée dans un environnement de taille importante ou distribué. Au moment de la planification ou de l’établissement de budget pour un projet SIM, beaucoup d’entreprises se fondent sur le prix annoncé par leur fournisseur SIM, sans tenir compte de tous les frais supplémentaires qui contribuent au coût total d’exécution d’un projet SIM. Ceci entraîne une « cumulation des coûts » à mesure que les divers frais du projet SIM dépassent le budget initialement prévu. Dans une grande partie des cas, les pressions engendrées par le coût résultant obligent l’entreprise à réduire la portée du projet et licencier une partie du personnel affecté ; en conséquence, les projets SIM sont laissés incomplets ou infructueux. Piège n°5 : il ne s’agit pas d’une solution miracle « Nous avons acheté un outil SIM en pensant qu’il nous aiderait à résoudre tous nos problèmes de sécurité, mais… » Contrairement aux allégations des fournisseurs, il n’existe pas de « technologie miracle » capable de résoudre tous vos problèmes de sécurité et de conformité dès que vous la branchez sur votre
  • 6. réseau. Ceci est également valable pour les outils SIM. Si la technologie SIM est un élément essentiel dans la stratégie de défense en profondeur efficace, elle n’assure pas la sécurité complète de votre réseau à elle seule. Malheureusement, certaines entreprises acquièrent SIM en pensant qu’il s’agit d’un « système de sécurité complet en une seule boîte ». La conception erronée de la nature exacte de la technologie SIM et de sa contribution essentielle conduit à la performance médiocre de la technologie installée et à un programme de sécurité général plus faible. La technologie SIM ne constitue pas un substitut des mesures de sécurité traditionnelles telles que les firewalls, les systèmes IDS/IPS et les journaux d’audit hôtes. Elle constitue plutôt la « colle » qui relie toutes les technologies de sécurité en un seul programme de sécurité unifié. Ses contributions essentielles permettent d’intégrer les informations de sécurité provenant des divers contrôles de sécurité de votre environnement, d’établir une corrélation entre les événements pour détecter les menaces réelles et vous aider à concentrer vos efforts sur l’amélioration de votre sécurité et de votre statut de conformité. Les entreprises qui tentent d’utiliser la technologie SIM comme source unique et intégrale de sécurité de leur réseau, sans dédier aucune autre ressource ou contrôle de sécurité essentiel tels que les firewalls et les dispositifs IDS/IPS préexistants, n’obtiendront inévitablement et au mieux qu’un minimum des possibilités de performance de leur investissement SIM. Cette situation est inévitable parce que SIM n’est pas par nature une technologie capable de sécuriser votre environnement à elle seule ; elle se fonde sur les données d’événements recueillies à l’aide des dispositifs de sécurité et des journaux d’audits. SIM procure un complément de performance grâce à l’intelligence automatisée qu’elle applique à ces données d’événements et qui permet d’identifier en temps réel les menaces. Plus le contrôle des sources d’événements est serré, plus la performance d’une technologie SIM correctement managée sera efficace dans le cadre de la détection et du reportage des incidents de votre programme de sécurité. Comment éviter les pièges relatifs à l’utilisation de SIM Le management des informations de sécurité permet aux entreprises de protéger leur réseau et de répondre aux exigences de conformité imposées par diverses règlementations et normes, parmi lesquelles PCI, GLBA, FFIEC, HIPAA, SOX, NERC CIP et bien d’autres. La technologie SIM assure une protection en profondeur et rigoureuse grâce aux processus de recueillement, de corrélation et de reportage des informations de sécurité traversant l’ensemble de l’entreprise. En automatisant ces tâches, SIM permet également de réduire les coûts de sécurité et de conformité. Toutefois, tel que nous l’avons indiqué plus haut, il existe certains risques de performance lorsqu’une entreprise décide de déployer SIM sans obtenir au préalable une estimation précise des ressources, des coûts et des résultats. Il convient de tenir compte de ces risques, qui incluent les pièges courants mentionnés plus haut, au moment où vous procédez à l’évaluation des solutions SIM pour les besoins de votre entreprise. Beaucoup d’entreprises ont décidé d’installer les solutions SIM en tant que service pour éviter de tels risques. Dans un tel modèle, la technologie SIM est implémentée, managée et maintenue par le fournisseur de service. Cette méthode d’utilisation des solutions SIM en tant que services, qui permet également d’éliminer les investissements en capital nécessaire pour les besoins logiciel et matériel des solutions SIM, offre aux entreprises une opportunité d’assurer le succès de leur management des informations de sécurité de manière fiable, à faible risque et à forte rentabilité.
  • 7. Pour en savoir plus Dell SecureWorks propose des solutions SIM allant de la technologie SIM jusqu’aux solutions de service total, et fournissent tout un éventail d’options destinées à aider les entreprises à minimiser les risques décrits ci-dessus. Pour obtenir plus de détails sur les solutions SIM et les services offerts par Dell SecureWorks, veuillez envoyer un courriel à info-fr@secureworks.com. À propos de Dell SecureWorks Dell Inc. (NASDAQ: DELL) est à l’écoute de ses clients et fournit dans le monde entier une technologie innovante et des solutions commerciales qui ont leur confiance et leur appréciation. Reconnu comme un leader de l’industrie par les analystes de renom, Dell SecureWorks offre des services de sécurité de l’information de classe mondiale destinés à aider les entreprises de toutes tailles à protéger leurs biens informatiques, rester conformes aux règlementations et réduire leurs coûts en matière de sécurité. CE LIVRE BLANC EST FOURNI A TITRE INFORMATIF UNIQUEMENT ET PEUT CONTENIR DES ERREURS TYPOGRAPHIQUES AINSI QUE DES INFORMATIONS TECHNIQUES INEXACTES. LE CONTENU EST FOURNI TEL QUEL, SANS AUCUNE GARANTIE EXPRESSE OU IMPLICITE. La disponibilité du service varie en fonction du pays. © 2013 Dell Inc. Tous droits réservés. Dell et ses logos, SecureWorks, Counter Threat Unit (CTU), iSensor, iScanner, Sherlock, Inspector et LogVault sont des marques ou des marques de services déposées, ou des marques ou marques de services déposées de Dell Inc. aux États-Unis et dans d’autres pays. Tous les autres produits et services mentionnés aux présentes sont des marques appartenant à leurs sociétés respectives. Le présent document est fourni à titre d’illustration et de marketing uniquement et n’est pas destiné à modifier ou compléter toute spécification ou garantie relatives à ces produits ou services. Février 2011.