Technologie

La Complexité des Solutions SIEM Modernes

Le terme SIEM (Gestion des Informations et des Événements de Sécurité) est souvent associé à une image traditionnelle, ce qui pousse certains fournisseurs à se présenter comme des solutions de nouvelle génération. Mais cette nécessité est-elle justifiée ? Il est difficile de trouver des solutions qui pourraient être qualifiées de « SIEM traditionnel », c’est-à-dire des systèmes sans automatisation, réponse ou détection d’anomalies.

Il est logique que les solutions SIEM intègrent toutes ces fonctionnalités. Ce qui est moins compréhensible, c’est cette tentative désynchronisée de différencier les solutions actuelles de celles de 2015.

Les Nouvelles Nomenclatures des Solutions SIEM

Examinons rapidement les appellations que l’on retrouve aujourd’hui pour les solutions SIEM :

  • SIEM Fusion
  • SIEM de Nouvelle Génération
  • SIEM Évolué
  • SIEM de Défense Unifiée
  • SIEM SaaS Cloud-Natif
  • SIEM « Pas un SIEM » (c’est-à-dire, plateforme unifiée d’opérations de sécurité)

Est-ce un problème ? Les variations dans les noms de produits ne sont pas nouvelles, mais dans ce cas, cela engendre une grande confusion sur le marché. D’abord, ces appellations n’ont pas de signification intrinsèque. Bien que certaines, comme « plateforme SIEM SaaS Cloud-Natif », donnent des indications, il n’existe pas de différence objective entre un SIEM de nouvelle génération et un SIEM évolué.

Ensuite, les modules varient considérablement d’un fournisseur à l’autre. Par exemple, l’un peut proposer un SIEM + SOAR + UEBA, tandis qu’un autre peut offrir un SIEM + ASM + XDR. Bien qu’il soit bénéfique d’avoir des produits de sécurité plus complets, il se peut que vous n’ayez pas besoin ou envie de ces modules supplémentaires.

Les solutions SIEM « Pas un SIEM » ajoutent une couche supplémentaire de confusion, car ces produits remplissent toutes les fonctions d’une solution SIEM, mais ne figureront pas dans les résultats de recherche pour « meilleure solution SIEM 2024 ». Un autre défi réside dans la nécessité de prouver aux régulateurs, à des fins de conformité, que ce que vous utilisez comme SIEM, bien que désigné comme une plateforme SOC, est en réalité une solution SIEM.

En somme, je pense que l’ajout d’adjectifs avant le terme « SIEM » est une démarche vaine qui ne fait qu’accroître la confusion au lieu de clarifier les produits. Mais il y a plus à considérer.

SIEM et Opérations de Sécurité

Lors de l’évaluation des solutions, il est crucial de déterminer si vous avez besoin d’un « simple SIEM » ou d’un outil unifié pour automatiser votre centre d’opérations de sécurité. Je crois qu’il est préférable de conserver le terme SIEM comme une entité autonome, principalement axée sur la gestion des informations et des événements.

Le SIEM peut faire partie d’une plateforme de sécurité plus large, intégrant des technologies telles que XDR, SOAR, UEBA et ASM. Cependant, pour les mêmes raisons évoquées précédemment, nous ne devrions pas continuer à désigner ces solutions convergentes comme « SIEM ».

Pour cette raison, j’ai modifié les rapports sur les opérations de sécurité sur lesquels je travaille, notamment le Radar SIEM et le Radar SOC autonome. Le SIEM se concentre sur l’évaluation des capacités des outils en matière de gestion de l’information. Nous incluons toujours des aspects supplémentaires tels que l’automatisation et l’analyse, mais ils restent centrés sur l’objectif principal plutôt que de s’étendre à des capacités complètes de UEBA ou de SOAR.

Le SOC autonome, quant à lui, adopte désormais une approche plus indépendante par rapport à son précédent cadre SIEM + SOAR. Il évalue les capacités nécessaires à un centre d’opérations de sécurité pour gérer et automatiser ses activités quotidiennes, avec moins d’accent sur la conformité et davantage sur la réponse, l’orchestration et la surveillance des utilisateurs.

Prochaines Étapes

Pour approfondir vos connaissances, consultez les rapports sur les Critères Clés et le Radar SIEM de GigaOm. Ces rapports offrent un aperçu complet du marché, définissent les critères à considérer lors d’une décision d’achat et évaluent la performance de plusieurs fournisseurs par rapport à ces critères.

  • Critères Clés de GigaOm pour Évaluer les Solutions SIEM
  • Radar de GigaOm pour le SIEM

Si vous n’êtes pas encore abonné à GigaOm, vous pouvez accéder à la recherche grâce à un essai gratuit.

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *