La gestion des risques consiste à identifier, évaluer et hiérarchiser les risques relatifs aux activités de l’entreprise. S’y ajoute le plus souvent un plan de prévention permettant de minimiser l’exposition aux risques les plus graves et/ou les plus fréquents. Cette méthodologie s’applique aussi au domaine IT.
Il convient alors pour les directions informatiques de réduire la probabilité d'échec des facteurs pouvant affecter le système d’information de l’entreprise et atténuer l’impact des anomalies de fonctionnement. Tout l’enjeu consiste donc à détecter de la manière la plus fine les incidents de fonctionnement et d’assurer une projection prédictive pour prévenir tout dommage sur les infrastructures, les réseaux et les applications.
Pourquoi gérer les logs ?
Les responsables IT connaissent la nécessité d’avoir une vision globale et détaillée de l’activité de leurs équipements (firewalls, VPN, proxy, IDS, serveurs web, serveurs de traitement, anti-virus...) afin de garantir leur bonne marche et d’optimiser leur utilisation. Cela suppose un contrôle permanent que seule une solution de SIEM (Security Information and Event Management) et de log management peut offrir. L’entreprise bénéficie alors d'une meilleure gestion de ses équipements, grâce à l’analyse des données issues des logs qui sont collectées, classées, hiérarchisées et archivées. Elles constituent dès lors une source très riche - mais malheureusement souvent négligée - de renseignements en temps réel. Complets et pertinents, les logs recensent toutes les activités des systèmes de l’entreprise, signalant les problèmes qui surviennent sur les différentes unités. Les risques d’exposition à des logiciels malveillants, les dommages et les pertes se trouvent par conséquence limités, la mise en conformité de l’entreprise respectée et les règlements nationaux et européens sur la protection des données observés. Mettre le SIEM au service de l’exploitation et du pilotage des infrastructures est une démarche complémentaire aux obligations de conformité aux règlements et aux normes sectorielles telles que Sarbane Oxley, Bâle III ou PCI DSS… La conservation des données brutes est en outre un moyen de disposer d’éléments probants en matière de sécurité (les fameuses forensics).
Une méthode opérationnelle
A l’ère du tout numérique et de la dématérialisation, surveiller et analyser le système d’information est plus qu’indispensable. Les activités numériques de l’entreprise reposent sur les périphériques, les applications et les infrastructures informatiques. La stabilité et la résilience des applications comme des infrastructures sont déterminantes pour maintenir les performances du SI et permettre la conduite fluide de l’activité.
Optimiser les applications métier et les infrastructures informatiques est possible grâce à une solution de SIEM dont le paramétrage permet la détection automatique des anomalies, procurant ainsi une bonne visibilité du SI. Les données issues des logs retracent l'historique complet des transactions effectuées et permettent de savoir et comprendre ce qu’ont fait les utilisateurs, les clients, les fournisseurs, les partenaires... Elles indiquent comment ont réagi les machines. Autant d’informations indispensables pour maximiser les infrastructures et sécuriser l’environnement physique, virtuel et cloud de l’entreprise.
Provenant de sources diverses, les logs qui sont essentiels à la bonne gestion des équipements informatiques - comme d’ailleurs des activités de l'entreprise - arrivent en grand nombre et dans des formats disparates.
Ils sont corrélés, paramétrés, analysés et archivés. Lorsque le fonctionnement des réseaux, du système et des applications est ‘anormal’, les administrateurs en ont immédiatement connaissance. Ils peuvent alors faire face à une baisse de performance ou à un flux de données inhabituel, en intervenant si nécessaire pour régler en temps réel le problème avant qu'il n'affecte l'entreprise. Ainsi, le SIEM permet de connaître la situation du système d’information et savoir comment réagissent le réseau et les applications. C’est un élément incontournable et majeur pour l’amélioration permanente de la qualité de service et d’exploitation.
Faciliter la gestion des environnements complexes
Les nombreux outils et périphériques, les volumes importants de données, les obligations de conformité… rendent la gestion des opérations informatiques de plus en plus complexe. Utilisé par tous les services de l’entreprise, le système d'information sur lequel se sont greffés les processus métier (gestion, CRM, communication, messageries…) s’est enrichi de nouvelles technologies et de nouveaux services liés au réseau et désormais au cloud… A ces technologies récentes s’ajoutent la pratique assidue des réseaux sociaux et la mobilité des collaborateurs de l’entreprise qui utilisent des appareils mobiles et bientôt des objets connectés dans des environnements que ne maîtrise pas l’entreprise, et souvent non sécurisés comme les hôtels ou les transports... Optimiser le fonctionnement de cet ensemble est nécessaire pour répondre aux besoins de l’activité et de la compétitivité. Les équipes informatiques sont tenues d’accélérer la résolution des problèmes, invitées à réduire a minima les interruptions d’activité… Autant de tâches chronophages dont le SIEM les libère, leur laissant du temps pour se consacrer à des projets plus stratégiques.
Avec une solution de SIEM, des rapports et des tableaux de bord sont automatiquement générés, synthétisant l’état de santé du système d’information et destinés à la DSI, aux responsables de la sécurité…. Il devient alors possible de prendre en connaissance de cause et rapidement les décisions qui s’imposent pour remédier aux causes des incidents et améliorer les performances opérationnelles et applicatives.
En désignant les points faibles des infrastructures et des applications sur site, sur le cloud ou dans des environnements mobiles, le SIEM permet d’optimiser la gestion des services informatiques. Il fournit une meilleure connaissance de l'ensemble du SI et permet de résoudre les multiples problèmes de fonctionnement qui peuvent être graves et urgents. Les incidents de fonctionnement et les dégradations des infrastructures sont signalées, évitant les interruptions de service et renforçant l’efficacité de l’entreprise. Il remplit ainsi un rôle proactif et dynamique de gestion du risque de panne ou de dysfonctionnement.