La gestion des informations et des événements de sécurité (SIEM) est une pierre angulaire de la cybersécurité, offrant un ensemble sophistiqué d'outils et de processus qui permettent aux organisations de détecter, d'analyser et de répondre aux incidents de sécurité avec une rapidité et une précision sans précédent. À la base, le SIEM sert de système nerveux central pour la surveillance de la sécurité, la collecte et l'agrégation des données de journal provenant de diverses sources au sein d'un environnement informatique, et la corrélation de ces informations pour identifier les activités anormales qui pourraient indiquer une menace de cybersécurité. Mais les SIEM ont leurs limites.
Si les systèmes SIEM font partie intégrante de la cybersécurité, ils ne sont pas sans limites, ce qui nécessite l'inclusion de détection et réponse aux incidents (NDR) pour une approche plus complète de la sécurité.
Les systèmes SIEM s'appuient principalement sur les données de journalisation et les règles de corrélation prédéfinies pour la détection des menaces, ce qui peut poser plusieurs problèmes :
La dépendance du SIEM à l'égard des signatures et des modèles connus se heurte aux exploits du jour zéro et aux nouvelles techniques d'attaque, qui n'ont pas de signatures ou de modèles de comportement établis.
Le recours à des règles prédéfinies peut entraîner un nombre élevé de faux positifs. Selon un rapport de Gartner, le taux moyen de faux positifs pour les SIEM peut atteindre 75 %. Non seulement cela alourdit les équipes SOC avec des alertes inutiles, mais cela peut également conduire à une lassitude des alertes, ce qui peut conduire à négliger des menaces authentiques.
Avec l'utilisation croissante du cryptage, les systèmes SIEM n'ont souvent pas la capacité d'inspecter le trafic réseau crypté. Cela crée un angle mort, car les activités malveillantes peuvent passer inaperçues si elles sont dissimulées dans des canaux cryptés.
Les systèmes SIEM nécessitent des ressources importantes pour le stockage, le traitement et la maintenance des journaux. Une étude du Ponemon Institute souligne que l'organisation moyenne dépense environ 3,4 millions de dollars par an pour les activités liées au SIEM, ce qui met en évidence la nature intensive des ressources de ces systèmes.
La mise en place et la maintenance d'un système SIEM est un processus complexe qui nécessite des compétences spécialisées. Cette complexité peut entraîner des difficultés de mise en œuvre et des inefficacités opérationnelles, comme le souligne Cybersecurity Ventures.
En revanche, la NDR complète le SIEM en offrant une analyse du trafic réseau en temps réel, ce qui est essentiel pour identifier les anomalies et les menaces qui contournent les méthodes de détection traditionnelles. Les solutions de NDR utilisent des techniques avancées telles que l'apprentissage automatique et l'intelligence artificielle pour analyser les comportements du réseau, offrant ainsi une approche plus dynamique et adaptative de la détection des menaces. Les équipes SOC peuvent ainsi détecter et répondre plus efficacement aux menaces sophistiquées, notamment grâce à l'analyse du trafic chiffré, à la détection des anomalies basée sur le comportement et aux capacités de réponse automatisée.
L'intégration de la NDR avec le SIEM crée une posture de sécurité plus robuste, garantissant que les organisations ne dépendent pas uniquement des données des journaux et des règles prédéfinies. Cette combinaison améliore la détection des menaces avancées, réduit les faux positifs et fournit une vue plus complète du paysage de la sécurité, renforçant ainsi la défense de l'organisation contre les cyber-menaces en constante évolution.