Enrichir son SIEM avec des données de sécurité mobile

Posted by Roxane Suau on 18 déc. 2019 16:44:04

Maintenir un environnement numérique sécurisé est une tâche complexe. Afin d’aider les équipes IT dans cette quête, des logiciels de security information and event management (SIEM) permettent d’analyser de larges volumes de données et de les rendre compréhensible à l’échelle humaine. Grâce à ces fonctionnalités, un SIEM alerte les responsables de sécurité lorsqu’il détecte un comportement suspicieux ou potentiellement dangereux, offrant ainsi une visibilité globale sur le niveau de sécurité de leur écosystème numérique.

 SIEM_Pradeo

 

Qu’est-ce qu’un SIEM ?

Une solution SIEM permet aux équipe IT de surveiller toutes les activités réalisées au sein de leur environnement, en temps réel ou sur une période donnée. Cela peut inclure des logs de sécurité remontant de serveurs, de terminaux mobiles, contrôleurs de domaines etc. qui sont ensuite stockés afin de faire des analyses croisées. En somme, cela permet de dégager des tendances, de détecter des menaces et d’analyser d’éventuelles failles de sécurité.

 

Pourquoi les entreprises utilisent-elles des solutions SIEM ?

Étroitement liées à la croissance de la mobilité en entreprise, les cybermenaces qui ciblent les organisations n’ont jamais été aussi nombreuses. Au cours des dernières années, les gouvernements et autorités ont adopté des lois exigeant des entreprises qu’elles protègent les données manipulées en leur sein et qu’elles contrôlent toutes les actions effectuées sur celles-ci.

C’est par exemple le cas de l’article 30 du RGPD « Registre des activités de traitement », qui exige l’enregistrement du traitement des données appartenant aux citoyens européens. L’objectif étant, au mieux, de prévenir une fuite de données, et au pire de savoir la gérer efficacement, en se reposant dans les deux cas sur un système d’alerte et d’analyse précis, tel qu’un SIEM.

 

Comment un SIEM fonctionne-t-il ?

Dans un SIEM, toutes les alertes sont catégorisées par niveau de priorité (basse ou haute) grâce à une politique de sécurité personnalisable. Quand le système identifie un évènement de sécurité qui pourrait affecter l’organisation, il va immédiatement remonter l’alerte et lui attribuer une priorité. En fonction de la nature de l’alerte et du rapport fourni, les responsables de sécurité peuvent prendre des contremesures adaptées.

Par exemple, si un utilisateur essaye de se connecter à l’intranet de sa société mais renseigne 5 fois le mauvais mot de passe en 5 minutes, cela sera catégorisé comme une alerte de bas inférieur, car il s’agira probablement d’un oubli. Néanmoins, si 100 tentatives de connexions sont enregistrées en l’espace de 5 minutes, alors il est probable que ce soit une attaque essayant de pirater les identifiants de la personne concernée. Par conséquent, cela remontera comme une alerte de niveau supérieur.

 

Pradeo Security enrichi les SIEM en données mobiles

Pour apporter des résultats précis, un SIEM doit être connecté à l’environnement numérique dans lequel il évolue, incluant l’écosystème mobile où des millions d’évènements de sécurité se produisent chaque jour. En effet, superviser la mobilité est devenu un élément essentiel dans la sécurisation des données des entreprises et les décideurs IT sont désormais au défi de trouver des solutions qui collectent les évènements liés à la mobilité, pouvant directement se brancher à leur SIEM.

En évoluant au cœur des terminaux mobiles, les solutions de Pradeo offrent aux équipes IT l’opportunité de collecter des évènements de sécurité depuis leur environnement mobile. Que le besoin concerne la sécurité d’une flotte (Agent de protection de flotte mobile sur terminal) ou l’analyse des menaces qui entourent les applications (SDK de protection intégré aux applications), Pradeo Security offre la possibilité d’enrichir les SIEM avec des évènements de sécurité mobile précis, en plus d’assurer sa fonction de protection.

Afin de faciliter l’intégration aux écosystèmes existants, Pradeo a développé des connecteurs afin enrichir Splunk, IBM QRadar, syslog, ArcSight et travaille actuellement sur des partenariats avec d’autres vendeurs de solutions SIEM.

 

Vous pourriez être intéressé par: 

 

Topics: Sécurité Mobile, Actualité