Utiliser la gestion des informations et des événements de sécurité pour gérer les risques de cybersécurité (ITSM.80.024)

Date d’entrée en vigueur

Le présent document entre en vigueur le 31 mars 2025.

Historique des révisions

1. Première diffusion : 31 mars 2025

Sommaire

La présente publication fournit aux grandes organisations et entreprises des avis et des conseils liés aux solutions de gestion des informations et des événements de sécurité (GIES). Les solutions de GIES sont des ensembles d’outils et de services qui recueillent, regroupent et analysent des volumes de données à partir de nombreuses sources en temps réel. La GIES est une importante solution de sécurité d’entreprise à intégrer dans une approche de défense en profondeur Défense en profondeurMesure de sécurité des TI consistant à établir de multiples couches de protection pour assurer l’intégrité de l’information. Ces couches de protection sont généralement constituées de logiciels antivirus, d’anti-logiciels espions, de coupe-feu, de mots de passe hiérarchiques, de mesures de détection des intrusions et de données biométriques. en matière de cybersécurité et de gestion des risques. La défense en profondeur implique le recours à de multiples couches pour protéger l’intégrité IntégritéAptitude à protéger l'information contre les modifications ou les suppressions non intentionnelles ou inopportunes. L'intégrité permet de savoir si l'information est conforme à ce qu'elle est censée être. L'intégrité s'applique également aux processus opérationnels, à la logique des applications logicielles, au matériel ainsi qu'au personnel. de l’information. Une solution de GIES procure à votre organisation une meilleure compréhension des vulnérabilités, aide à rapidement circonscrire et éliminer les cybermenaces et assure une conformité continue en ce qui a trait aux exigences réglementaires. Une solution de GIES peut aider votre organisation à gérer les risques liés à la cybersécurité et à renforcer sa cyberrésilience en fonction des ressources de votre organisation et du degré de sensibilité des biens de votre organisation.

La présente publication aidera votre organisation à comprendre ce qui suit :

• la fonctionnalité des solutions de GIES;
• l’importance des solutions de GIES en cybersécurité;
• les pratiques exemplaires pour l’utilisation de solutions de GIES.

De plus, cette publication fournit de l’information sur des solutions de GIES sur le nuage et indique comment celles-ci s’intègrent au modèle à vérification systématique (MVS). La technologie de GIES sur le nuage et le MVS offrent tous deux à votre infrastructure et à vos données une protection accrue dans un complexe de cybermenace CybermenaceEntité malveillante qui utilise Internet pour profiter d’une vulnérabilité connue en vue d’exploiter un réseau et l’information qu’il contient. en constante évolution.

1 Introduction

Les réseaux de votre organisation constituent l’infrastructure dorsale pour vos systèmes de technologie de l’information (TI), vos technologies opérationnelles (TO) et vos systèmes de contrôle industriels (SCI). Par conséquent, il est important de sécuriser votre infrastructure réseau afin de protéger votre organisation contre les violations, les intrusions et d’autres cybermenaces. Les événements de journalisation et de surveillance de la sécurité de réseau vous aideront pour ce qui suit :

• sécuriser votre infrastructure réseau;
• identifier les indicateurs de compromission (IC);
• prendre des mesures correctives rapidement;
• minimiser les répercussions lorsque se produit un incident de sécurité.

Une solution de GIES regroupe les fonctions de surveillance et de journalisation. L’acronyme GIES a été forgé pour la première fois par Gartner^{Note de bas de page 1} en 2005 pour décrire la combinaison des approches suivantes :

• la gestion de l’information de sécurité (GIS), qui fait référence aux activités liées à la collecte de données comme les fichiers journaux tirés de diverses sources dans un dépôt central;
• la gestion des événements de sécurité (GES), qui fait référence aux activités liées à une surveillance et à une analyse en temps réel d’événements de sécurité spécifiques pouvant indiquer des signaux d’alarme.

Par le passé, les solutions de GIES offraient principalement de la protection pour les environnements sur site avec des sources et des capacités de données limitées. Les solutions de GIES ont évolué avec les GIES de prochaine génération offrant plus de capacités pour s’attaquer aux cybermenaces avancées et traiter d’énormes quantités de données. Beaucoup de solutions de GIES sur le nuage qui protègent les biens tant sur site que sur le nuage sont maintenant offertes.

2 Capacités de GIES

Une solution de GIES est un ensemble d’outils et de services qui recueillent, regroupent et analysent des volumes de données à partir de nombreuses sources en temps réel. Parmi les capacités de GIES de base, se trouvent :

• le recoupement de données provenant de plusieurs sources comme les utilisatrices et utilisateurs, les périphériques réseau, les applications, les points d’extrémité et l’infrastructure déployée sur le nuage;
• la surveillance et l’analyse des événements historiques et en temps réel;
• la normalisation ou le reformatage des données de journal dans un format standard pour faciliter l’analyse;
• la mise en parallèle d’événements de sécurité qui ont des attributs communs;
• la facilitation de la corrélation et de l’analyse des enregistrements de vérification (p. ex., en faisant la mise en parallèle des événements avec des résultats d’analyse des vulnérabilités);
• la détection d’indicateurs de compromission recueillis de manière dynamique à partir de flux de menaces;
• l’envoi de notifications et d’alertes lorsque des menaces réelles et potentielles sont identifiées;
• la gestion et le triage d’alerte;
• l’archivage de journaux pour faciliter la corrélation de données sur une période donnée conformément aux exigences en matière d’enquête sur les incidents et de conformité;
• la vérification de l’intégrité cryptographique et la validation des journaux afin de déterminer s’ils ont été trafiqués.

2.1 Solutions de prochaine génération

Les solutions de GIES de prochaine génération intègrent les technologiques suivantes pour détecter des menaces et un mouvement latéral complexes, et pour automatiser les interventions en cas d’incident IncidentIncident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur. .

2.1.1 Analyse comportementale d’utilisateur et d’entité

L’analyse comportementale des utilisateurs et des entités (UEBA pour User and Entity Behaviour Analytics) fait appel à des algorithmes et à l’apprentissage machine pour détecter des modèles anormaux de comportements d’utilisateurs et de périphériques (p. ex., routeurs, serveurs et dispositifs d’extrémité) sur le réseau. L’UEBA permet à votre organisation d’identifier un éventail plus large de cybermenaces, comme les attaques par force brute, les attaques par déni de service distribué et les menaces internes.

2.1.2 Orchestration de la sécurité, automatisation et intervention

L’orchestration de la sécurité, automatisation et intervention (SOAR pour Security Orchestration and Automation Response) aide à coordonner et à automatiser les interventions ciblant des menaces identifiées à l’aide de guides opérationnels et de flux de travaux automatisés. Elle utilise également l’intelligence artificielle Intelligence artificielleSous-domaine de l'informatique ayant trait au développement de programmes informatiques aptes à résoudre des problèmes, à apprendre, à comprendre des langages, à interpréter des scènes visuelles, bref, à se comporter de façon à reproduire les facultés cognitives de l'intelligence humaine. (IA) pour apprendre les modèles de comportement pouvant prédire des menaces similaires avant qu’elles ne se produisent.

3 Avantages des solutions de GIES

Une solution de GIES peut contribuer à gérer les risques de cybersécurité de votre organisation en appuyant les activités de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. de menace, de conformité et de sécurité de la gestion des incidents. Les solutions de GIES permettent à votre équipe de sécurité de :

• gérer l’approvisionnement continu en données de journaux provenant de sources variées;
  • réduire le coût des outils individuels utilisés par différents groupes au sein de votre organisation;
  • centraliser les données de journaux dans un seul dépôt;
• mettre en corrélation et d’analyser de grands volumes de données pour vous permettre de déceler de façon proactive de possibles menaces, car elles laissent des traces dans l’ensemble des diverses sources de journaux;
• automatiser des tâches liées à la sécurité afin de réduire les charges de travail des analystes en automatisant les tâches répétitives;
• recevoir des alertes automatisées et des mesures d’intervention à partir d’un déclenchement automatisé basé sur des cas d’utilisation spécifiques pour faciliter une intervention en cas d’incident rapide;
• obtenir des données en temps réel à l’échelle de l’organisation pour l’aider à rapidement identifier et éliminer les zones de vulnérabilité dans l’ensemble de votre réseau;
• chercher des données de journaux historiques pour différents nœuds de réseaux et différentes périodes afin d’appuyer les analyses des causes fondamentales pour trouver des incidents après qu’une violation se soit produite;
• générer des rapports pour les vérificatrices et vérificateurs afin de démontrer la conformité avec les exigences réglementaires et de détecter des signes hâtifs de violations potentielles pour qu’elles puissent être réglées;
• voir les tableaux de bord qui affichent des données d’événements dans des tableaux informatifs pour voir des tendances en termes d’activités inhabituelles;
  • aider votre organisation à donner la priorité aux ressources pour aborder d’abord les menaces les plus critiques.

Les solutions de GIES permettent à votre organisation d’automatiser le processus de mise en œuvre, d’évaluation et de surveillance continue des contrôles de sécurité. Selon la publication National Institute of Technology Standards (NIST) Special Publication (SP) 800-137 (en anglais seulement), les technologies de GIES peuvent aider les organisations à automatiser beaucoup de contrôles de sécurité particuliers. Ces contrôles de sécurité techniques, opérationnels et de gestion sont décrits dans la publication du Centre pour la cybersécurité La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33),

• Contrôles de sécurité techniques
  • AC-5 Séparation des tâches
  • AU-2 Événements vérifiables
  • AU-6 Examen, analyse et rapports de vérification
  • AU-7 Réduction des vérifications et génération de rapports
• Contrôles de sécurité opérationnels
  • IR-5 Surveillance des incidents
  • PE-6 Surveillance de l’accès physique
  • SI-4 Surveillance des systèmes d’information
• Contrôles de sécurité de gestion
  • CA-2 Évaluations de sécurité
  • CA-7 Surveillance continue
  • RA-3 Évaluation des risques
  • RA-5 Vanalyse des vulnérabilités

4 Solutions de GIES sur le nuage

Dans le domaine de la cybersécurité, le passage aux solutions de GIES sur le nuage restructure la manière dont les organisations gèrent et interagissent avec leurs données. Selon un rapport Gartner publié en 2023 (en anglais seulement), il a été estimé que 90 % des solutions de GIES offriraient des capacités exclusivement dans le nuage d’ici la fin de l’année. Contrairement aux solutions de GIES sur site qui nécessitent du matériel et des logiciels spécialisés dans l’infrastructure d’une organisation, une solution de GIES sur le nuage est hébergée sur des serveurs tenus à jour par un fournisseur de services infonuagiques (FSI) externe.

Les solutions de GIES sur le nuage permettent à votre organisation de décharger l’essentiel de la gestion de l’infrastructure sur le FSI et de se concentrer sur l’utilisation de son système afin de répondre aux objectifs en matière de sécurité de l’organisation. Dans la pratique, cela signifie que les journaux de données provenant des systèmes et des périphériques réseau de l’organisation sont recueillis, transférés dans le nuage et stockés en toute sécurité sur les serveurs du FSI.

Votre organisation peut ensuite mettre en relation ses données par le biais d’une interface InterfaceFrontière où transitent les communications entre deux systèmes. Il peut s’agir d’un connecteur matériel utilisé pour la connexion à d’autres dispositifs ou d’une convention permettant d’établir des communications entre deux systèmes logiciels. sur le Web ou d’une interface de programmation d’applications (API) fournie par le FSI. Cette API comprend généralement une suite d’outils pour l’analyse, la visualisation et la communication de données. Cela permet à votre organisation de réaliser des analyses sophistiquées afin de détecter, d’enquêter et d’intervenir en cas d’incidents de sécurité.

Les solutions de GIES sur le nuage sont déjà dotées de la fonctionnalité d’apprentissage machine et de capacités d’IA afin de mieux détecter des anomalies et des menaces possibles. Cela se produit en temps réel et à grande échelle, ce qui procure aux organisations un outil puissant, souple et efficace pour gérer leur posture de cybersécurité.

4.1 Types de solutions de services de nuage

Il existe deux types de services pour les solutions de GIES sur le nuage : gérées et non gérées.

4.1.1 Gérés

Ceci se rapproche davantage d’un modèle « GIES comme service », où le fournisseur de solution de GIES est responsable de l’infrastructure infonuagique InfonuagiqueRecours à des serveurs distants hébergés dans Internet. L'infonuagique permet à des utilisateurs d'accéder à un ensemble de ressources informatiques (réseaux, serveurs, applications, services) sur demande pour peu qu'ils disposent d'un accès à Internet. Les utilisateurs parviennent à ces ressources par l'intermédiaire d'un réseau informatique plutôt que d'avoir à les stocker toutes sur leur propre ordinateur.  et de sa maintenance. Le fournisseur de solution de GIES fournit également à la cliente ou au client une surveillance des incidents en temps réel et des services de détection de menace. La cliente ou le client a généralement moins de contrôle sur la gestion du cycle de vie de la solution de GIES puisque cette tâche relève du fournisseur. Même si les solutions gérées peuvent s’avérer plus dispendieuses, elles libèrent la cliente ou le client de la charge de mise en œuvre et de maintien de la solution de GIES.

4.1.2 Non gérés

La cliente ou le client est chargé de la création, du maintien, du dépannage et de la gestion du cycle de vie de toutes les composantes de la solution de GIES. Une tierce partie peut fournir une assistance complémentaire, mais la cliente ou le client est généralement chargé de la disponibilité DisponibilitéCaractéristique de l'information ou des systèmes qui sont accessibles aux personnes autorisées au moment où celles-ci en ont besoin. La disponibilité est un attribut des actifs informationnels, logiciels, et matériels (l'infrastructure et ses composantes). Il est également entendu que la disponibilité comprend la protection des actifs contre les accès non autorisés ou les compromissions. et de la stabilité de la solution de GIES. Des solutions non gérées peuvent être des options adéquates pour les organisations qui possèdent des biens hautement sensibles et qui ont besoin du contrôle total de leur solution de GIES.

4.2 Avantages des solutions de GIES sur le nuage

Les solutions de GIES sur le nuage peuvent offrir plusieurs avantages à votre organisation.

4.2.1 Extensibilité et flexibilité

Au fur et à mesure que votre organisation prend de l’expansion ou connaît des fluctuations de la demande, les solutions infonuagiques peuvent s’adapter en fonction de vos besoins. L’extensibilité signifie également que vous ne payez que pour ce que vous utilisez, ce qui pourrait s’avérer un choix rentable pour plusieurs entreprises.

4.2.2 Surcharge opérationnelle réduite

Avec une solution de GIES sur site, votre organisation a la responsabilité de l’entretien du matériel et des logiciels, ce qui peut nécessiter des ressources importantes. Les solutions de GIES sur le nuage transfèrent une grande partie de cette responsabilité au FSI. Votre équipe de sécurité peut ainsi se concentrer sur des tâches stratégiques plutôt que sur la maintenance.

4.2.3 Analyse

Les solutions de GIES sur le nuage comprennent souvent des analyses de type commercial sur étagère (CCOTS pour Commercial off-the-Shelf) spécifique pour le FSI. Ces analyses sont conçues pour fonctionner de manière optimale dans l’infrastructure du fournisseur; elles pourraient donc potentiellement offrir des capacités d’analyse supérieures pour ce qui est des données et de la détection de menace. En réalisant ces analyses, votre organisation peut être en mesure de renforcer ses capacités de cyberdéfense en tirant parti des connaissances et des ressources spécialisées du fournisseur.

4.3 Désavantages des solutions de GIES sur le nuage

Même si les solutions de GIES sur le nuage peuvent apporter à votre organisation un grand nombre d’avantages, vous devriez être au fait des potentiels inconvénients.

4.3.1 Préoccupations liées au respect de la vie privée

Lorsque vous faites appel à une solution de GIES sur le nuage, vos données se trouvent sur les serveurs du FSI. Avant de passer à une solution infonuagique, assurez-vous de bien comprendre et d’être à l’aise avec le traitement des données et les pratiques de stockage du fournisseur.

4.3.2 Blocage de fournisseur

Le passage à une GIES sur le nuage peut entraîner un blocage du fournisseur; c’est à ce moment qu’il est difficile ou dispendieux de changer de fournisseur ou de retourner à une solution sur site. Beaucoup de services infonuagiques appartiennent au FSI, ce qui peut rendre la migration des données difficile. Avant de choisir une solution de GIES sur le nuage, assurez-vous de comprendre les conditions générales d’utilisation, notamment ce que peut entraîner un changement de fournisseur.

4.3.3 Coût

Les solutions de GIES sur le nuage peuvent faire réaliser des économies de coûts, plus particulièrement sur le plan de la maintenance et de l’infrastructure, mais elles peuvent aussi accroître les coûts. Cela est particulièrement vrai si l’utilisation que fait votre organisation de ses données est élevée, car beaucoup de FSI facturent des frais en fonction de la quantité de données traitées.

5 Pratiques exemplaires pour la mise en œuvre d’une solution de GIES

Sécuriser le déploiement et le fonctionnement des solutions de GIES est essentiel. Les solutions de GIES doivent être considérées comme un système à valeur plus élevée, comme les systèmes de contrôle administratif ou de contrôle d’accès. En raison de son rôle dans la surveillance et la détection d’incidents de sécurité, vous devez prendre encore plus de précautions pour veiller à l’assurance du produit et du fournisseur. En cas de vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. du jour zéro Jour zéroVulnérabilité logicielle dont l’existence n’est pas encore connue du fournisseur et qui n’est donc pas atténuée. Un exploit de jour zéro désigne une attaque qui exploite une vulnérabilité de jour zéro. , et en raison du degré de sensibilité des données et du niveau d’accès de la solution de GIES, le Centre pour la cybersécurité estime qu’il serait préférable de concevoir votre architecture de GIES en fonction de solutions impliquant plusieurs fournisseurs plutôt que de vous limiter à un seul fournisseur. Cette approche renforce la posture de sécurité générale en atténuant les risques associés aux vulnérabilités propres à un fournisseur.

Une solution de GIES appliquée de façon inexacte peut produire un nombre plus élevé de faux positifs, détecter plus d’événements « anormaux » et générer des alertes supplémentaires et inutiles. Cela peut exercer une pression sur les ressources de votre équipe de cybersécurité. En mettant en œuvre les pratiques exemplaires suivantes, votre organisation peut mieux profiter de sa solution de GIES.

5.1 Pratiques exemplaires générales

• Définissez des cas d’utilisation pour la surveillance, la signalisation et la vérification.
  • À partir de ces cas d’utilisation, identifiez les sources de journaux à ingérer et à analyser.
• Envisagez d’effectuer une preuve de concept pour évaluer si la solution de GIES convient à votre environnement.
  • Établissez la preuve de concept dans un environnement de test qui est basé sur des scénarios utilisateurs bien définis et est un sous-ensemble représentatif de votre infrastructure et de vos données.
• Déterminez quelles sont vos ressources les plus essentielles, comme les données et les périphériques, et configurez la solution de GIES de façon à les surveiller.
• Configurez une surveillance adéquate des sources de journaux et des alertes pour vous assurer d’être avisé des problèmes de collecte des journaux.
• Évaluez la quantité de données à recueillir pour obtenir une vue d’ensemble de votre réseau.
• Au minimum, vous devriez recueillir des données de journaux sur :
  • les transactions d’autorisation (tentatives réussies ou ratées);
  • les modifications apportées aux privilèges d’utilisateur, y compris les changements apportés aux comptes d’utilisateur (dont la création et la suppression), les modifications apportées aux groupes et aux mécanismes d’authentification (mots de passe et configuration multifacteur) et l’ajout ou le retrait d’accès privilégiés;
  • les erreurs d’application;
  • processus d’inclusion, comme les conditions générales d’utilisation;
  • les actions menées par les utilisatrices et utilisateurs disposant de privilèges d’administrateur;
  • l’enregistrement de nouveaux dispositifs à l’infrastructure, y compris les appareils personnels et les téléphones mobiles de type « prenez vos appareils personnels ».
• Évitez que votre solution de GIES recueille des données sensibles comme :
  • de l’information financière (p. ex., des dossiers bancaires ou des données de cartes de crédit);
  • des renseignements permettant d’identifier une personne (p. ex., un numéro d’identification émit par le gouvernement)
  • des mots de passe et des clés de chiffrement.
• Comprenez vos exigences en matière de conformité pour vos activités et configurez la solution de GIES en conséquence.
• Procédez régulièrement à des examens et testez votre solution de GIES pour confirmer qu’elle a été correctement configurée conformément aux contrôles de sécurité et aux stratégies mises en œuvre.
• Instaurez un plan d’intervention en cas d’incident pour que votre organisation soit en mesure de gérer adéquatement l’événement lorsque se produit un incident de sécurité.
  • Consultez notre publication Élaborer un plan d’intervention en cas d’incident (ITSAP.40.003) pour obtenir de plus amples renseignements.
• Synchronisez tous les dispositifs réseau à un serveur de temps central pour veiller à ce que les journaux de vérification enregistrés utilisent la même source de temps.
  • Configurez un minimum de trois serveurs de temps pour faciliter la maintenance et le dépannage.
• Abonnez-vous à des flux de menaces externes et créez des alertes basées sur les données échangées et mettez régulièrement à jour les logiques de détection afin de relever de nouvelles menaces.
  • Le Centre pour la cybersécurité fournit aux organisations des indicateurs de compromission, y compris aux partenaires au sein des infrastructures essentielles canadiennes, et ce, par le biais d’un système automatisé appelé AVENTAIL, qui peut être intégré directement dans votre GIES.

5.2 Données de journaux de qualité

Pour assurer que votre organisation profite des connaissances les plus utiles sur les activités au sein de votre réseau, assurez-vous que des données de journaux de grande qualité sont alimentées dans l’outil de GIES.

5.2.1 Choisir des méthodes de collecte de journaux adéquates

Les solutions de GIES peuvent recueillir et stocker des journaux de sécurité provenant de diverses sources. Déterminez la méthode de collecte de journaux qui répond le mieux aux besoins de votre organisation.

• Flux de journaux : Des appareils génèrent des journaux et les envoient par un flux continu au collecteur de journaux de la solution de GIES. La solution de GIES obtient donc de l’information en direct.
• Envoi de journaux : Un appareil réunit automatiquement des journaux et envoie (téléverse) les journaux, de manière continue ou à intervalles réguliers, au collecteur de journaux de la solution de GIES. Le collecteur de journaux est configuré de manière à accepter les journaux présentés dans un format et un protocole spécifiques (syslog, FTP, etc.).
• Extraction de journaux : Comme l’envoi de journaux, cette méthode fait appel au collecteur de journaux de la solution de GIES pour amorcer la connexion et demander des journaux. Cette méthode est souvent utilisée pour recueillir des journaux de niveau système d’exploitation en se servant d’un agent logiciel.

5.2.2 Examiner et mettre à jour les dispositifs dissecteurs de journaux

Différents systèmes génèrent des journaux dans des formats différents. Certains formats de journaux sont dotés d’une structure bien définie et sont faciles pour une solution de GIES à ingérer, alors que d’autres formats de journaux sont moins uniformes et présentent plus de défis lorsque la solution de GIES doit décortiquer et ingérer les journaux. Assurez-vous que la solution de GIES sélectionnée est en mesure de comprendre les journaux qu’elle va recevoir.

Les formats des journaux peuvent également changer au fil du temps (p. ex., après des mises à jour logicielles), ce qui peut faire en sorte que la GIES pourrait ne pas être en mesure de décortiquer et d’indexer les journaux à partir d’une source donnée. Passez en revue régulièrement les dissecteurs de journaux et mettez-les à jour au besoin.

5.2.3 Gérer adéquatement le stockage des journaux

Les données de journaux reçues par la solution de GIES sont stockées en fonction des politiques de conservation configurées. Les journaux peuvent être stockés aux fins d’archivage ou ils peuvent être envoyés au moteur de corrélation de la solution de GIES, où ils seront analysés et mis en corrélation par rapport à d’autres journaux. Cette corrélation peut fournir à votre équipe de TI des renseignements utiles.

Selon la solution de GIES que vous pouvez choisir, les journaux peuvent être stockés tel qu’ils ont été reçus ou dans un format comprimé. Étant donné qu’il faut plus de temps pour la recherche de journaux comprimés, certaines solutions de GIES conservent les journaux récents dans un format comprimé. Après un laps de temps déterminé, les journaux sont comprimés pour réduire l’utilisation du stockage.

Les solutions de GIES peuvent recevoir des milliers de journaux à la seconde, c’est donc dire que la conservation de journaux dans un format non comprimé pendant une longue période peut engendrer des coûts élevés de stockage. Si la solution de GIES stocke des journaux dans le nuage, les coûts de stockage pourraient également augmenter considérablement.

Supprimer les journaux lorsqu’ils ne sont plus utiles aidera à contrôler les coûts de stockage et le niveau de performance. Les journaux qui outrepassent la politique de conservation peuvent être supprimés ou stockés dans des solutions à un moindre coût.

5.2.3.1 Conservation de données de journaux

Les politiques de conservation de journaux permettent de garder le contrôle des besoins en matière de stockage. Lors de l’élaboration de la politique de conservation des journaux de votre organisation, réfléchissez attentivement à la durée de conservation des journaux de sécurité. En règle générale, nous recommandons de conserver les journaux importants de votre organisation pendant au moins 6 mois. Pour ce qui est des journaux plus critiques, une conservation pendant une période de 13 mois serait à considérer.

Votre période de conservation dépend de ce qui suit :

• les normes de l’industrie s’appliquant à votre organisation;
• les règlements et les lois;
• les préoccupations de cybersécurité particulières propres à votre environnement commercial;
• les coûts de stockage et la disponibilité.

Nombreuses sont les compromissions qui sont découvertes bien après que la violation se soit produite. Selon la publication d’IBM : Rapport 2023 sur le coût d’une violation de données (en anglais seulement), le temps moyen pour identifier une violation était de 204 jours. Si votre organisation est aux prises avec une violation, vos journaux deviennent une preuve essentielle qui vous aidera à détecter l’incident et à mener une enquête sur celui-ci. Prenez le plus grand soin à l’élaboration de votre politique de conservation de journaux et faites-en un examen périodique afin de déterminer si des rectifications sont nécessaires et si vos journaux sont conservés pendant une durée adéquate.

5.2.4 Activer l’indexation des champs les plus cherchés

Des journaux provenant de divers types de sources comportent différents renseignements et utilisent différents formats. Les solutions de GIES utilisent des dispositifs dissecteurs de journaux pour comprendre les formats de journaux et l’information que contiennent les journaux. Cela peut comprendre le journal en lui-même, la date et l’heure, ainsi que l’emplacement du nom d’utilisateur ou le nom de machine dans le flux de journaux. Il est possible d’indexer ces champs, ce qui accélérera les résultats de recherche.

L’indexation de journaux facilite la recherche, mais nécessite des ressources supplémentaires quant au stockage et à l’unité centrale de traitement (UCT), ce qui peut avoir une incidence sur la performance de la solution de GIES. Nous recommandons d’indexer uniquement les champs qui font souvent l’objet de recherches.

La solution de GIES devrait être en mesure de fournir de l’information sur les recherches, y compris sur les champs cherchés, et indiquer si ces champs sont indexés. Grâce à cette information, l’administratrice ou administrateur de GIES peut activer ou désactiver l’indexation en fonction de la fréquence de recherche des champs.

5.2.5 Normaliser les données de journaux

Il est important de normaliser les journaux pour la mise en corrélation d’événements et être en mesure d’enquêter sur des incidents. Une solution de GIES peut ingérer des journaux sous différents formats. Par exemple, votre réseau pourrait avoir des appareils dans différents fuseaux horaires, certains journaux peuvent être utilisés dans le format 12 heures alors que d’autres utilisent le format 24 heures, ou vos journaux Active Directory (AD) peuvent contenir des noms d’utilisateurs alors que les journaux sur le nuage peuvent indiquer l’adresse de courriel d’une personne comme étant son nom d’utilisateur.

La solution de GIES devrait permettre de normaliser le plus de champs possible pour limiter le nombre de chaînes de recherche dirigées vers la même utilisatrice ou le même utilisateur ou la même ressource. Dans le cadre d’une enquête sur des incidents, lorsque l’on cherche des événements qui se sont produits dans une période donnée, les journaux de tous les appareils devraient être indiqués, quel que soit le fuseau horaire auquel a été configurée la solution de GIES.

5.2.6 Ajuster les règles de corrélation et les seuils

La mise en corrélation d’événements fait référence à l’analyse d’événements par rapport à des contextes opérationnels et à l’établissement de connexions entre ceux-ci conformément à un ensemble de règles prédéfinies. Ces règles permettent à votre solution de GIES de déterminer quelles activités suspectes devraient être considérées comme des menaces de sécurité possibles. Le moteur de corrélation de la solution de GIES doit, pour détecter avec précision des incidents, être configuré adéquatement. Adaptez les règles de corrélation et établissez des seuils en fonction de cas d’utilisation propres à votre organisation ou à vos besoins opérationnels. Vous pouvez commencer par les règles de configuration par défaut de la solution de GIES, et désactiver et activer les paramètres en fonction de ce que vous désirez mettre en corrélation.

6 Modèle à vérification systématique

L’expression modèle à vérification systématique décrit un cadre de sécurité visant à protéger l’infrastructure et les données. Le principe central du MVS veut qu’aucun élément (application, utilisateur ou appareil) d’un système d’information ne soit digne de confiance par défaut. Il faut réévaluer et vérifier la confiance chaque fois qu’un élément demande l’accès à une nouvelle ressource. Le niveau d’accès accordé est rajusté de manière dynamique en fonction du degré de confiance établi pour l’élément. Le MVS implique l’adoption d’une nouvelle façon de voir la sécurité en présumant qu’il y a toujours une atteinte à la sécurité et en accordant la priorité à la protection des ressources (comme les services et les données). Un modèle à vérification systématique est une approche d’entreprise pour concevoir des systèmes dans lesquels les perspectives de sécurité sont basées sur les principes d’un MVS. Pour en apprendre davantage sur le modèle à vérification systématique, consultez notre publication Approche à vérification systématique pour l’architecture de sécurité (ITSM.10.088).

NIST SP 1800-35B Implementing a Zero Trust Architecture (en anglais seulement) est une publication qui décrit des exemples de solutions permettant de mettre en œuvre le MVS. Les solutions présument que la technologie de GIES fait partie des fonctions de cybersécurité de base d’une organisation et que celle-ci permet d’ajouter graduellement des capacités à mesure qu’elle évolue vers un MVS. Les solutions de GIES soutiennent la mise en œuvre du MVS puisque les données qu’elles recueillent pourraient s’intégrer au moteur de stratégie du MVS pour aider à prendre des décisions relatives à l’accès dynamique.

7 Résumé

Les grandes organisations et entreprises font face au contexte des cybermenaces qui est en constante évolution. Pour être en mesure d’atténuer les attaques lancées par des auteurs de menaces avancées, votre organisation devrait investir dans des outils de sécurité qui apporteront des perspectives utiles concernant les activités qui se déroulent dans votre réseau. Des outils de cybersécurité, comme les solutions de GIES, peuvent vous fournir une interface unique pour obtenir ces perspectives. Une solution de GIES peut aider votre organisation à détecter les menaces à la cybersécurité, à les analyser et à prendre les mesures d’intervention nécessaires avant qu’elles ne perturbent vos activités opérationnelles. Comme c’est e cas pour toute décision de TI importante, vous devez analyser toute l’information présentée dans la présente publication par rapport aux besoins spécifiques de votre organisation et aux circonstances pour déterminer si une solution de GIES est ce qui convient le mieux à votre organisation.