7 aspects à considérer pour évaluer une solution SIEM - RSA

Livre blanc
7 aspects à considérer pour
évaluer une solution SIEM

L'objectif d'une solution SIEM est de maximiser la productivité
des acteurs chargés de la sécurité.
Les solutions de gestion des informations et
événements de sécurité (SIEM) sont en passe de
devenir l'un des éléments incontournables de
l'infrastructure de sécurité de toute entreprise, jouant
un rôle important dans la détection des menaces, la
réponse aux incidents, l'investigation numérique
Quelle que soit l'abréviation retenue (SIEM, SEM ou SIM),
la gestion des informations et événements de sécurité est
une préoccupation clé pour beaucoup d'entreprises (voir
la brève description « Sécurité et solutions SIEM » en
page 2). Selon Forrester Research1 , à la fin du premier
semestre 2008, plus d'un tiers des entreprises étaient déjà
dans une phase d'adoption de la technologie SIM. Sur les
259 décideurs sécurité d'entreprises européennes et nord
américaines interrogés par Forrester, 32 % évoquent
l'optimisation du reporting et de la conformité comme
raison principale du déploiement d'une solution SIM et
l'identification des incidents de sécurité arrive en
deuxième position avec 20 % des réponses.
Une solution SIEM a pour vocation de surveiller le
moindre élément de l'entreprise et toucher l'ensemble de
votre infrastructure : c'est pourquoi le choix d'un
fournisseur est un engagement à long terme ayant un
impact extrêmement important. En outre, les technologies,
fonctionnalités et coûts totaux d'exploitation varient
considérablement en fonction des solutions - rendant le
choix d'autant plus complexe. Il est vrai que les
entreprises ayant « eu des remords » après avoir choisi
une solution qui n'était pas parfaitement adaptée à leurs
besoins sont légion…
Lorsque vous comparez les solutions, ne vous polarisez
pas trop sur des fonctions très spécifiques comme
l'interface utilisateur ou même les règles de corrélation.
Au contraire, comme nous le proposons dans les sept
recommandations que nous présentons ci-dessous,
élargissez votre champ d'investigation en examinant l'offre
de chaque fournisseur dans sa globalité, et notamment,
l'envergure de la collecte des données événementielles et
le degré d'intégration de la solution, à la fois interne et
avec l'infrastructure environnante. Évaluez également la
1 « Il faut s'attendre à de grands bouleversements dans le secteur des solutions SIM »,
Paul Stamp, Forrester Research, 27.02.08
légale (forensics) et la conformité aux standards de
sécurité. Fort de son expérience avec plus de 1 300
déploiements SIEM effectués avec succès à ce jour
dans des entreprises de toutes tailles, RSA propose
aux acheteurs potentiels sept critères d'évaluation
des solutions proposées sur le marché.
facilité de déploiement, l'évolutivité du produit et ses
coûts totaux d'exploitation pour votre entreprise. Sans
oublier bien entendu les points forts du fournisseur, et
notamment son expertise dans le domaine de la sécurité,
sa fiabilité financière, son implication dans la R&D et son
degré d'indépendance par rapport aux fournisseurs et aux
plates-formes. En choisissant une solution qui réponde à
vos besoins selon les critères évoqués ci-dessus, vous
augmentez grandement les chances d'être satisfait sur le
long terme.
Recommandation n°1 : Définir votre modèle
actuel de sécurité opérationnelle et l'utiliser
pour déterminer vos exigences solution
Les entreprises utilisent des modèles de sécurité
opérationnelle extrêmement divergents, et dans
l'évaluation d'une solution SIEM, il est important de
connaître clairement votre modèle afin de choisir une
solution qui corresponde exactement à vos besoins (et au
budget) actuels tout en offrant suffisamment de flexibilité
pour une évolution future.
Certaines entreprises parmi les plus évoluées disposent
d'un SOC (Security Office Center) centralisé où travaillent
de nombreux analystes de sécurité, chacun ayant un
secteur de responsabilité bien particulier (événements
serveur, par exemple). Mais il est beaucoup plus courant
d'avoir un petit groupe d'analystes, dont les rôles sont en
premier lieu les opérations réseau ou informatiques de
l'entreprise, et qui se partagent les responsabilités en
matière d'opérations de sécurité. Il existe également un
troisième modèle, le « SOC virtuel » dans lequel les
membres sont géographiquement dispersés.

Quel que soit le modèle employé au sein de votre
organisation, l'objectif d'une solution SIEM n'est pas de
remplacer des hommes par des technologies, mais de
rendre ces derniers plus productifs et efficaces pour
remplir leur mission. La sélection de la bonne solution ne
peut se faire sans une compréhension approfondie des
responsabilités et des processus de workflow à l'œuvre
dans l'entreprise. Comment sont réparties les
responsabilités et les tâches dans l'entreprise? Comment
sont priorisées les alertes et sont-elles soumises à un
système de réponse 24 x7? Quelle largeur de bande
passante peut être dédiée à la collecte d'éléments
d'investigation numérique légale (forensics)?
Comprendre ce qui fonctionne mal - et pourquoi
Il est très important de comprendre ce qui ne fonctionne
pas bien dans votre environnement actuel et qui limite
peut-être la productivité de vos collaborateurs. Par
exemple:
– Si votre équipe passe trop de temps à la poursuite de
faux positifs ou d'alertes à basse priorité , cela peut
être dû au manque de précision des règles de
corrélation ou bien au fait que ces règles ne prennent
pas en compte d'autres données telles que les
ressources et les vulnérabilités, résultant ainsi sur de
nombreuses fausses alertes.
– Si les investigations numériques légales (forensics) sont
lentes ou peu concluantes, cela peut s'expliquer par le
fait qu'il est impossible d'extraire aisément et
rapidement les données historiques d'événements à
partir d'une source unique et fiable. Ou peut-être que
les données n'ont même jamais été capturées par le
système SIEM et ne peuvent par conséquent pas du
tout être extraites.
– Si les événements critiques ne sont pas résolus
rapidement, cela peut être dû à des processus de
workflow inadéquats ou fragmentés. Souvent, ces
problèmes sont dus à des défauts structurels de la
solution SIEM - ou parce que la fonctionnalité intégrée
serait trop coûteuse à mettre en place dans votre
environnement réel.
L'objectif d'une solution SIEM n'est
pas de remplacer vos équipes par
des technologies, mais de les rendre
plus productives et efficaces pour
remplir leur mission.
Recommandation n°2 : Prendre en
considération les éléments suivants, critiques
pour les opérations de sécurité
Trois attributs solution sont essentiels pour répondre aux
défauts des systèmes SIEM les plus couramment
rencontrés en ce qui concerne le support des opérations
de sécurité. Il s'agit de la capacité à capturer et analyser
en temps réel les données, à collecter tous les
événements (qu'ils soient de sécurité ou d'opérations sur
l'ensemble du réseau), et enfin à disposer d'outils
d'investigation efficaces.
Puissance des fonctions d'acquisition et d'analyse
Toute solution SIEM doit être en mesure d'effectuer avec
la même efficacité les deux fonctions clés suivantes :
– En temps-réel capturer et analyser les données de
journalisation entrantes afin de supporter la détection
des menaces et leur résolution en temps réel.
– Rapidité pour consulter et produire des rapports sur
des données précédemment capturées afin qu'elles
puissent être aisément analysées « sous toutes les
coutures » pour les besoins d'investigation numérique
légale, d'opérations réseau, de conformité ou de
découvertes juridiques.
La plupart des solutions peuvent être optimisées afin
d'accomplir l'une ou l'autre de ces deux tâches
parfaitement, mais jamais les deux à la fois, ce qui oblige
le fournisseur à favoriser l'une des fonctions par rapport à
l'autre. En revanche, la plate-forme RSA enVision® est
Livre Blanc RSA
1

SIEM pour la sécurité : Brève présentation
Malgré la diversité des architectures, des
fonctionnalités et des options intégrées dans les
plates-formes SIEM, toutes répondent au même
objectif. Selon le cabinet Gartner « les utilisateurs
finaux ont besoin d'analyser les données
d'événements de sécurité en temps réel (pour la
gestion des menaces, commençant par les
événements réseau) et de produire des analyses et
des rapports sur les données journalisées (pour
surveiller la conformité avec la politique de
sécurité, avec un premier focus sur les événements
des applications et sites hôtes) ».
Les solutions SIEM automatisent et rationalisent le
processus de collecte des logs d'événements - y
compris mais non limités aux événements de
sécurité - depuis diverses sources à travers le
réseau. Ces produits ont recours à des techniques
d'agrégation de données et de corrélation
d'événements pour analyser les données afin
d'identifier les menaces de sécurité connues et de
déceler les comportements anormaux susceptibles
d'indiquer un problème. En déclenchant des alertes,
une solution SIEM peut activer des processus
automatiques ou manuels afin de rechercher et
maîtriser toute attaque suspecte ou reconnue.
En outre, les solutions SIEM facilitent les investigations
numériques légales (forensics) et simplifient le
processus de réponse aux requêtes d'audit. Ces platesformes
incluent également de plus en plus
couramment des fonctions de gestion et d'archivage
de logs, ce qui facilite la conformité aux dispositions
légales de rétention des données à long terme.
La plupart des plates-formes SIEM se présentent
sous forme de solutions logicielles ou d'appliances
optimisées pour simplifier le déploiement ; c'est sur
ce dernier modèle qu'est basée la plate-forme
enVision de RSA. En général, les produits incluent un
logiciel serveur, une console de gestion centralisée
en mode web, et dans la plupart des cas, un logiciel
agent qui doit être déployé sur les dispositifs à
surveiller ou à côté d'eux. De nombreuses solutions
incluent des capacités de stockage additionnelles et
des référentiels de données servant à stocker et
gérer les données d'événements.
Les solutions SIEM ne peuvent, par elles-mêmes,
empêcher ni minimiser les attaques, et les clients qui
s'attendent à ce qu'elles le fassent risquent d'être
déçus. Toutefois, lorsqu'elles sont déployées dans un
écosystème de sécurité complet qui supporte le
travail des analystes de sécurité, les solutions SIEM
jouent un rôle capital dans la détection et l'analyse
des menaces, les mesures correctives, les
investigations et les rapports de conformité.
2 Ibid.
2 Livre Blanc RSA
conçue de manière à répondre de façon équilibrée à ces
besoins, avec des fonctions de collecte, d'analyse et de
requête étroitement imbriquées les unes aux autres dans
une technologie de base de données orientée objet qui
assure flexibilité et performances optimales.
Accéder à Toutes les données…
La plupart des solutions n'analysent pas les données
d'événements brutes lors de leur acquisition parce que
cela se traduirait par un ralentissement considérable et
inacceptable des performances. Au contraire, en
normalisant et prétraitant les données, elles les réduisent
à un sous ensemble d'exceptions qui seront les seules à
être analysées. Pire, certaines solutions suppriment même
toutes les autres données restantes, empêchant alors
toute possibilité d'utilisation ultérieure pour des actions
d'investigation, d'audit ou de reporting. D'autres solutions
choisissent de conserver les données événementielles
brutes, mais dans un référentiel séparé - mal intégré aux
fonctions de requête et de reporting. Cela peut entraver
considérablement les tâches d'analyse et de reporting des
données historiques de journalisation.
Assurez-vous que la solution que vous choisissez élimine
ce problème en collectant et conservant toutes les
données d'événements pour une utilisation ultérieure.
Ainsi chaque fois que vous écrirez de nouvelles règles de
corrélation pour répondre à de nouvelles menaces, ou à
de nouveaux besoins de reporting ou d'audit, ces règles
seront immédiatement opérationnelles sur toutes les
données concernées, optimisant la précision des alertes et
vous permettant de ré-analyser des événements
antérieurs.
Robustesse des outils d'investigation et des workflows
Les outils d'investigation et de workflow jouent un rôle
critique pour maximiser la productivité des équipes en
charge des opérations de sécurité. Ils permettent la
résolution d'un plus grand nombre d'incidents et réduisent
le temps moyen imparti aux investigations et aux
résolutions. Des outils d'investigation robustes et
ergonomiques offriront à vos analystes la visibilité, la
flexibilité et la puissance de traitement dont ils ont besoin
pour « rejouer » les événements auxquels ils s'intéressent,
pour filtrer les données événementielles selon diverses
variables et pour reconstruire les événements
opérationnels et de sécurité de bout en bout.

Les outils de workflow doivent être suffisamment flexibles
pour prendre en charge et simplifier les processus
d'investigation actuels de vos équipes. Ils doivent en
même temps, permettre de gérer aisément les
modifications imprévues des processus qui pourraient être
implémentées dans le futur. Les fonctions de workflow
doivent englober l'intégralité du cycle de vie des
investigations - depuis l'identification et l'investigation
initiale, en passant par le routage vers les membres de
l'équipe les plus à même de traiter le problème, l'escalade
automatique des incidents de haute priorité ou difficile à
résoudre, et jusqu'à la résolution, la fermeture et
l'archivage. Une intégration directe avec les principaux
systèmes de génération de tickets d'incidents - tels que
Peregrine et Remedy - permet de transférer en toute
transparence les incidents actifs et toute l'investigation
conséquente au « système d'enregistrement » corporate
pour le suivi des événements et tickets d'incidents.
Recommandation n°3 : Intégrer les exigences
stratégiques au processus de sélection
De plus en plus, l'efficacité des professionnels de la
sécurité est déterminée par leur capacité à évoluer vers un
nouveau rôle, c'est-à-dire de passer de protecteurs des
ressources informationnelles de l'entreprise en initiateurs
d'innovation et de réussite. Le choix d'une solution SIEM
nécessite donc non seulement de répondre aux exigences
immédiates mais aussi de s'aligner avec les besoins
métier stratégiques. Par exemple, la plate-forme doit
intégrer suffisamment de fonctionnalités dans les trois
principaux composants d'une solution SIEM - sécurité,
conformité et opérations réseaux - de sorte qu'une
solution unique réponde à ces trois besoins, réduisant par
conséquent les coûts et la complexité. Les éléments
stratégiques à considérer incluent :
– Les nouvelles initiatives métier, telles qu'une
acquisition, la mise en œuvre d'un service d'e-business
important ou l'expansion d'un écosystème partenaire,
ajoutent de nouvelles fonctions et de nouvelles
exigences d'exploitation sur le réseau et créent de
nouvelles zones de risques de sécurité. Une solution
SIEM doit être en mesure de planifier toutes ces zones
Les outils d'investigation et de
workflow jouent un rôle critique
pour maximiser la productivité de
l'équipe en charge des opérations
de sécurité.
en s'appuyant sur les données événementielles
existantes pour vous aider à définir vos stratégies en
termes d'opérations de sécurité et réseau. Et bien
entendu, une fois ces initiatives en place, la solution
doit être en mesure de s'interfacer aisément avec de
nouvelles sources d'événements pour capturer les
données événementielles des opérations de sécurité et
réseau que ces sources génèrent.
– Conformité. Vous devez disposer d'une flexibilité
suffisante pour répondre aux exigences de conformité
nouvelles ou non prévues. Pour cela, il faut pouvoir
consulter les événements précédemment capturés, et
notamment ceux qui ne présentent actuellement aucun
intérêt pour les régulateurs, mais qui peuvent se révéler
d'une importance capitale pour de futurs audits. La
collecte et la sauvegarde de tous ces événements de
sécurité, et pas seulement les données se rapportant
aux menaces et exigences de conformité actuelles, sont
une étape obligatoire pour répondre aux exigences des
audits futurs.
– Gestion du risque informationnel. De plus en plus, les
entreprises développent des approches pour identifier
et mesurer où se situent leurs plus grands risques
informationnels ( par exemple où résident les données
critiques et où sont-elles les plus vulnérables) et
utilisent ces informations pour prioriser les
investissements en matière de sécurité. Votre
fournisseur SIEM doit avoir une vision pour supporter la
gestion du risque informationnel et une feuille de route
définissant de façon claire et précise comment la
3 Gartner, Dataquest Insight : Analyse prévisionnelle dans la sécurité des
informations et la gestion des événements, à l'échelle mondiale, 2007-2012
par Ruggero Contu et Mark Nicolett, 5 mars 2008
Livre Blanc RSA
3

solution SIEM et les autres éléments de l'infrastructure
de sécurité doivent inter-opérer pour former un
écosystème de sécurité qui réduise systématiquement
les risques informationnels.
Ces exigences globales vous permettront de définir un
cadre d'évaluation des diverses solutions du marché. Vous
aurez ainsi la certitude que les fonctions de sécurité et les
priorités métier sont toutes deux prises en compte
correctement dans votre processus de sélection.
Recommandation n°4 : Une solution SIEM
doit s'intégrer facilement à l'ensemble de
l'environnement.
Comme beaucoup d'observateurs de l'industrie l'ont
remarqué, le marché tend à s'éloigner nettement de
l'assemblage de solutions multiples pour traiter la sécurité
et la conformité, l'imbrication de divers produits s'avérant
coûteuse, difficile à gérer et pire n'offre qu'une visibilité
très réduite à travers les environnements complexes.
Désormais les clients optent pour des solutions SIEM
intégrées à une offre plus large proposée par les plus gros
fournisseurs de technologie du marché. Selon le cabinet
Gartner, « la consolidation semble être le maître-mot sur
le marché des solutions SIEM, les grands fournisseurs
faisant l'acquisition des meilleures technologies pour
étendre leur portefeuille produit en matière de sécurité.
Cette évolution du marché a influencé les tendances
d'achat faisant que les utilisateurs acquièrent de plus en
plus des solutions SIEM en complément de produits de
sécurité de spectre plus large ». Gartner constate que la
facilité de déploiement et l'intégration réussie avec
l'infrastructure existante du client deviennent des facteurs
de plus en plus importants dans la sélection d'un produit.
Maximiser la visibilité des sources de données
événementielles
En tant que composant du portefeuille de solutions de
sécurité RSA, RSA enVision est en parfaite adéquation
avec ces tendances et excelle dans un domaine
particulièrement vital : la visibilité des sources
d'événements. La plupart des solutions SIEM n'offrent
qu'une visibilité restreinte à un sous-ensemble de
l'environnement. Certaines se concentrent sur le réseau,
3 NetworkWorld IT Buyer's Guide
http://www.networkworld.com/buyersguides/guide.php?cat=865479
4 Livre Blanc RSA
d'autres sur le système d'exploitation et d'autres encore
sur le serveur. Dans tous ces cas, vous êtes forcés de
composer avec des « angles morts » ou d'entreprendre de
coûteuses intégrations afin d'élargir votre vision sur les
événements liés aux opérations de sécurité et réseau.
La plate-forme enVision de RSA supporte en standard et
dès son démarrage l'une des gammes les plus étendues
de sources d'événements, notamment :
– Sécurité du périmètre (ex: pare-feux et systèmes de
détection des intrusions)
– Autres outils de sécurité (ex: gestion des identités et
des accès)
– Périphériques réseau (ex: routeurs et commutateurs)
– Outils d'administration réseau (ex: gestion des
configurations).
– Mainframes et serveurs
– Stockage
– Applications métier (ex: SAP)
– Bases de données et systèmes d'exploitation
En outre, grâce à son « Universal Event Source Support »,
la technologie RSA enVision permet d'ajouter de nouvelles
sources d'événements, y compris des applications et des
périphériques propriétaires, sans qu'aucune
programmation ne soit nécessaire. Lorsqu'elle dispose
d'une visibilité la plus étendue possible de votre
environnement, une solution SIEM est mieux positionnée
pour détecter la gamme complète d'événements
nécessitant une investigation ou une action corrective.
Le choix d'une solution SIEM
doit non seulement répondre
aux exigences immédiates mais
aussi s'aligner avec les besoins
métier stratégiques.

Recommandation n°5 : Compléter la
corrélation des événements par d'autres
sources d'« intelligence »
La corrélation des événements est l'un des aspects
importants de toute solution SIEM, car elle prend en
charge le surcroît d'informations causé par un torrent
incessant de journaux d'événements. Lorsqu'on applique
des règles de corrélation, un moteur de corrélation filtre
les données externes, reconnaît les schémas qui suggèrent
une activité anormale ou suspecte et consolide les
données concernées en « événements à suivre » pour une
gestion par les analystes sécurité ou les administrateurs
réseau. Lorsqu'elle est optimisée pour l'environnement
spécifique du client, la combinaison des règles de
corrélation d'événements avec un moteur de corrélation
réduit considérablement le nombre total d'événements et
d'alarmes, supprime les faux positifs et augmente la
fiabilité des événements de très haute priorité nécessitant
une action.
Il est primordial de choisir une solution qui collecte
l'ensemble des journaux et dont le moteur de corrélation
soit à même de traiter en temps réel, toutes les données
d'événements entrants et à travers toutes les
localisations. Tout retard ou délai réduit votre capacité à
reconnaître les menaces et à y répondre immédiatement.
Pire encore, si la corrélation ne porte que sur un sousensemble
de données, vous pouvez complètement passer
à côté d'une alerte de sécurité critique. La plate-forme
RSA enVision est dotée d'un puissant moteur de
corrélation, qui se combine à une faculté de collecter
d'énormes volumes de données à partir de tous les
emplacements, pour offrir un traitement en temps réel qui
alerte au sujet des événements à haute priorité au
moment même où ceux-ci se produisent.
Etre prêt à personnaliser les règles de corrélation en
fonction des spécificités de son environnement
Il est capital de disposer d'une compréhension réaliste
des efforts requis pour optimiser la corrélation des
événements. Les règles de corrélation - qui prédéfinissent
les schémas, les scénarios et les relations entre
événements pour lesquels une attention toute particulière
est requise - sont un mécanisme clé dans la corrélation
d'événements. Les modèles pré-intégrés et les règles de
corrélation par défaut permettent de rationaliser le
processus de création des règles par les analystes de
sécurité mais ne vont guère plus loin.
Comme l'a expliqué Network World3, « il faut déterminer
avec précision ce qui est réellement primordial pour
l'entreprise, pour ensuite écrire ou activer des règles qui
rendront le produit opérationnel. Les utilisateurs doivent
accepter de « tuner » le produit avant de le mettre en
route, et ceci de façon continuelle afin de s'assurer qu'il
continuera à réduire efficacement le bruit des nonévénements
et à identifier les événements critiques pour
la sécurité de l'environnement ».
Importance du contexte pour l'écriture des règles
Essayer d'anticiper et d'écrire des règles de corrélation
pour répondre aux scénarios d'attaques théoriques futures
abouti souvent à un échec, qui peut par exemple se
traduire par un accroissement du volume des alarmes, un
nombre élevé de faux positifs et d'alertes de faible
priorité. C'est un peu comme si l'on essayait de prédire à
quel endroit, dans le futur, il faudrait rechercher une
aiguille dans une botte de foin…
Les règles de corrélation sont plus efficaces et plus
précises lorsqu'elles sont étayées par des données réelles
sur votre environnement et combinées avec des
informations contextuelles délivrées par d'autres outils,
Il est capital de disposer d'une compréhension réaliste des
efforts requis pour optimiser la corrélation des événements.
Les modèles pré-intégrés et les règles de corrélation par
défaut permettent de rationaliser le processus de création
des règles par les analystes sécurité mais ne vont guère
plus loin…
Livre Blanc RSA
5

telles que les informations sur les menaces émergentes,
les données de vulnérabilité, les ressources, les
informations de niveau applications et les informations de
gestion des identités.
Par exemple, un événement de sécurité tel qu'un échec
d'authentification sur un serveur Windows peut être
considéré comme ayant une haute priorité. Cependant, cet
événement combiné à la ressource concernée donnera une
indication contextuelle supplémentaire. Si les données sur
cette ressource indiquent que celle-ci n'a que peu de
valeur, l'échec de l'authentification résulte sur un
événement de faible priorité.
Recommandation n°6 : Administrer le cycle de
vie des informations journalisées
Le stockage des données de logs est l'un des éléments
critiques de toute solution SIEM. Au fil du temps, les
données des logs vont s'accumuler à un rythme accéléré,
causé par deux principaux facteurs :
– L'augmentation du nombre de périphériques et
d'applications sur votre réseau
– Les contraintes réglementaires pour la rétention des
données d'événements de sécurité
Et augmentant potentiellement vos soucis de stockage,
certaines solutions exigent des prétraitements lourds, de
l'indexation et la définition de métadonnées pour
supporter l'analyse des événements. Autant d'opérations
qui peuvent multiplier les besoins de stockage (par un
facteur de dix) et augmenter d'autant les coûts de gestion
de stockage au cours de la durée de vie de votre solution.
Vous devez vous assurer que la solution que vous
choisissez possède des options adaptées de cycle de vie
des données. Il existe au moins un fournisseur d'appliance
majeur qui propose uniquement un stockage embarqué
des données d'événements. Ainsi une solution bien
conçue doit supporter les réseaux de stockage SAN et
NAS. Ceci vous permet d'avoir une solution plus flexible,
moins coûteuse et qui sera également plus résistante d'un
point de vue disponibilité et reprise après incident.
6 Livre Blanc RSA
En tant que Division Sécurité d'EMC - leader mondial dans
la fourniture et le développement de technologies et
solutions d'infrastructure des informations - RSA apporte
son expertise inégalée en matière de stockage et
d'innovations aux solutions SIEM. Par exemple, une
approche de stockage multi-niveau vous permet de stocker
les données d'événements sur des périphériques de
stockage moins coûteux au fil du temps, à mesure que le
besoin d'accès à ces données diminue, tout en vous
garantissant toujours une visibilité complète et une
extraction aisée de ces données, pour des besoins
juridiques, de découverte, réglementaires ou de forensics.
En offrant une compression allant jusqu'à 70 %, sans pour
autant altérer les performances, la solution EMC/RSA réduit
encore plus vos coûts de stockage sur la durée de vie.
Recommandation n°7 : Comprendre les
véritables coûts de la solution
Avant de vous engager sur le choix d'une solution
spécifique, vous devez comprendre quels en seront les
coûts initiaux et sur le long terme. La solution doit
répondre à vos besoins initiaux pour un coût minimal -
afin de vous assurer que vous n'engagez pas des frais
disproportionnés par rapport aux bénéfices que vous allez
en retirer - tout en vous permettant d'élargir le
déploiement à l'ensemble de l'entreprise à un coût
raisonnable. Outre le coût de stockage précédemment
évoqué, vous devez être certain de maîtriser parfaitement
les divers éléments facturés :
– Matériel Serveur. Pour les solutions composées
uniquement de logiciels, il s'agit presque toujours d'un
coût complémentaire.
– Frais de licence logicielle. Quels sont les coûts initiaux
et les coûts récurrents pour le cœur de la plate-forme,
le logiciel agent et les produits tiers tels que les bases
de données?
– Support des sources événementielles. Quelles sources
sont supportées, et quel est le coût pour l'ajout de
sources complémentaires en type et en nombre?

– Modules optionnels. Quels sont les modules de
reporting, d'alerte et d'audit inclus dans le prix
proposé, et quel est le coût de tout module optionnel
dont vous pourriez avoir besoin pour répondre à vos
objectifs en terme de fonctionnalités attendues de la
solution?
– Coût de personnel. Tout particulièrement lorsque vous
parlez à une référence fournie par le vendeur, explorez
franchement et très précisément quelles sont les
ressources humaines spécialisées nécessaires au
déploiement et au support de la solution.
Cela peut inclure les analystes sécurité, les consultants
travaillant à l'intégration, les ressources de support des
bases de données et des plates-formes, et un support
permanent de milliers d'agents logiciels. Les coûts de
personnel représentent une portion significative de tout
projet et les besoins d'opérations complexes et
d'intégration peuvent conduire à beaucoup de frais
imprévus (et non budgétés).
– Evolutivité et logiciels. Quels sont les coûts associés à
l'expansion de votre capacité à gérer un plus gros
volume de données d'événements ou à la mise à jour
d'une solution 100% logicielle?
Afin de réduire les risques du projet, demandez à votre
fournisseur un devis ferme et définitif incluant ces
éléments de coût, et statuant clairement que la
configuration initiale proposée prendra en charge de
manière fiable le volume d'événements que vous
anticipez.
RSA, enVision et RSA Security sont des marques ou marques déposées de RSA
Security Inc. aux États-Unis et/ou dans d'autres pays. EMC est une marque
déposée d'EMC Corporation. Tous les autres produits et services mentionnés sont
des marques appartenant à leurs détenteurs respectifs. © 2008 RSA Security Inc.
Tous droits réservés.
7SIEM WP 0708
Certaines solutions exigent des
prétraitements lourds, de
l'indexation et la définition de
métadonnées pour supporter
l'analyse des événements. Autant
d'opérations qui peuvent multiplier
les besoins de stockage - par un
facteur de dix.
À propos de RSA
RSA, la Division Sécurité d'EMC, est le premier fournisseur
de solutions de sécurité pour l'accélération métier et le
partenaire privilégié des plus grandes entreprises
mondiales pour résoudre leurs challenges de sécurité les
plus pressants, complexes et sensibles. L'approche de la
sécurité centrée sur l'information prônée par RSA garantit
l'intégrité et la confidentialité de l'information tout au long
de son cycle de vie - quels que soient ses cheminements,
ses consommateurs ou ses modalités d'utilisation.
RSA propose des solutions leaders d'assurance des
identités et de contrôle d'accès ; de prévention des pertes
de données ; de cryptage et de gestion des clés ; de
gestion de la conformité et des informations de sécurité et
enfin de protection contre la fraude. Cette large gamme de
solutions certifie l'identité de millions d'utilisateurs dans
le monde et des données qu'ils génèrent lors de leurs
transactions quotidiennes. Pour plus d'informations,
veuillez consulter www.RSA.com et www.EMC.com.
Livre Blanc RSA
7