C’est sa logique d’induction, d’analyse et de croisement des informations, qu’il faut appliquer pour être capable de détecter de réels signaux faibles annonciateurs de potentiels incidents de sécurité plus ou moins dévastateurs.

Narcissique, Cynique et Attachant mais surtout reconnu pour ses compétences dans le domaine, Dr House, le personnage fictif de la série du même nom, impressionne par ses diagnostics précis et rapides. Il cherche à déceler, analyser puis comprendre les événements y compris les plus insignifiants, à les relier entre eux, pour enfin trouver la cause des troubles de ses patients. C’est cette même logique d’induction, d’analyse et de croisement des informations, qu’il faut appliquer pour être capable de détecter de réels signaux faibles annonciateurs de potentiels incidents de sécurité plus ou moins dévastateurs. Sans cette démarche proactive, encore insuffisamment répandue, c’est d’un médecin légiste dont vous aurez besoin pour essayer d‘en comprendre a posteriori l’origine.

Doit-on se lancer dans la mise en œuvre d’une solution de SIEM ? Est-ce le remède miracle ? Bien évidemment non et encore moins sans démarche construite, progressive et sans objectifs précis. Au risque de voir titrer comme ce fut le cas en 2008 pour l’IAM « des projets chers, longs et peu profitables» !

L’analyse humaine doitchercher les exceptions

Rester pragmatique et commencer par analyser les traces reste une première étape qui amène des résultats. Tout élément bien configuré de nos SI, dont les équipements de sécurité, génère des logs et des rapports qui sont la première source d’informations. L’analyse humaine devra chercher des exceptions, des déviances, des récurrences qui constitueront des signaux faibles. Prenons un exemple trivial : Analyser les événements d’une solution anti virale. Savoir qu’un même poste est régulièrement infecté, comprendre que c’est après l’utilisation de clés USB, et apprendre que c’est lors de déplacements à l’étranger schématisent la transformation de signaux faibles en incident de sécurité. Le traitement de ces signaux passe souvent par des actions simples (adaptations de configurations ou de paramétrages) et en cas de doute vers une mise sous surveillance pour suivre son évolution et se préparer à minimiser les impacts en cas d’alerte avérée. Dans le cadre de cette surveillance, une solution de SIEM apportera la possibilité de suivre des scénarii redoutés, l’évolution de la menace comme on suit la propagation d’une pandémie. Enfin dans l’idée d’un SI protégé, une absence de signaux faibles serait un indicateur de danger. Autre solution à l’instar du Dr House : Fermez les yeux, Prenez quelques pilules de vicodin, et vous oublierez un temps vos douleurs !