SIEM : Au-delà des équipes de cybersécurité
Lorsque l’on parle de systèmes de gestion des événements et des informations de sécurité (SIEM - Security Information and Event Management), il est courant de l’associer uniquement à la cybersécurité. Cependant, un SIEM pourrait se résumer à une base de données avec le même format de log et une couche de détection par-dessus.
C’est pourquoi chez VINCI Energies, nous avons décidé d’adopter Elastic comme nouvelle plateforme SIEM pour notre SOC. Une technologie déjà connue des équipes informatiques dotée d’une excellente couche de détection et des capacités d'automatisation.
Quels sont les avantages de cette approche ?
- Une collaboration accrue : Les équipes informatiques partagent les mêmes objectifs. Par exemple, il ne devrait pas y avoir de journal manquant ou mal analysé.
- Capacités de détection pour tous : Les équipes informatiques ont besoin de surveiller leurs applications et leur infrastructure, ce qui peut contribuer à la détection des menaces. Il n’y a pas de dépendance envers des tiers externes pour configurer de nouvelles règles de détection, permettant aux équipes d’être réactives et autonomes dans leurs alertes.
- Optimisation des coûts : Consolidez toutes vos données en un seul endroit au lieu de dupliquer les données entre les différents lacs de données des équipes.
Après un projet d’un an, nous sommes fiers de dire que nous avons réussi ! Les équipes de toute l'organisation utilisent activement le tout nouveau SIEM, stockant à la fois les logs liés à la sécurité et les logs non liés à la sécurité.
Prochaines étapes : plus de règles de détection et d’automatisation pour notre SOC !
Un grand merci à toutes les équipes impliquées dans cette réalisation !