De la mort des outils de sécurité...

Publié le 16 septembre 2011 par Sid

S

elon une étude publiée par eiQnetworks, le SIEM serait mort. Pour ceux qui ne sont pas familiers des acronymes, un SIEM, c'est un Security Information and Event Management, ce qui aurait tout simplement pu s'appeler une plate-forme de monitoring s'il n'avait pas fallu lui trouver une appellation techno-marketing. Un peu plus que ça diront certains, et on pourra accepter l'objection, mais grosso modo c'est l'idée.

Le SIEM, donc, serait mort. Et il faudrait le remplacer par un truc encore mieux appelé l'Unified Situational Awareness platform. Dit comme ça, pas de doute, ça claque. Sauf qu'à en lire la description, j'ai du mal à saisir la différence entre ce nouveau jouet et un SIEM qui ferait correctement son boulot...

Cette annonce est, comme le note Bill Brenner, l'archétype du coup de pub à deux balles. Ce que font mes concurrent est dépassé, moi je fais mieux, achetez mon produit et/ou mes services. Produit et/ou services qui ne sont souvent qu'une légère amélioration[1] du concept à enterrer, voire un simple repackaging...

Mais plus loin que ça, ce coup de pub illustre également un jeu auquel s'adonne l'industrie informatique, ce qu'on pourrait appeler le yo-yo technologique. C'est à dire cette tendance à encenser jusqu'à plus soif des technologies, des concepts, des outils pour nous expliquer quelques temps plus tard que ça ne sert à rien et qu'il faut tout mettre à la poubelle. Quand j'ai commencé, professionnellement parlant, dans la sécurité, c'était la mode du firewall. Il fallait en mettre partout, et à grand renfort de stateful filtering, concept attribué à un éditeur bien connu qui, à l'époque, ne semblait pourtant pas en maîtriser toute les subtilités... Et quelques années plus tard, on nous expliquait que c'était quasiment le pire des maux. Un peu plus tard, on nous rabattait les oreilles avec les IDS, supplantés peu de temps après par des IPS. Et puis on nous a expliqué que ça ne servait pas à grand chose. On pourrait continuer avec les firewalls applicatifs, les WAF[2], les UTM[3], etc.

Sauf que, comme chaque esprit sensé le sait, la vérité est rarement aux extrêmes, et nettement plus vers le milieu. Ainsi, un pare-feu est un outil utile dans l'implémentation d'une politique de filtrage réseau. Mais c'est tout. Ce n'est ni une baguette de sourcier, ni une poupée vaudou, et ça ne fait pas revenir l'être aimé en moins de 48h... Et les SIEM, autant ils n'échappent pas au phénomène du yo-yo, sont également soumis à cette règle de bon sens. Quand c'est bien pensé, bien implémenté et bien utilisé, ça a une vraie valeur ajouté. Si c'est déployé parce que c'est la mode, ça ne sert juste à rien... Comme pleins d'autres choses en définitive...

Maintenant, pour en revenir à la potentielle mort du SIEM en tant que concept, je suis plus que sceptique. Voire en total désaccord. En ces temps où les défenses actives sont mises à rude épreuve et montrent clairement leurs limites, il est pour le moins temps de se poser sérieusement la question de la détection des incidents[4]. Puisqu'il est aujourd'hui démontré par la pratique que, comme nous Cassandre de la sécurité aimions à le répéter, l'incident se produira, tôt ou tard et quels que soient les moyens déployés, il est largement temps pour beaucoup, non pas de changer leur fusil d'épaule, mais de compléter ces défenses par des mécanismes permettant de détecter la compromission au plus tôt.

Et l'acronyme marketeux qui désigne un système capable de fournir ce genre de service, c'est le SIEM... Justement...

Et pendant ce temps, à Vera Cruz... Sony modifie les conditions d'utilisation du Playsation@Network pour... interdire à ses utilisateurs de les poursuivre collectivement en cas de litige...

Notes

[1] Et encore...

[2] Web Application Firewall.

[3] Unified Threat Management (j'adore cet acronyme).

[4] Question qui ne date pourtant pas d'hier...