Analyse des solutions de sécurité réseau et leur complémentarité
Face à la prolifération des attaques sophistiquées, il est impératif pour les entreprises de comprendre les nuances des solutions de sécurité réseau disponibles et de leur complémentarité.
Chaque attaque, quelle que soit sa nature, laisse des traces sur le réseau. Avoir les bons outils de détection et de réponses permet de réduire grandement les risques. Dans cet article, nous examinerons de près plusieurs solutions de sécurité réseau – IDS, NDR, NGFW et SIEM en les comparant du point de vue technique et fonctionnel. Notre objectif est de fournir des recommandations concrètes sur les combinaisons de solutions les plus adaptées pour garantir la sécurité des infrastructures informatique.
IDS, NDR, NGFW, SIEM : gardiens protecteurs des SI ?
Fréquemment utilisé dans les entreprises, le SIEM (Système de gestion des Informations et des Evénements de Sécurité) est l’outil phare des équipes chargées de la défense des réseaux et la protection des données. Le SIEM répond à un objectif : collecter et analyser les logs pour détecter les comportements inhabituels. Cette capacité de collecte de logs divers offre une grande modularité et personnalisation quant à la détection et à la surveillance d’évènements informatique.
Toutefois, l’analyse et la réponse à des menaces potentielles, dépend de l’analyse humain. Le SIEM et l’IDS ne peuvent donc suffire à eux seuls à protéger les réseaux. D’autres solutions sont déployées par les entreprises pour détecter et répondre aux attaques avancées. Les outils de détection et de réponse aux incidents réseaux (NDR) ainsi que les fonctionnalités des NGFW (pare-feu nouvelle génération) appartiennent à cette catégorie.
Benchmark des solutions : SIEM, IDS, NDR, NGFW
Les quatre solutions évoquées précédemment répondent à des impératifs spécifiques de sécurité. Le SIEM et l’IDS permettent uniquement de détecter les menaces éventuelles mais nécessitent une intervention humaine tandis que le NGFW et l’EDR sont en mesure de remédier également aux attaques.
Pourtant, chaque solution possède ses propres caractéristiques fonctionnelles et techniques. Le SIEM, quant à lui, présente un fonctionnement différent des autres outils.
Le SIEM et son fonctionnement
Celui-ci est basé sur le rassemblement des logs et des événements de sécurité en provenance de différentes sources. Ces sources peuvent être les NDR, des NGFW, les IDS ou EDR (Endpoint Detection and Response) entre autres. Les menaces sont de ce fait détectées grâce à l’analyse des logs centralisés et de leur corrélation par le biais de règles dans le SIEM.
Benchmark des solutions de sécurité réseau :
Contrairement au SIEM, les IDS, les NDR et les NGFW peuvent être comparés sur divers paramètres techniques tels que présentés dans le tableau ci-dessous :
| Caractéristique | IDS | NDR | NGFW |
| Position | Sur les hôtes ou le réseau | Sur le réseau | Limite entre réseaux |
| Fonctionnalités | Signatures, analyse comportementale | Analyse comportementale, corrélation des événements, Détection par modèle d’IA, Réponse et proposition de remédiation | Filtrage, inspection du trafic, prévention des intrusions |
| Capacité de détection | Bonne pour les menaces connues | Excellente pour les menaces connues et inconnues | Bonne pour les menaces connues |
| Capacité de réponse | Aucune | Avancée et configurable | Avancée et configurable |
| Complexité de configuration | Simple | Complexe (notamment l’entrainement du modèle d’IA) | Modérée |
| Détection des menaces avancées | Basique | Excellente | Bonne |
| Protection des applications | Limitée | Excellente | Excellente |
| Protection des données | Limitée | Excellente | Excellente |
| Visibilité du réseau | Limitée | Excellente | Excellente |
| Analyse du trafic | Basique | Avancée | Avancée |
| Corrélation des événements | Basique | Avancée | Avancée |
| Gestion des incidents | Aucune | Automatique ou manuel | Automatique |
| Rapport | Basique | Avancée | Bonne |
| Faux positif | Elevé | Modéré à élevé | Faible |
Tableau 1 : Comparaison des enjeux techniques
Toutefois, les aspects techniques ne doivent pas négliger les enjeux fonctionnels de toutes ces solutions.
Enjeux fonctionnels des solutions
Outre les réponses techniques que peuvent apporter les solutions précédentes, leur déploiement dépend généralement de leurs fonctionnalités.
| IDS | NDR | NGFW | SIEM | |
| Type | Détection des intrusions | Détection et réponse du réseau | Pare-feu de nouvelle génération | Information et gestion des événements de sécurité |
| Coût | Modéré | Modéré à élevé | Modéré à élevé | Très élevé |
| Coût humain | Modéré | Elevé | Modéré | Elevé |
| Complexité de configuration | Modéré | Complexe (modèle IA) | Simple | Complexe |
| Fonctionnement indépendant d’une autre solution | Non | Oui | Oui | Non |
| Recommandation | Conseillé | Pour les grandes entreprises | Pour les grandes entreprises | Fortement conseillé |
| Solutions courantes* | ManageEngine Log360 Solarwinds Bro Snort Suricata | Darktrace Vectra AI Platform ExtraHop Reveal Cisco Stealthwatch | Cisco Firepower Fortinet FortiGate Palo Alto Networks | Exabeam Fusion Splunk IBM QRadar SIEM Microsoft Azure Sentinel Elastic Stack |
Tableau 2 : Comparatifs des enjeux fonctionnels
*Liste indicative et non exhaustive
Solution unique ou combinaison ? Quel est le meilleur atout pour les entreprises ?
Au vu des différentes combinaisons de solutions possibles, il peut être compliqué de définir la solution adaptée à ses besoins et contraintes budgétaires, structurelles et humaines.
Une analyse des combinaisons de solution intéressantes permet d’y trouver les forces et faiblesses de chacune.
Le SIEM uniquement
Permettant une compilation efficace des sources de logs et une remédiation à la suite d’une intervention humaine, le SIEM est l’outil le plus couramment utilisé dans les entreprises. Cependant, à cause de son coût élevé et de l’expertise qu’il requiert, il est peu recommandé d’utiliser uniquement une solution SIEM.
Par ailleurs, de plus en plus de DSI et de RSSI s’orientent vers des combinaisons de solutions, offrant différents avantages et inconvénients.
NDR et NGFW
Combiner le NDR et le NGFW, c’est associer les capacités de détection et de réponse avancées du premier aux capacités de filtrage et de prévention des intrusions du second. La sécurité globale du réseau s’en trouve alors renforcée.
En revanche, la mise en œuvre d’un NDR peut s’avérer complexe et nécessiter une expertise. De même, les NGFW ont la possibilité d’entraîner une charge de travail supplémentaire pour maintenir et ajuster les règles de filtrage.
NGFW et SIEM
L’association des capacités avancées de filtrage et de prévention des intrusions du NGFW et la gestion globale des incidents du SIEM, offrent une visibilité approfondie et une réponse proactive aux menaces à la sécurité des réseaux.
Toutefois les NGFW peuvent générer des faux positifs, et la mise en place d’un SIEM est coûteuse financièrement et humainement.
NDR et SIEM
Malgré un coût opérationnel et un besoin d’expertise élevés, allier les capacités de détection et de remédiation avancées du NDR aux fonctionnalités du SIEM permettra un renforcement significatif de la sécurité du réseau.
NGFW, NDR et SIEM
Sûrement l’arrangement le plus complet, la combinaison du NGFW, du NDR et du SIEM couvre la majorité du SI. La gestion globale des incidents du SIEM associée aux capacités de prévention, de détection et de réaction propres aux solutions, créé une défense en profondeur efficace et durable.
En contrepartie d’une couverture complète, le coût global est plus important que pour les autres, notamment à cause de la complexité de configuration et de la maintenance des interconnexions.
Conclusion
En résumé, le SIEM demeure la solution la plus fréquente et la plus efficace en termes de détection des événements. En outre, l’implémentation de solutions de type NDR ou NGFW permet la mise en place d’une réponse automatisée aux incidents. Le choix d’une solution unique ou d’une combinaison dépendra des ressources budgétaires, humaines et structurelles de l’entreprise.
Enfin, bien que la sécurité réseau soit nécessaire, elle n’est qu’un volet parmi un éventail de sujets sécurité. Il ne faut donc pas négliger ces derniers, comme la gestion des identités et des accès, ou l’IAM ; la gestion de crise, la sécurité physique, ou bien la sensibilisation aux risques cyber-sécurité.
Co-écrit par Héloïse Gouin, Jeremy Cierco et Tanguy Cherot.
Derniers articles
- Réseaux sociaux et connaissance client
- Analyse des solutions de sécurité réseau et leur complémentarité
- Bonnes pratiques de sécurité des voyages
- ISO 27001 et ISO 27002, une nouvelle version majeure pour des changements majeurs
- DEEPFAKE : Le nouveau casse-tête des méthodes d’authentification
