La surveillance
Il faut distinguer dans la surveillance :
- La supervision
- Le SIEM
La Supervision
La supervision est un outil de monitoring qui surveille en continu la disponibilité, les performances et l’intégrité des éléments du système d’information. Son rôle est de s’assurer du bon fonctionnement des infrastructures et services IT.
Fonctionnalités principales du superviseur IT :
- Surveillance de la disponibilité des équipements
- Monitoring des performances et de la charge
- Alertes sur les seuils critiques
- Cartographie du réseau
- Gestion des capacités
Quand privilégier une Supervision
- Gestion des services critiques : Pour les services dont la disponibilité est cruciale (sites e-commerce, applications métier), le superviseur IT assure une surveillance continue.
- Optimisation des performances : Lorsque les performances des applications et services deviennent prioritaires, le superviseur IT fournit les métriques nécessaires.
- Planification des capacités : Anticipez les besoins en ressources et évitez les saturation grâce aux données historiques collectées par le superviseur IT.
SIEM
Un SIEM (Security Information and Event Management) est une solution de sécurité qui collecte, analyse et corrèle en temps réel les événements de sécurité provenant de l’ensemble du système d’information. Son objectif principal est la détection des menaces et la réponse aux incidents de sécurité.
Fonctionnement :
- Collecte des logs de sécurité depuis toutes les sources
- Analyse et corrélation des événements
- Détection des comportements anormaux
- Génération d’alertes de sécurité
- Conservation des données pour investigation
Quand privilégier une SIEM
- Conformité réglementaire : Les organisations soumises à des exigences de conformité (RGPD, PCI DSS, HIPAA) trouveront dans le SIEM un allié précieux pour générer les rapports d’audit requis.
- Détection de menaces avancées : Face aux cybermenaces sophistiquées, le SIEM excelle dans la détection des comportements suspects et des attaques coordonnées.
- Investigation forensique : Lors d’un incident de sécurité, le SIEM permet de retracer les actions de l’attaquant et d’estimer l’impact de la compromission.
