Euriware scrute les solutions de supervision de la sécurité

lundi 01 septembre 2008

La filiale services informatique d'Areva a mené au premier trimestre 2008 une étude comparative de 12 solutions de supervision de la sécurité : Arcsight (ESM), SCC (Computer Associates), SMS (Exaprotect), TSIM/TSOM (IBM), Security Manager (Intellitactics), Foundstone (McAfee), Security Manager (NetIQ), Monitoring Center (Netreport), OSSIM, enVision (RSA), Defense Center (SourceFire) et SIM (Symantec).

Chaque solution a été analysée selon 15 critères déclinés en 220 questions. Les critères permettant d´évaluer les solutions étaient les suivants : suivi des évènements réseau et des logs, corrélation, supervision, gestion des vulnérabilités / des incidents / des demandes / des alarmes, reporting, gestion des assets / des politiques de sécurité / des connaissances, analyse post-incident, exploitabilité, maintenabilité, support, pérennité et évolutivité, sécurité de la solution, coût financier et humain
L´étude souligne tout d´abord la grande diversité des profils des acteurs (SSII, éditeurs spécialistes, éditeurs Open Source) dont la présence en France est très inégale (certains ont simplement ouvert un bureau, d´autres y disposent d´équipes d´avant-vente voire de support technique).
Euriware souligne « la contribution active de l´Open Source au marché de la supervision de la sécurité, même si la mise en oeuvre de ce type de technologie requiert des compétences en intégration de systèmes pointues et spécifiques ».

L´étude montre que la différence entre les 12 solutions étudiées se fait principalement sur quatre points la latitude qu´elles offrent au niveau du paramétrage et de la personnalisation de l´application, en particulier en matière de gestion des équipements et des vulnérabilités, la richesse en matière de reporting, de tableaux de bord et de respect de la conformité aux politiques de sécurité, la qualité du moteur de corrélation qu´elles embarquent, et enfin le périmètre des équipements qu´elles couvrent.
Parmi les solutions analysées, « six se distinguent par leurs fonctions avancées de génération d´alertes et surtout leur capacité à cloisonner les données au niveau des serveurs - ce qui est essentiel pour les déploiements dans les grands groupes industriels ainsi que chez les fournisseurs de services d´infogérance en sécurité qui ont besoin de gérer plusieurs environnements ».
Enfin, l´étude révèle la grande diversité des choix d´architecture technique des produits :

certaines solutions ont une architecture centralisée et d´autres une architecture distribuée, des logiciels côtoient des "appliances" et le stockage est effectué tantôt dans des bases de données, tantôt sous forme de fichiers plats.

Selon cette étude montre que « ce type d´outils concourt à donner une vision globale de la sécurité et de son évolution au quotidien, non seulement sur le plan technique mais aussi et surtout sur un plan métier. Ces outils sont également précieux pour veiller au respect des politiques de sécurité et répondre aux nombreux audits de conformité (Sarbanes Oxley, PCI, ISO27001, SAS70...). »

Pour Etienne Busnel, directeur de l´offre sécurité d´Euriware : « Il est important de travailler d´une part sur l´organisation, les processus et les services à même de répondre aux besoins de sécurité des clients, et d´autre part, il faut pouvoir générer les bonnes informations pour alimenter le système. À ce titre, les outils de gestion des vulnérabilités, d´analyse de flux réseau ou applicatifs, de système de protection contre la fuite de données sont des compléments à envisager.»