La XRD peut-elle remplacer les SIEM dans les SOC ?

L'acquisition de Splunk par Cisco pour 28 milliards $ en 2023 a mis un coup de projecteur sur une brique indispensable aux SOC de toutes les grandes entreprises : le SIEM (système de gestion des événements et des informations de sécurité). La solution collecte et centralise les logs du système d'information et permet aux analystes de traiter les incidents de sécurité.

Technologie mature, le SIEM est aujourd'hui arrivé à son plateau de développement. IBM a vendu sa solution QRadar à Palo Alto Networks, Logpoint a été repris par un fonds, et LogRhythm et Exabeam sont en cours de fusion.

La XDR monte en puissance dans les SOC

Avec une croissance de 20 à 38 % par an selon les analystes, la XDR (détection et réponse étendues) s'impose dans les centres d'opérations de sécurité (SOC). Pour autant, cette nouvelle approche en temps réel peut-elle remplacer son ainée ? Rien n'est moins sûr.

Flavien Vivier, Senior Solutions Engineer France chez SentinelOne souligne que beaucoup d'entreprises sont encore en phase d'observation et évaluent encore le rôle que peut avoir la XDR par rapport au SIEM : « L'énorme inconvénient du SIEM reste son coût et le fait qu'il s'agit d'une boîte vide qu'il faut personnaliser avec des compétences internes. »

À l'inverse, il estime que les solutions EDR (détection et réponse des terminaux) déjà en place accumulent déjà des volumes de données importants pour constituer des règles de protection et facilitent ce passage vers la XDR. « La XDR est une évolution naturelle de l'EDR et nous poussons pour la démocratiser en apportant plus de sources. Il faut être capable de répondre à des questions pour établir le début de l'attaque, ses cibles, mais aussi sur les autres signaux détectés par les endpoints qui auraient dû mettre en garde l'entreprise. »

XDR et SIEM sont complémentaires

Matthias Maier, EMEA Cybersecurity Market Advisor chez Splunk ajoute : « Les solutions XDR et SIEM sont tout à fait complémentaires. À première vue, les solutions XDR intègrent plusieurs fonctionnalités de type TDIR (détection des menaces et réponse aux incidents), en particulier en matière de détection et de réponse (qui est le point fort d'une solution XDR). Les solutions XDR et SIEM sont très complémentaires pour les grandes organisations dotées d'un SOC mature, car elles peuvent aider à établir une approche plus efficace et stratifiée pour renforcer la posture de cybersécurité.»

Luis Delabarre, Group SOC Director chez Nomios, (un opérateur de SOC managés), estime que du point de vue technologique, l'idéal est de combiner SIEM et XDR : « La XDR permettra d'apporter ses capacités de détection en temps réel, faire ce que l'on appelle du "data stitching" et corréler différentes sources d'information. Disposer d'un SIEM à côté permettra de faire de la traque de menaces sur du temps long. Les deux approches vont converger et c'est notamment ce que fera j'imagine Cisco avec le rachat de Splunk. »

Sur la convergence en cours chez les éditeurs, Freddy Milesi, fondateur et PDG de Sekoia est plus tranché : « Dans ce débat entre XDR et SIEM, notre approche a été de plateformiser et transformer la XDR en simple cas d'usage. Nous mettons à disposition des cas d'usage qui étaient jusqu'à présent portés par les SIEM comme l'investigation, le machine learning, le reporting et l'automatisation des processus répétitifs. Les technologies SIEM ne sont pas conçues pour répondre à une alerte dans un délai restreint comme l'imposent les nouvelles réglementations. En cela, les SIEM vont devenir caduques. »

Selon lui, toutes les fusions/acquisitions que connaissent aujourd'hui les éditeurs de SIEM « legacy » ne sont que la preuve de la fin d'un monde. Une divergence de vues entre les anciens et les modernes.

DR

Regional Vice President EMEA South de Cybereaseon

Vincent Peulvey / Regional Vice President EMEA South de Cybereaseon « Considérer l'XDR en remplacement du SIEM est une hérésie. Le XDR est une brique complémentaire absolument nécessaire à un SOC moderne, mais il s'agit beaucoup plus d'un complément au SIEM Next Gen. Ces solutions ne travaillent pas sur les mêmes données, les analyses sont différentes. On ne peut tout détecter à partir de l'analyse des journaux, et il faut mener un énorme travail avant qu'un SIEM ne soit efficient. Par contre, pour l'analytique et la conformité, on a encore absolument besoin d'un SIEM. »

DR

Group SOC director chez Nomios

Luis Delabarre, Group SOC director chez Nomios « Le XDR est une technologie qui est orientée temps réel. Il ne met pas en oeuvre un Data Lake comme le SIEM, mais une base de données, avec une interrogation des tables en SQL. Cela permet une détection en temps réel et pas un stockage long. Vouloir conserver une année de données sur un XDR va être très couteux et chercher à faire du Threat Hunting sur ces données sera très difficile. Avec un SIEM, on dispose de capacités de stockage sur le temps long et de technologies de Data Lake capables de traiter des données structurées, non structurées ou semi-structurées. Conserver une année de données sur un Chronicle ou un Splunk n'est absolument pas un problème, et cela permet de créer des requêtes très complexes et de faire du Threat Hunting sans contrainte. »

DR

Matthias Maier, EMEA Cybersecurity Market Advisor chez Splunk « Une solution XDR complète un SOC avec une télémétrie « high-fidelity », car elle accélère les investigations et la réponse en pré-analysant une télémétrie spécifique qui n'est pas envoyée au SIEM. Certains de nos clients ont déjà intégré leur solution XDR à Splunk. XDR aide à éliminer certains des problèmes auxquels les analystes de bruit (noise analysts) sont souvent confrontés et Splunk donne aux équipes la capacité de traiter les scénarios d'utilisation au-delà du terminal. C'est une situation gagnant-gagnant. »