Synetis continue sa participation aux groupes de travail Splunk, nous étions présents lors de la 4ème session ayant pour thème principal la revue des accès et des habilitations à travers l’outil Splunk. Les échanges ont été encore une fois très enrichissants pour les membres du groupe permettant d’appréhender l’outil à travers trois présentations.
Les présentations nous ont permis d’appréhender les éléments suivants de l’outil SIEM Splunk :
- Mise en place technique et fonctionnelle de Splunk dans un contexte de gestion des accès et des habilitations
- Réflexion et business case autour de l’apport de Splunk appliqué au domaine de la finance
- Exemple d’implication de l’outil Splunk dans une démarche DevOps
Ces différentes présentations nous ont permis de déceler et mettre en avant les changements fondamentaux apportés par les outils SIEM tel que Splunk. Dans un contexte de rupture technologique, où les outils historiques (type progiciel, outils clients lourds) sont un frein de par leur complexité pour créer ou générer des indicateurs (qu’ils soient métiers, opérationnels ou techniques), les nouveaux outils SIEM permettent de répondre à ces demandes dans des délais réduit en comparaison aux complexes outils BI.
Les problématiques de big data ont augmenté de manière exponentielle ces dernières années, dû à l’ouverture des SI entre autres, ce qui pose un problème important pour les différents RSSI qui sont souvent non suffisamment équipé pour analyser ces données. Ces problèmes se posent évidemment d’un côté DSI, mais également côté métier et notamment dans le domaine de la finance, où les différentes réglementations obligent parfois de produire des indicateurs noyés dans une masse d’information conséquente.
L’agrégation des données business et technique dans un seul et même outil SIEM permet de répondre de manière transverse et faire tomber le mur bien trop souvent érigé entre les équipes métiers et les équipes techniques. Le business case sur le domaine de la finance nous a permis de débattre sur le changement de modèle économique de la DSI qu’implique un outil de ce type, permettant de produire des indicateurs transverses rapprochant les équipes en un temps record (la production rapide d’indicateurs une fois l’outil en place est également un élément de changement important dans des domaines habitués à une inertie et une résistance au changement importante).
Splunk est un outil novateur de SIEM et répond à ces problématiques, les équipes Synetis, fort de plusieurs implémentations réussies sont disponibles pour tout conseils et renseignements sur Splunk. Nous serons également présents aux prochains groupes de travail Splunk… l’année prochaine !
Vincent
Consultant Sécurité