Définition d’un SIEM

Le SIEM (Security Information and Event Management) est une solution qui permet de surveiller, détecter et d’alerter sur les événements, incidents de sécurité ou menaces dans un environnement IT. C’est l’outil principal du SOC (Security Operation Center) avec le SOAR (Security Orchestration, Automation and Response) en complémentarité pour de la réponse à incident. 

Le SIEM enregistre les logs et les analyse afin de surveiller en temps réel la conformité des événements informatiques avec un process préalablement établi. Il va également consigner les données de sécurité et générer des rapports. Enfin, il assure la surveillance globale de l’infrastructure d’une entreprise sur les différents systèmes, applications qu’elles soient cloud ou on-premise. 

Pour résumer, il permet à l’entreprise de centraliser toutes les informations de sécurité en un seul outil. Les données collectées auprès des logiciels antivirus, des pare-feux, des serveurs, des protections anti intrusion ou encore des systèmes d’exploitation seront analysées dans un même outil, ne laissant pas place au hasard. 

Comment fonctionne un SIEM (Security Information and Event Management)  ?

Le système SIEM va agréger des données pertinentes, de plusieurs sources différentes (réseau, cloud, applications, infrastructure, etc) pour ensuite identifier les écarts possibles par rapport à la moyenne / norme, afin de prendre les actions appropriées contre les menaces. 

En fait, un « Security Information and Event Management » fonctionne comme une mémoire des évènements de sécurité. Il a plusieurs fonctions principales :

  • La collecte des évènements : La majorité d’entre eux fonctionne en déployant une multitude d’agents de collecte de manière hiérarchique.  Ces agents collectent alors des événements liés à la sécurité sur les appareils des utilisateurs, les serveurs, les équipements réseaux, le cloud, voire les équipements spécialisés de sécurité, tels que les pare-feux, ou encore les systèmes antivirus et anti-intrusions.
  • La normalisation des évènements : Il conserve des logs bruts pour valeur juridique puis enregistre ces logs dans un format interprétable.
  • Le stockage et l’archivage des évènements en fonction de leur nature.
  • La corrélation des informations recueillies : il va mettre en place des règles de corrélation qui vont alerter le SOC  sur un incident en cours. Cela permettra d’identifier les causes d’un évènement a posteriori. 
  • Le reporting : il prend en charge le reporting de conformité et des alertes. Il simplifie ce reporting grâce à des tableaux de bord permettant de consigner et classer les informations d'évènements, mais aussi de surveiller l'accès des utilisateurs privilégiés. Ces fonctionnalités s’avèrent essentielles dans la mesure où la plupart des règlementations exigent un certain degré de compilation et de normalisation des logs.

Pourquoi un SIEM ?

Avec moins de 20% de violations détectées en interne selon le Gartner, la rapidité des temps de détection et de remédiation s’impose comme un enjeu fondamental pour les entreprises. Il faut pouvoir se défendre contre des cybermenaces de plus en plus avancées.

De plus, les entreprises manquent de ressources qualifiées et les analystes sont surchargés. Les solutions SIEM permettent de répondre rapidement et précisément aux incidents de sécurité. Elles facilitent donc le travail des analystes en sécurité et les rend plus efficaces et précis dans leurs investigations en leur offrant des capacités de collecte, de classification, de détection, de corrélation et d’analyse centralisée. Si un SOC n’utilise pas de SIEM, l’équipe devra manuellement parcourir des millions de données non comparables et cloisonnées pour chaque application et source de sécurité, action très chronophage.

Quels sont les avantages à utiliser un SOC ?

Les éditeurs de SIEM ont créé leurs solutions avec des fonctionnalités multiples qui facilitent la gestion des évènements et incidents de sécurité : collecte, agrégation, normalisation, archivage ou encore reporting. Le déploiement d’un SIEM performant dans son entreprise est sans conteste un choix stratégique aux bénéfices multiples. L’outil doit pouvoir traiter les volumes actuels de données (systèmes, applications cloud ou on-premise), gérer la sophistication des attaques actuelles et déclencher des réponses intelligentes aux incidents ou menaces, ce en temps réel.


Avant de choisir la bonne solution SIEM pour votre entreprise, demandez-vous :

  • Quel est votre objectif et votre besoin
  • Quelle quantité et quel type de données seront à votre disposition dans le système ?
  • De quel niveau d’expertise interne vous disposez (SOC), et si vous avez la possibilité de former du personnel IT ou de sécurité pour implémenter et administrer le SIEM.
  • Votre entreprise est-elle en pleine croissance ?  
  • Quelle est l’envergure de votre réseau ? (nombre de sites distants, degré de mobilité de vos utilisateurs…).
  • Vos obligations de conformité.
  • Votre budget.

Puis comparez les diverses solutions en fonction des réponses à ces questions. Il vous faudra maîtriser de bonnes connaissances techniques afin de choisir la plus adaptée à votre besoin. 

Quel SIEM choisir ?

Blue a choisi de s’appuyer sur la puissance de la solution QRADAR développée par IBM pour accompagner ses clients. La solution de détection et de réponse la plus ouverte et la plus complète du secteur, qui élimine les menaces avancées plus rapidement. Elle dispose notamment de plusieurs avantages dont : 

  • Une visibilité globale : bénéficiez d'une analyse centralisée des journaux, des flux et des événements au sein des environnements.
  • Haute efficacité : éliminez les processus de suivi manuel pour vous concentrer sur l'examen et la réponse.
  • Détection des menaces en temps réel : analysez automatiquement les journaux et les flux pour générer des alertes hiérarchisées.
  • Conformité rationalisée : utilisez des rapports et des modèles préconfigurés pour accélérer la conformité interne et externe.

Quel est le rôle du SIEM dans le SOC (centre des opérations de sécurité) ? 

Le rôle du « Security Information and Event Management » (SIEM) est de fournir aux analystes du SOC (centre des opérations de sécurité) une surveillance globale de l’infrastructure des entreprises et des renseignements consolidés provenant de l'analyse des données d'événements trop volumineux pour une étude manuelle. L'analyse par un SIEM des données machine et des fichiers de log peut mettre au jour des activités malveillantes et remonter des informations, afin d'améliorer considérablement les délais de réponse aux attaques. 

Le SOC de Blue, via l’utilisation du SIEM IBM QRadar, est chargé de surveiller en permanence les journaux et les alertes, d’effectuer des examens réguliers et d’extraire des rapports pertinents. L’objectif de Blue est d’accompagner la sécurité informatique de ses clients en s’appuyant sur des plateformes de dernière génération alliées à des équipes de spécialistes certifiés. 

Contactez-nous par mail
+33 (0)2 30 30 00 00 Afficher le numéro