Skip to main content

SIEM – Security Information and Event Management

1. Définition

Le SIEM (prononcé "Sime") est l'acronyme de Security Information and Event Management, ce qui signifie Gestion des Informations et des Événements de Sécurité.

C’est une solution qui collecte, centralise, analyse, corrèle et alerte à partir de journaux (logs) provenant de diverses sources d’un système informatique, dans le but de :

  • Détecter les incidents de sécurité

  • Réagir plus rapidement aux menaces

  • Comprendre ce qui s’est passé

  • Garder une trace des événements pour audit

2. À quoi sert un SIEM ?

Un SIEM a plusieurs rôles clés dans la sécurité informatique :

  • Collecte des logs de différentes sources : pare-feux, routeurs, antivirus, serveurs, applications, etc.

  • Analyse des événements en temps réel ou en différé

  • Détection d’anomalies ou de comportements suspects

  • Corrélation d’événements pour identifier des attaques complexes

  • Génération d’alertes en cas d’incident potentiel

  • Rapports et tableaux de bord pour les équipes sécurité, la conformité, les audits

3. Composantes principales d’un SIEM

Un SIEM se compose généralement de plusieurs modules ou fonctions principales :

  1. Collecte de données
    Le SIEM reçoit des logs d’équipements, de systèmes d’exploitation, d'applications, etc.

  2. Normalisation
    Les logs sont convertis dans un format standardisé pour faciliter l’analyse.

  3. Corrélation
    Le SIEM relie plusieurs événements entre eux pour détecter des menaces plus complexes.
    Exemple : un échec de connexion suivi d’un accès réussi depuis une autre IP.

  4. Analyse en temps réel
    Le SIEM peut déclencher des alertes dès qu’un comportement suspect est détecté.

  5. Stockage et archivage
    Les logs sont conservés pour permettre une analyse post-incident et des audits.

  6. Tableaux de bord et rapports
    L’outil affiche des vues synthétiques pour les analystes SOC (Security Operations Center).

4. Exemple de scénario

Cas concret :
Un attaquant essaie de forcer un mot de passe sur un serveur (attaque par force brute).

Voici ce que fait le SIEM :

  • Il reçoit plusieurs logs indiquant des échecs de connexion rapprochés.

  • Il les corrèle (même adresse IP, même utilisateur).

  • Il génère une alerte : "Tentative de force brute détectée".

  • Un analyste peut alors bloquer l’adresse IP et investiguer plus loin.

5. Exemples de sources de logs prises en compte

Un SIEM peut analyser les événements provenant de nombreux systèmes :

  • Serveurs (Windows, Linux)

  • Firewalls

  • Switches et routeurs

  • Antivirus / antimalwares

  • Bases de données

  • Applications métiers

  • Services cloud (ex. : Azure, AWS)

6. Avantages du SIEM

  • Vision centralisée de la sécurité de l’entreprise

  • Détection avancée d’incidents (y compris attaques furtives)

  • Réduction du temps de réponse aux incidents

  • Historique complet des événements pour analyse forensique

  • Aide à la conformité réglementaire (RGPD, PCI-DSS, ISO 27001…)

7. Inconvénients / Limites

  • Coût élevé (licences, matériel, stockage, maintenance)

  • Nécessite de la configuration fine (pour éviter les faux positifs)

  • Peut générer beaucoup d’alertes à gérer (bruit inutile si mal calibré)

  • Compétences nécessaires pour l’analyse des événements

8. Outils SIEM populaires

Voici quelques exemples de solutions SIEM utilisées dans le monde professionnel :

  • Splunk : très puissant, interface moderne, utilisé dans les grandes entreprises

  • IBM QRadar : robuste et intégré avec d’autres solutions IBM

  • LogRhythm : axé sur la détection et la réponse rapide

  • ArcSight (OpenText) : ancien, très utilisé dans les grandes structures

  • Elastic SIEM : basé sur la pile Elastic (Elasticsearch, Kibana, etc.)

  • Wazuh : open source, souvent utilisé pour des projets plus petits

9. Différence entre SIEM et SOC

  • Le SIEM est l’outil.

  • Le SOC (Security Operations Center) est l’équipe qui surveille et réagit aux incidents de sécurité, souvent en utilisant un SIEM.

10. Résumé

Un SIEM est un système essentiel pour :

  • Centraliser les données de sécurité

  • Détecter les menaces

  • Gérer les incidents

  • Répondre aux exigences légales et réglementaires

Mais son efficacité dépend de sa bonne configuration, de la qualité des données collectées et de l’expertise humaine derrière son utilisation.

Back to top