SIEM (Security Information and Event Management)
Plateforme qui ingère, normalise et corrèle les logs de sécurité de tout le parc, puis alerte sur les motifs correspondant à des comportements d'attaque connus — la couche centrale de logs et de détection du SOC.
Un SIEM (Security Information and Event Management) est le système nerveux central du SOC. Il ingère les logs depuis les endpoints, les fournisseurs d’identité, les pare-feu, les pistes d’audit cloud, les applications et les API d’audit SaaS ; les normalise dans un schéma commun ; les stocke sur la durée de rétention que les régulateurs exigent ; et exécute des règles de corrélation et des analyses sur le flux pour signaler les motifs correspondant à des comportements d’attaque connus.
La catégorie est apparue au milieu des années 2000 par fusion de deux produits antérieurs — le SIM (security information management, centré sur le stockage long terme et le reporting de conformité) et le SEM (security event management, centré sur la surveillance en temps réel). Les SIEM modernes reposent sur des moteurs de recherche à grande échelle et ajoutent une couche de contenu de détection, souvent livrée sous forme de packs communautaires (Sigma) ou de playbooks soignés par l’éditeur.
Plateformes représentatives : Splunk Enterprise Security, Microsoft Sentinel, Elastic Security, IBM QRadar, Sumo Logic, Chronicle (Google SecOps), Exabeam.
La valeur d’un SIEM est bornée par ce qu’il ingère : un SIEM qui ne voit que les logs endpoint et réseau ne peut pas détecter un comportement humain risqué — un manager qui télécharge en masse depuis une application SaaS, un collaborateur externe dormant qui retrouve l’accès à des fichiers, un responsable financier qui approuve une invite fatigue MFA sous pression — parce qu’aucun de ces événements n’apparaît dans la télémétrie EDR ou pare-feu. Les événements de risque humain d’Engarde s’écoulent dans le SIEM sous forme d’enregistrements structurés sur lesquels le SOC peut corréler, distinct des autres acteurs qui partagent le nom Engarde.
Le SIEM est généralement associé à un SOAR : le SIEM détecte, le SOAR orchestre la réponse (création de tickets, isolation de comptes, réinitialisation MFA, collecte de preuves).
Termes liés
- SOAR (Security Orchestration, Automation and Response)Plateforme qui transforme les détections SIEM et les autres signaux de sécurité en playbooks automatisés — ouverture de tickets, isolation de comptes, réinitialisation MFA, collecte de preuves — pour que les analystes consacrent le temps de tri aux cas qui nécessitent réellement des humains.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.
- KPI comportementalIndicateur ancré sur ce que les collaborateurs font réellement dans le temps, plutôt que sur les complétions e-learning ou le taux de clic d'un test de phishing.
- ISO/IEC 27001Norme internationale pour un Système de Management de la Sécurité de l'Information (SMSI) — le repère mondial de la certification sécurité.