Qu’est-ce qu’un SIEM ?

Qu’est-ce qu’un SIEM ?

Temps de lecture : 5 mn

Les acronymes SEM, SIM et SIEM ont parfois été utilisés de manière interchangeable. SEM, gestion des évènements de sécurité, s’occupe de la surveillance en temps réél, de la corrélation des événements, des notifications et des vues de la console. SIM, gestion des informations de sécurité, assure le stockage à long terme ainsi que l'analyse, la manipulation et la communication des données des logs et des enregistrements de sécurité du type rassemblé par le logiciel SEM.

Les entreprises se tournent vers les grandes plates-formes de données, comme Apache Hadoop, pour compléter les capacités SIEM en étendant la capacité de stockage de données et la flexibilité analytique. La nécessité d'une visibilité centrée sur la voix ou vSIEM (information de sécurité vocale et gestion d'événements) fournit un exemple récent de cette évolution.

Depuis l’invention du terme SIEM en 2005 par Mark Nicolett et Amrit Williams de Gartner, il désigne :

• les capacités de collecte, d'analyse et de présentation de l'information provenant du réseau et des dispositifs de sécurité.
• les applications de gestion des identités et des accès
• les outils de gestion des vulnérabilités et de conformité aux politiques
• le système d'exploitation, la base de données et les journaux d'application
• les données sur les menaces externes

Les fournisseurs vendent du SIEM sous forme de logiciels, d'appareils ou de services gérés ; ces produits sont également utilisés pour consigner les données de sécurité et générer des rapports à des fins de conformité. Aujourd’hui, les fournisseurs de logiciels de gestion des informations de sécurité et des événements (SIEM) introduisent l'apprentissage machine, l'analyse statistique avancée et d'autres méthodes d'analyse dans leurs produits.

Comment fonctionne le logiciel SIEM dans une entreprise ?

Le logiciel SIEM recueille et agrège les données générées dans toute l'infrastructure technologique de l'organisation, depuis les systèmes hôtes et les applications jusqu'au réseau et aux dispositifs de sécurité tels que les pare-feux et les filtres antivirus.

Le logiciel SIEM identifie et catégorise les incidents et les événements, et les analyse. SIEM répond à deux objectifs principaux :

• fournir des rapports sur les incidents et événements liés à la sécurité, tels que les connexions réussies ou non, les activités malveillantes et autres activités malveillantes possibles
• envoyer des alertes si l'analyse montre qu'une activité va à l'encontre des règles prédéterminées -et indique donc un problème de sécurité potentiel.

L'un des principaux moteurs de l'utilisation du logiciel SIEM pour les opérations de sécurité (SOC) réside dans les nouvelles capacités contenues dans de nombreux produits sur le marché. En effet, la société de recherche technologique Gartner dans son rapport sur le marché mondial du SIEM fait appel à l'intelligence des outils SIEM, affirmant que " l'innovation sur le marché du SIEM évolue à un rythme passionnant pour créer un meilleur outil de détection des menaces ».

Le rapport Gartner note en outre que les fournisseurs introduisent le machine learning, l'analyse statistique avancée et d'autres méthodes d'analyse dans leurs produits, tandis que certains expérimentent également l'intelligence artificielle et les capacités du Deep learning.