Catégorie outil
SIEM : Security Information and Event Management
Un SIEM (Security Information and Event Management) est une technologie de cybersécurité qui combine la gestion des informations de sécurité (SIM) et la gestion des événements de sécurité (SEM) pour permettre l'analyse en temps réel des alertes de sécurité générées par les applications et équipements réseau. Ces solutions collectent, agrègent et analysent de grands volumes de données provenant d'applications, équipements, serveurs et utilisateurs à l'échelle de l'organisation, en consolidant ces données dans une plateforme unique qui offre une vue globale de la posture de sécurité.
Détails et contexte
Le terme « SIEM » a été introduit en 2005 par les analystes de Gartner. Le SIEM repose sur quatre composantes principales : la gestion des journaux (collecte et stockage centralisés des logs), la corrélation d'événements (analyse de patterns entre sources multiples), la surveillance continue et la réponse aux incidents. Les systèmes SIEM collectent et analysent les logs provenant de serveurs, équipements réseau, pare-feu, autres solutions de sécurité et applications cloud. L'objectif est de détecter les anomalies qui pourraient indiquer une menace.
Les systèmes SIEM sont au cœur des centres opérationnels de sécurité (SOC), où ils sont utilisés pour détecter, investiguer et répondre aux incidents de sécurité. Les SIEM modernes intègrent désormais des capacités d'intelligence artificielle et de machine learning pour améliorer l'efficacité de détection. Un système SIEM aide aussi les organisations à respecter les exigences de conformité réglementaire en générant automatiquement des rapports incluant tous les événements de sécurité journalisés.
Lien avec NIS2
La directive NIS2 impose aux entités essentielles d'utiliser un outil d'évaluation continue des événements de cybersécurité, incluant la collecte, la recherche et la corrélation d'informations pour détecter et évaluer les incidents. Le SIEM permet la corrélation de données et d'événements ainsi que l'analyse d'incidents, en détectant les anomalies et activités suspectes, en alertant les équipes de sécurité et en évaluant les risques potentiels.
Concrètement, le SIEM répond aux exigences de l'Article 21 §2 de la directive concernant les mesures techniques de gestion des risques cyber : traitement et divulgation des vulnérabilités, évaluation de l'efficacité des mesures, gestion des actifs. Les outils de gestion des logs et SIEM facilitent la conformité NIS2, notamment l'obligation de conserver les informations sur les événements, de les signaler et de les préserver pour les audits auxquels les entités régulées seront soumises.