01 - Introduction aux SIEM
Info
Introduction conceptuelle et contextuelle aux systèmes SIEM
🧾 Définition
Les SIEM (Security Information and Event Management) sont des plateformes de supervision centralisée de la sécurité, qui collectent, analysent et corrèlent les événements issus de diverses sources (logs systèmes, sécurité, réseau, applications…) afin de détecter, alerter et investiguer les incidents.
🧠 Objectifs principaux
- Centraliser les journaux et événements de sécurité
- Identifier des comportements anormaux ou malveillants
- Faciliter l’investigation d’incidents (forensic, timeline)
- Répondre aux exigences de conformité (RGPD, ISO 27001, PCI-DSS…)
🧠 Historique & Évolution
- Années 2000 : apparition du terme SIEM par Gartner
- SIEM classiques : gestion des journaux + alertes simples
- SIEM nouvelle génération : intégration d’UEBA, SOAR, Threat Intel, Cloud, automatisation, Big Data
🧰 Pourquoi les SIEM sont-ils devenus incontournables ?
Warning
68 % des failles prennent plusieurs mois à être détectées, alors qu’elles compromettent les données en quelques minutes (Verizon DBIR)
- Augmentation du volume de données (IoT, cloud, SaaS…)
- Attaques multi-vecteurs nécessitant une corrélation inter-source
- Nécessité de réduire le temps de détection (MTTD) et de réponse (MTTR)
🔍 Terminologies liées
- SIM (Security Information Management)
- SEM (Security Event Management)
- SIEM = SIM + SEM