Qu'est-ce qu'un SIEM ?
Un systeme SIEM (Security Information and Event Management) est le systeme nerveux central des operations de securite d'une organisation. Il collecte les donnees de journaux de l'ensemble du patrimoine technologique, les normalise dans un format commun, correle les evenements pour detecter les menaces et fournit la piste d'audit exigee par les referentiels de conformite.
Les SIEM modernes ont evolue de simples agregateurs de journaux vers des plateformes intelligentes qui combinent detection des menaces en temps reel, reponse automatisee, threat hunting et reporting de conformite.
Capacites principales du SIEM
| Capacite | Fonction | Valeur pour la conformite |
|---|
| Collecte de journaux | Ingestion des journaux de tous les systemes informatiques via agents, syslog, API | Piste d'audit centralisee |
| Normalisation | Conversion des formats de journaux divers en un schema commun | Analyse et reporting coherents |
| Correlation | Rapprochement des evenements entre sources pour detecter les schemas d'attaque | Preuves de detection des menaces |
| Alertes | Notification des analystes lors de menaces et anomalies detectees | Preuves de detection des incidents |
| Tableaux de bord | Visibilite en temps reel sur la posture de securite | Reporting de gestion |
| Investigation | Recherche et analyse approfondie des evenements historiques pour la forensique | Preuves de reponse aux incidents |
| Reporting | Generation de rapports de conformite et operationnels | Dossiers de preuves pour l'audit |
| Conservation | Stockage des journaux pour les periodes de conservation requises | Conformite reglementaire |
Architecture SIEM
| Composant | Objectif | Considerations cles |
|---|
| Collecteurs/agents de journaux | Recueillir les journaux des systemes sources | Agent vs sans agent, impact sur la bande passante |
| Transport des journaux | Transmettre les journaux de maniere securisee au SIEM | Chiffrement en transit, fiabilite |
| Moteur d'analyse syntaxique | Normaliser les formats de journaux divers | Effort de developpement de parseurs personnalises |
| Moteur de correlation | Appliquer la logique de detection aux evenements normalises | Complexite des regles, performance |
| Couche de stockage | Conserver les journaux pour la recherche et la conformite | Niveaux chaud/tiede/froid, optimisation des couts |
| Moteur d'analyse | Detection d'anomalies par ML, UEBA | Exigences en donnees d'entrainement |
| Couche de reponse | Integration SOAR pour la reponse automatisee | Effort de developpement des playbooks |
| Couche de presentation | Tableaux de bord, rapports, outils d'investigation | Efficacite du workflow des analystes |
Sources de journaux essentielles
| Categorie de source | Exemples | Valeur de detection |
|---|
| Identite et acces | Active Directory, Entra ID, Okta, fournisseurs SSO | Compromission de compte, escalade de privileges |
| Endpoints | Alertes EDR, journaux d'evenements Windows, syslog | Malware, mouvement lateral, exfiltration de donnees |
| Reseau | Pare-feu, IDS/IPS, DNS, proxy, VPN | Command and control, exfiltration de donnees |
| Plateformes cloud | AWS CloudTrail, Azure Activity Log, GCP Audit Logs | Erreurs de configuration, acces non autorises |
| Applications | Serveurs web, bases de donnees, applications personnalisees | Attaques au niveau applicatif, acces aux donnees |
| E-mail | Passerelle de messagerie, Microsoft 365/Google Workspace | Phishing, compromission de messagerie professionnelle |
| Outils de securite | Scanners de vulnerabilites, DLP, WAF, CASB | Enrichissement et contexte de correlation |
Ingenierie de detection
Couverture MITRE ATT&CK
| Tactique | Detections prioritaires | Sources de journaux requises |
|---|
| Acces initial | Clics sur liens de phishing, tentatives d'exploitation | Passerelle e-mail, WAF, EDR |
| Execution | Creation de processus suspects, execution de scripts | EDR, journaux d'evenements Windows |
| Persistance | Nouvelles taches planifiees, modifications du registre, nouveaux comptes | EDR, Active Directory |
| Escalade de privileges | Modifications de groupes admin, manipulation de tokens | Active Directory, EDR |
| Evasion de defense | Effacement de journaux, alteration des outils de securite | Auto-surveillance SIEM, EDR |
| Acces aux identifiants | Force brute, password spraying, dumping d'identifiants | Active Directory, VPN, SSO |
| Mouvement lateral | Trafic RDP, SMB inhabituel, abus de comptes de service | Reseau, Active Directory, EDR |
| Exfiltration | Transferts de donnees volumineux, destinations inhabituelles | Reseau, proxy, DLP |
Types de regles de detection
| Type de regle | Methode | Cas d'usage |
|---|
| Base sur les signatures | Correspondance de patterns connus (IOC, hash, IP) | Menaces connues, threat intelligence |
| Base sur les seuils | Alerte lorsque le nombre d'evenements depasse la reference | Force brute, DDoS, scan |
| Correlation | Rapprochement d'evenements entre sources multiples et fenetres temporelles | Attaques multi-etapes, mouvement lateral |
| Base sur les anomalies | ML detectant les ecarts par rapport aux references etablies | Menaces internes, attaques inedites |
| Comportemental (UEBA) | Analyse du comportement des utilisateurs et des entites | Compromission de compte, abus de privileges |
SIEM vs SOAR vs XDR
| Capacite | SIEM | SOAR | XDR |
|---|
| Collecte et stockage des journaux | Fonction principale | Non | Limitee |
| Detection des menaces | Regles de correlation, analyses | Non (consomme les alertes SIEM) | Detection integree |
| Reponse automatisee | Basique (e-mail, ticket) | Fonction principale (playbooks) | Actions de reponse integrees |
| Reporting de conformite | Fonction principale | Non | Limite |
| Investigation | Recherche de journaux et forensique | Gestion des cas | Investigation guidee |
| Perimetre | Toutes les sources de journaux | Workflows de reponse aux alertes | Endpoints, reseau, cloud, e-mail |
| Ideal pour | Conformite + detection + conservation | Automatisation de la reponse | Detection et reponse unifiees |
Exigences de conservation des journaux
| Referentiel | Conservation minimale | Notes |
|---|
| ISO 27001 | Definie par l'organisation | A.8.15 exige une politique de journalisation avec conservation definie |
| SOC 2 | 1 an | CC7.2 — suffisante pour supporter l'investigation |
| NIS2 | Non explicitement specifiee | Doit supporter l'investigation des incidents (Article 23) |
| DORA | 5 ans | Enregistrements d'incidents lies aux TIC (Article 17) |
| PCI DSS | 1 an (3 mois chaud) | Exigence 10.7 — immediatement disponible pour l'analyse |
| RGPD | Limitee a la finalite | Equilibrer la surveillance de securite avec la minimisation des donnees |
Exigences de conformite
Correspondance avec les referentiels
| Exigence | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|
| Journalisation centralisee | A.8.15 | CC7.2 | Art. 21(2)(b) | Art. 10 |
| Surveillance de securite | A.8.16 | CC7.2 | Art. 21(2)(b) | Art. 10 |
| Detection des incidents | A.5.25 | CC7.3 | Art. 21(2)(b) | Art. 10 |
| Protection des journaux | A.8.15 | CC7.2 | Art. 21(2)(d) | Art. 10 |
| Synchronisation horaire | A.8.17 | CC7.2 | Art. 21(2)(d) | Art. 10 |
| Piste d'audit | A.8.15 | CC7.2 | Art. 23 | Art. 17 |
| Reporting a la direction | A.5.25 | CC7.3 | Art. 20 | Art. 13 |
Preuves d'audit
| Type de preuve | Description | Referentiel |
|---|
| Documentation de deploiement SIEM | Architecture, sources de journaux, couverture | Tous les referentiels |
| Inventaire des sources de journaux | Tous les systemes envoyant des journaux avec leur statut | ISO 27001, SOC 2 |
| Catalogue des regles de detection | Regles documentees mappees aux menaces | ISO 27001, NIS2, DORA |
| Procedures de reponse aux alertes | Procedures operationnelles standard pour chaque type d'alerte | Tous les referentiels |
| Metriques MTTD/MTTR | Temps de detection et de reponse mensuels | SOC 2, NIS2, DORA |
| Configuration de conservation des journaux | Politiques de conservation et verification | Tous les referentiels |
| Rapports d'investigation d'incidents | Dossiers d'investigation completes | NIS2, DORA |
| Surveillance de sante du SIEM | Disponibilite, taux d'ingestion, utilisation du stockage | ISO 27001, SOC 2 |
Modeles de deploiement SIEM
| Modele | Avantages | Inconvenients | Ideal pour |
|---|
| On-premises | Controle total des donnees, pas de couts de sortie | CapEx eleve, charge de maintenance | Secteurs reglementes, souverainete des donnees |
| Cloud-natif | Elasticite, infrastructure geree | Enjeux de residence des donnees, couts de sortie | Organisations cloud-first |
| SIEM manage (MDR) | Surveillance experte 24/7, moins de personnel | Moins de personnalisation, dependance fournisseur | PME, equipes sans personnel SOC |
| Hybride | Donnees sensibles on-premises, scalabilite cloud | Complexite, double gestion | Organisations aux exigences mixtes |
Erreurs courantes
| Erreur | Impact | Correction |
|---|
| Tout collecter | Fatigue d'alerte, couts eleves, requetes lentes | Prioriser les sources de journaux selon le modele de menaces |
| Pas de reglage de la detection | Taux de faux positifs > 90 % | Etablir des references, regler et ameliorer continuellement les regles |
| Ignorer la sante du SIEM | Des lacunes silencieuses dans les journaux creent des angles morts | Surveiller les taux d'ingestion et alerter sur les baisses |
| Pas de procedures de reponse | Les alertes sans action gaspillent l'investissement | Documenter et former aux procedures operationnelles pour chaque type d'alerte |
| Dependance a un seul analyste | Pas de couverture pendant les absences | Former l'equipe en polyvalence, documenter les runbooks |
| Pas de validation des sources de journaux | Evenements critiques manquants | Verifier regulierement que toutes les sources envoient les donnees attendues |
| Pas de mapping MITRE ATT&CK | Lacunes de detection inconnues | Mapper les regles existantes sur ATT&CK et identifier les lacunes de couverture |
Comment Orbiq accompagne la conformite SIEM
Orbiq vous aide a demontrer vos controles de surveillance de securite :
- Collecte de preuves — Centralisez les preuves de deploiement SIEM, la documentation des regles de detection et les metriques MTTD/MTTR
- Surveillance continue — Suivez la couverture SIEM et l'efficacite de la detection
- Trust Center — Partagez votre posture de surveillance de securite via votre Trust Center
- Correspondance de conformite — Associez les controles SIEM aux exigences ISO 27001, SOC 2, NIS2 et DORA
- Preparation aux audits — Dossiers de preuves pre-elabores pour la revue des auditeurs
Pour aller plus loin
