Qu'est-ce qu'un SIEM ?
Un systeme SIEM (Security Information and Event Management) est le systeme nerveux central des operations de sécurité d'une organisation. Il collecte les données de journaux de l'ensemble du patrimoine technologique, les normalise dans un format commun, correle les événements pour detecter les menaces et fournit la piste d'audit exigee par les référentiels de conformité.
Les SIEM modernes ont evolue de simples agregateurs de journaux vers des plateformes intelligentes qui combinent detection des menaces en temps reel, réponse automatisee, threat hunting et reporting de conformité.
Capacites principales du SIEM
| Capacite | Fonction | Valeur pour la conformité |
|---|
| Collecte de journaux | Ingestion des journaux de tous les systemes informatiques via agents, syslog, API | Piste d'audit centralisee |
| Normalisation | Conversion des formats de journaux divers en un schema commun | Analyse et reporting coherents |
| Correlation | Rapprochement des événements entre sources pour detecter les schemas d'attaque | Preuves de detection des menaces |
| Alertes | Notification des analystes lors de menaces et anomalies detectees | Preuves de detection des incidents |
| Tableaux de bord | Visibilite en temps reel sur la posture de sécurité | Reporting de gestion |
| Investigation | Recherche et analyse approfondie des événements historiques pour la forensique | Preuves de réponse aux incidents |
| Reporting | Generation de rapports de conformité et opérationnels | Dossiers de preuves pour l'audit |
| Conservation | Stockage des journaux pour les periodes de conservation requises | Conformité réglementaire |
Architecture SIEM
| Composant | Objectif | Considerations cles |
|---|
| Collecteurs/agents de journaux | Recueillir les journaux des systemes sources | Agent vs sans agent, impact sur la bande passante |
| Transport des journaux | Transmettre les journaux de manière securisee au SIEM | Chiffrement en transit, fiabilite |
| Moteur d'analyse syntaxique | Normaliser les formats de journaux divers | Effort de developpement de parseurs personnalises |
| Moteur de correlation | Appliquer la logique de detection aux événements normalises | Complexite des regles, performance |
| Couche de stockage | Conserver les journaux pour la recherche et la conformité | Niveaux chaud/tiede/froid, optimisation des couts |
| Moteur d'analyse | Detection d'anomalies par ML, UEBA | Exigences en données d'entrainement |
| Couche de réponse | Integration SOAR pour la réponse automatisee | Effort de developpement des playbooks |
| Couche de presentation | Tableaux de bord, rapports, outils d'investigation | Efficacite du workflow des analystes |
Sources de journaux essentielles
| Catégorie de source | Exemples | Valeur de detection |
|---|
| Identite et accès | Active Directory, Entra ID, Okta, fournisseurs SSO | Compromission de compte, escalade de privileges |
| Endpoints | Alertes EDR, journaux d'événements Windows, syslog | Malware, mouvement lateral, exfiltration de données |
| Reseau | Pare-feu, IDS/IPS, DNS, proxy, VPN | Command and control, exfiltration de données |
| Plateformes cloud | AWS CloudTrail, Azure Activity Log, GCP Audit Logs | Erreurs de configuration, accès non autorises |
| Applications | Serveurs web, bases de données, applications personnalisees | Attaques au niveau applicatif, accès aux données |
| E-mail | Passerelle de messagerie, Microsoft 365/Google Workspace | Phishing, compromission de messagerie professionnelle |
| Outils de sécurité | Scanners de vulnerabilites, DLP, WAF, CASB | Enrichissement et contexte de correlation |
Ingenierie de detection
Couverture MITRE ATT&CK
| Tactique | Detections prioritaires | Sources de journaux requises |
|---|
| Accès initial | Clics sur liens de phishing, tentatives d'exploitation | Passerelle e-mail, WAF, EDR |
| Execution | Creation de processus suspects, execution de scripts | EDR, journaux d'événements Windows |
| Persistance | Nouvelles taches planifiees, modifications du registre, nouveaux comptes | EDR, Active Directory |
| Escalade de privileges | Modifications de groupes admin, manipulation de tokens | Active Directory, EDR |
| Evasion de defense | Effacement de journaux, alteration des outils de sécurité | Auto-surveillance SIEM, EDR |
| Accès aux identifiants | Force brute, password spraying, dumping d'identifiants | Active Directory, VPN, SSO |
| Mouvement lateral | Trafic RDP, SMB inhabituel, abus de comptes de service | Reseau, Active Directory, EDR |
| Exfiltration | Transferts de données volumineux, destinations inhabituelles | Reseau, proxy, DLP |
Types de regles de detection
| Type de regle | Methode | Cas d'usage |
|---|
| Base sur les signatures | Correspondance de patterns connus (IOC, hash, IP) | Menaces connues, threat intelligence |
| Base sur les seuils | Alerte lorsque le nombre d'événements depasse la référence | Force brute, DDoS, scan |
| Correlation | Rapprochement d'événements entre sources multiples et fenetres temporelles | Attaques multi-etapes, mouvement lateral |
| Base sur les anomalies | ML detectant les ecarts par rapport aux références etablies | Menaces internes, attaques inedites |
| Comportemental (UEBA) | Analyse du comportement des utilisateurs et des entites | Compromission de compte, abus de privileges |
SIEM vs SOAR vs XDR
| Capacite | SIEM | SOAR | XDR |
|---|
| Collecte et stockage des journaux | Fonction principale | Non | Limitee |
| Detection des menaces | Regles de correlation, analyses | Non (consomme les alertes SIEM) | Detection integree |
| Réponse automatisee | Basique (e-mail, ticket) | Fonction principale (playbooks) | Actions de réponse integrees |
| Reporting de conformité | Fonction principale | Non | Limite |
| Investigation | Recherche de journaux et forensique | Gestion des cas | Investigation guidee |
| Perimetre | Toutes les sources de journaux | Workflows de réponse aux alertes | Endpoints, réseau, cloud, e-mail |
| Ideal pour | Conformité + detection + conservation | Automatisation de la réponse | Detection et réponse unifiees |
Exigences de conservation des journaux
| Referentiel | Conservation minimale | Notes |
|---|
| ISO 27001 | Definie par l'organisation | A.8.15 exige une politique de journalisation avec conservation definie |
| SOC 2 | 1 an | CC7.2 — suffisante pour supporter l'investigation |
| NIS2 | Non explicitement specifiee | Doit supporter l'investigation des incidents (Article 23) |
| DORA | 5 ans | Enregistrements d'incidents lies aux TIC (Article 17) |
| PCI DSS | 1 an (3 mois chaud) | Exigence 10.7 — immediatement disponible pour l'analyse |
| RGPD | Limitee a la finalite | Equilibrer la surveillance de sécurité avec la minimisation des données |
Exigences de conformité
Correspondance avec les référentiels
| Exigence | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|
| Journalisation centralisee | A.8.15 | CC7.2 | Art. 21(2)(b) | Art. 10 |
| Surveillance de sécurité | A.8.16 | CC7.2 | Art. 21(2)(b) | Art. 10 |
| Detection des incidents | A.5.25 | CC7.3 | Art. 21(2)(b) | Art. 10 |
| Protection des journaux | A.8.15 | CC7.2 | Art. 21(2)(d) | Art. 10 |
| Synchronisation horaire | A.8.17 | CC7.2 | Art. 21(2)(d) | Art. 10 |
| Piste d'audit | A.8.15 | CC7.2 | Art. 23 | Art. 17 |
| Reporting a la direction | A.5.25 | CC7.3 | Art. 20 | Art. 13 |
Preuves d'audit
| Type de preuve | Description | Referentiel |
|---|
| Documentation de deploiement SIEM | Architecture, sources de journaux, couverture | Tous les référentiels |
| Inventaire des sources de journaux | Tous les systemes envoyant des journaux avec leur statut | ISO 27001, SOC 2 |
| Catalogue des regles de detection | Regles documentees mappees aux menaces | ISO 27001, NIS2, DORA |
| Procedures de réponse aux alertes | Procedures opérationnelles standard pour chaque type d'alerte | Tous les référentiels |
| Metriques MTTD/MTTR | Temps de detection et de réponse mensuels | SOC 2, NIS2, DORA |
| Configuration de conservation des journaux | Politiques de conservation et verification | Tous les référentiels |
| Rapports d'investigation d'incidents | Dossiers d'investigation completes | NIS2, DORA |
| Surveillance de sante du SIEM | Disponibilite, taux d'ingestion, utilisation du stockage | ISO 27001, SOC 2 |
Modeles de deploiement SIEM
| Modèle | Avantages | Inconvenients | Ideal pour |
|---|
| On-premises | Contrôle total des données, pas de couts de sortie | CapEx eleve, charge de maintenance | Secteurs reglementes, souverainete des données |
| Cloud-natif | Elasticite, infrastructure geree | Enjeux de residence des données, couts de sortie | Organisations cloud-first |
| SIEM manage (MDR) | Surveillance experte 24/7, moins de personnel | Moins de personnalisation, dependance fournisseur | PME, équipes sans personnel SOC |
| Hybride | Données sensibles on-premises, scalabilite cloud | Complexite, double gestion | Organisations aux exigences mixtes |
Erreurs courantes
| Erreur | Impact | Correction |
|---|
| Tout collecter | Fatigue d'alerte, couts eleves, requetes lentes | Prioriser les sources de journaux selon le modèle de menaces |
| Pas de reglage de la detection | Taux de faux positifs > 90 % | Etablir des références, regler et ameliorer continuellement les regles |
| Ignorer la sante du SIEM | Des lacunes silencieuses dans les journaux creent des angles morts | Surveiller les taux d'ingestion et alerter sur les baisses |
| Pas de procedures de réponse | Les alertes sans action gaspillent l'investissement | Documenter et former aux procedures opérationnelles pour chaque type d'alerte |
| Dependance a un seul analyste | Pas de couverture pendant les absences | Former l'équipe en polyvalence, documenter les runbooks |
| Pas de validation des sources de journaux | Evenements critiques manquants | Verifier regulierement que toutes les sources envoient les données attendues |
| Pas de mapping MITRE ATT&CK | Lacunes de detection inconnues | Mapper les regles existantes sur ATT&CK et identifier les lacunes de couverture |
Comment Orbiq accompagne la conformité SIEM
Orbiq vous aide a demontrer vos contrôles de surveillance de sécurité :
- Collecte de preuves — Centralisez les preuves de deploiement SIEM, la documentation des regles de detection et les metriques MTTD/MTTR
- Surveillance continue — Suivez la couverture SIEM et l'efficacite de la detection
- Trust Center — Partagez votre posture de surveillance de sécurité via votre Trust Center
- Correspondance de conformité — Associez les contrôles SIEM aux exigences ISO 27001, SOC 2, NIS2 et DORA
- Preparation aux audits — Dossiers de preuves pre-elabores pour la revue des auditeurs
Pour aller plus loin
