qu'est-ce qu'un siem?

Les systèmes de gestion des informations et des événements de sécurité (SIEM) assurent la collecte et l’analyse des traces d’activité (logs, netflows, etc.) des hôtes et des applicatifs de l’infrastructure pour assurer à l’exploitation une vision unifiée du pilotage de la sécurité du système d’information.

Le terme a été inventé en 2005 par Mark Nicolett et Amrit Williams, deux analystes du Gartner. À l’époque, deux types de solutions complémentaires mais distinctes gère les données de sécurité des systèmes d’information:

• Les SEM (Security Event Management) proposent un traitement en temps réel des événements pour en extraire les alertes, les normaliser, les corréler et les notifier aux exploitants en temps réel des menaces au sein d’une console d’administration.
• Les SIM (Security Information Management) offrent des capacités de stockage et d’indexation de toutes traces des systèmes à des fins d’analyse et de reporting. Ils sont capables de corrélations simples « a posteriori » et sont souvent orientés « conformité » (ex : PCIDSS). Les SIM sont aussi appelés des outils de « Log Management ».

Nicolett et Williams mettent en évidence la nécessité de combiner ces deux outils pour mieux piloter la sécurité et invente le terme SIEM.

Le rôle des SIM et des SEM se chevauchent parfois comme pour la collecte par exemple, mais ils assurent chacun des fonctions bien particulières.

Le rôle du SIM est de gérer l’historique des traces :

• Il permet de stocker des volumes très importants de données brutes peu structurées (issues généralement du découpage des journaux)
• Il propose parfois un format de normalisation mais ce format est généralement très simpliste et proche de syslog
• Il offre des capacités d’indexation et de recherche à fin d’analyse et de forensic
• C’est un outil plutôt destiné aux opérateurs de niveau 2 et aux experts

Le rôle du SEM, au contraire, est de travailler en temps réel :

• Il est capable de traiter un volume très important de données en temps réel
• Lorsqu’il identifie des événements suspicieux, il les normalise et les enrichit dans un format dédié à la détection d’intrusion (le standard IDMEF pour Prelude SIEM)
• Il propose des capacités de corrélation avancée temps réel
• Enfin il dispose d’outils nécessaires au suivi et à l’exploitation des alertes : notification, gestion de tickets et de worflow

Note : Par rapport à la définition de 2005, il faut rajouter aujourd’hui dans les capacités des SIEM des capacités de combinaison avec les CTI (Cyber Threat Intelligence) externe ou encore des fonctionnalités d’Intelligence Artificielle telles que le machine learning pour améliorer les capacités de détection.

Il est possible de superviser la sécurité d’un système d’information avec uniquement un module SIM mais cela nécessitera plus de travail et une compétence plus forte pour analyser les données recueillies, ou uniquement avec un SEM mais l’absence de stockage à long terme peut vous pénaliser pour l’analyse et le forensic. Aujourd’hui la meilleure assurance pour détecter le maximum d’anomalies, de tentatives d’intrusions ou d’APT (Advanced Persistant Threat) est de combiner les fonctions SIM et SEM dans un seul outil comme le font les SIEMs modernes dont Prelude SIEM.