Définition
Un SIEM (Security Information and Event Management) collecte les journaux de sécurité de toutes les briques d'un système d'information — pare-feu, postes de travail, serveurs, applications, identités — puis applique des règles de corrélation pour révéler des chaînes d'attaque qui passeraient inaperçues équipement par équipement.
Les solutions de référence incluent Splunk, IBM QRadar, Microsoft Sentinel, Elastic Security ou Wazuh (open source). Un SIEM moderne intègre souvent des capacités UEBA (User and Entity Behavior Analytics) et SOAR (orchestration et réponse automatisée).
Pourquoi c'est important
Sans SIEM, la détection repose sur la lecture manuelle de logs dispersés : impossible à grande échelle. Avec un SIEM, une tentative de compromission qui combine un accès anormal + un téléchargement massif + une connexion sortante suspecte sera détectée automatiquement, là où chaque événement isolé serait passé inaperçu.
C'est l'outil central du SOC. Sa qualité dépend autant de la richesse des sources connectées que de la pertinence des règles de corrélation — d'où l'importance d'un partenaire qui sait l'adapter au contexte métier.
Cybersécurité
Vous avez un projet lié à ce sujet ? Nos équipes vous accompagnent du cadrage à l'exploitation.