Liens connexes

Un SIEM est une solution de gestion des informations et des évènements de sécurité (Security Information and Event Management).

Celle-ci centralise la collecte et le traitement des informations issues de sources disparates. Le SIEM a donc pour but de fournir un état de sécurité sur un système d'information par nature hétérogène.

A ce titre, un SIEM doit :

• gérer en temps réel les menaces internes ou externes,

• collecter, analyser et établir des rapports d'état,

• analyser les données propres aux évènements de sécurité,

• contribuer à la conformité réglementaire,

• fournir des capacités d'exploration et de preuve a posteriori.

Un SIEM permet ainsi :

• de prévenir les éventuelles failles ou atteintes portant sur les données et ressources de l'entreprise,

• d'assurer de la compatibilité des politiques de sécurité internes ou externes,

• d'être informé des menaces potentielles et des évènements suspects sur les réseaux,

• d'établir immédiatement les liens de cause à effet entre les informations et évènements et leurs conséquences

• d'identifier les zones d'inefficacité ou de ralentissement et d'en déterminer les causes,

• de superviser l'activité sur le réseau et de gérer le risque de façon optimisée,

• de disposer des preuves de bonnes pratiques dans le cadre d'audits.

Un SIEM doit contribuer à maintenir le système d'information en conditions opérationnelles de sécurité. Il doit ainsi optimiser le niveau de protection mis en œuvre.

Un SIEM doit offrir une capacité de traitement immédiat des menaces. Il doit donc contribuer à protéger l'entreprise des agressions qu'elle subit et participer activement à limiter les pertes qui peuvent en découler.

Un SIEM doit faciliter l'exploitation des informations issues de l'ensemble des outils déployés. Il doit diminuer les temps d'administration nécessaires.

Un SIEM améliore ainsi le retour sur investissement de l'infrastructure.