Un SIEM est une solution de gestion des informations et des évènements de sécurité (Security Information and Event Management). Celle-ci centralise la collecte et le traitement des informations issues de sources disparates. Le SIEM a donc pour but de fournir un état de sécurité sur un système d'information par nature hétérogène. A ce titre, le SIEM doit :

• gérer en temps réel les menaces internes ou externes

• collecter, analyser et établir des rapports d'état

• analyser les données propres aux évènements de sécurité

• contribuer à la conformité règlementaire

• fournir des capacités d'exploration et de preuve à posteriori

Un SIEM permet ainsi :

• de prévenir les éventuelles failles ou atteintes portant sur les données et ressources de l'entreprise

• d'assurer de la compatibilité des politiques de sécurité internes ou externes

• d'être informé des menaces potentielles et des évènements suspects sur les réseaux

• d'établir immédiatement les liens de cause à effet entre les informations et évènements et leurs conséquences

• d'identifier les zones d'inefficacité ou de ralentissement et d'en déterminer les causes

• de superviser l'activité sur le réseau et de gérer le risque de façon optimisé

• de disposer des preuves de bonnes pratiques dans le cadre d'audits

Un SIEM doit contribuer à maintenir le système d'information en conditions opérationnelles de sécurité. Il doit ainsi optimiser le niveau de protection mis en œuvre.

Le SIEM doit offrir une capacité de traitement immédiat des menaces. Il doit donc contribuer à protéger l'entreprise des agressions qu'elle subit et participer activement à limiter les pertes qui peuvent en découler.

Le SIEM doit faciliter l'exploitation des informations issues de l'ensemble des outils déployés. Il doit diminuer les temps d'administration nécessaires.

Le SIEM améliore ainsi le retour sur investissement de l'infrastructure.