Le SIEM : un enjeu structurel, pas un outil à installer
Le SIEM (Security Information and Event Management) est la brique qui permet de collecter, analyser, corréler et conserver ces journaux afin de transformer une masse de données techniques en signaux exploitables.
Dans une entreprise de taille intermédiaire (environ 500 collaborateurs), chaque composant du système d'information génère en continu des journaux :
Postes de travail
Serveurs
Annuaire & authentification
Équipements réseau
Applications métiers
À l'échelle de l'organisation, cela peut représenter des centaines de millions, voire plusieurs milliards d'événements sur une période donnée, selon le périmètre et la durée de rétention.
L'enjeu n'est pas le volume en lui-même, mais la capacité à :
- Collecter ces événements de manière fiable
- Les corréler intelligemment
- Réduire le bruit
- Conserver des preuves exploitables en cas d'incident
C'est précisément ce que rappelle l'ANSSI dans ses recommandations sur la journalisation et la détection.[1]
Pourquoi une approche open source maîtrisée
J'ai fait le choix de m'appuyer sur des solutions open source, non par effet de mode ou par réduction de coûts, mais pour une raison centrale : la maîtrise.
✓ Les avantages
- Transparence totale sur les mécanismes de détection
- Adaptation fine au système d'information réel
- Absence de dépendance à une solution fermée ou opaque
⚠️ Les exigences
- Conception d'architecture
- Durcissement
- Tuning des règles
- Exploitation continue
Un SIEM open source mal déployé
devient rapidement inutilisable
Un SIEM open source maîtrisé
devient une brique SOC fiable et durable
Wazuh comme socle SIEM[2]
J'utilise Wazuh comme socle SIEM lorsque le contexte s'y prête, non pas comme un produit clé en main, mais comme une plateforme de détection industrialisée.
Collecte multi-sources
Endpoints, serveurs, Active Directory, équipements réseau : collecte unifiée de tous les journaux.
Analyse et corrélation
Corrélation d'événements issus de sources multiples pour détecter des comportements anormaux et des signaux faibles.
Détection comportementale
Identification des authentications anormales, comptes compromis, et mouvements suspects.
Conformité intégrée
Règles de sécurité et de conformité (PCI-DSS, NIS2) intégrées et adaptables.
Visualisation et investigation
Tableaux de bord dédiés, recherche avancée, reconstruction de chronologies d'incidents.
Contrôle d'intégrité
Surveillance des fichiers critiques, détection de modifications, et alerting sur dérives de configuration.
L'outil n'est qu'un composant : sa valeur dépend directement de son architecture et de son exploitation.
Pour aller plus loin : consultez notre retour d'experience complet sur le deploiement et la maintenance de Wazuh en production dans notre article de blog dedie.
Notre approche SIEM complète
De l'installation à l'amélioration continue : un accompagnement technique et opérationnel de bout en bout
Installation & Architecture
Déploiement de l'infrastructure SIEM (Wazuh) avec architecture en cluster, résilience, segmentation réseau, durcissement du socle Linux, redondance des composants critiques.
Intégration multi-sources
Connexion et collecte des événements depuis Active Directory, endpoints, serveurs, équipements réseau, applications métiers, pare-feu, EDR, NDR.
🤖 Tuning par intelligence artificielle
Notre différenciant : optimisation continue des règles de détection par IA. Analyse des patterns, ajustement automatique des seuils, réduction des faux positifs, adaptation aux évolutions du SI. Résultat : moins d'alertes, mais plus pertinentes.
Maintenance & Évolution
Surveillance de la plateforme, supervision des agents, vérification de la collecte, mises à jour des règles et de Wazuh, montées de version, intégration de nouvelles sources de logs.
Accompagnement & Formation
Support opérationnel continu, formation des équipes IT et SOC, conseil en amélioration continue, analyse des incidents détectés, aide à l'investigation.
Un SIEM n'est pas un projet avec une date de fin.
C'est une capacité de détection qui nécessite une exploitation continue et une amélioration permanente.
Une plateforme réellement exploitée en production
La solution SIEM que je déploie est opérationnelle en production, avec :
d'agents actifs déployés
de collecte continue en production
d'événements analysés
Une distinction claire entre :
Événements techniques
Logs bruts du SI
Événements de conformité
Contrôles réglementaires
Alertes de sécurité
Signaux réellement exploitables
Cette volumétrie n'est pas un objectif commercial, mais la conséquence normale d'un système d'information correctement journalisé.
Architecture résiliente et pensée pour l'incident
Le SIEM est déployé on-premise, sur un socle Linux dédié, avec une architecture orientée résilience et continuité :
Déploiement en cluster
Haute disponibilité et répartition de charge
Séparation des rôles
Collecte, indexation, analyse, stockage
Redondance
Composants critiques redondés
Infrastructure sécurisée
Intégration dans réseau segmenté
Cette approche n'est pas pensée pour une démonstration, mais pour continuer à fonctionner pendant un incident de sécurité, lorsque les outils deviennent essentiels.
Prévenir, détecter, investiguer
Un SIEM bien conçu permet notamment de :
🔍 Détecter des comptes compromis
Identification des authentifications anormales, connexions depuis des localisations inhabituelles, ou horaires suspects.
🖥️ Identifier des comportements suspects
Surveillance des activités anormales sur les endpoints : processus suspects, modifications système, escalade de privilèges.
🔗 Corréler des signaux faibles
Analyse croisée de sources multiples pour détecter des attaques multi-étapes ou des comportements distribués.
📅 Reconstruire une chronologie
Investigation post-incident avec timeline précise : qui a fait quoi, quand, depuis où, et avec quels impacts.
📋 Fournir des preuves exploitables
Conservation des journaux horodatés et indexés pour audit, assurance cyber, ou analyse juridique.
🛡️ Contribuer à la prévention
Contrôle d'intégrité, surveillance système, détection de dérives de configuration avant qu'elles ne deviennent critiques.
Une brique intégrée dans une vision globale
Le SIEM ne remplace ni l'EDR, ni le NDR. Il les complète.
C'est la corrélation entre :
qui permet une détection crédible et une réponse efficace.
En résumé
- ✓ Solutions open source maîtrisées
- ✓ Déploiement réel en production
- ✓ Architecture résiliente
- ✓ Approche pragmatique, orientée exploitation
- ✓ Pas de promesses irréalistes, pas de boîte noire
Besoin d'un avis expert ?
Reservez un diagnostic gratuit de 30 minutes pour evaluer vos besoins et definir un plan d'action adapte a votre entreprise.
Sources & Références
Les recommandations et bonnes pratiques citées proviennent de sources institutionnelles et communautaires officielles.
[1] ANSSI – Recommandations sur la journalisation
Document officiel : Guide des bonnes pratiques de l'ANSSI sur la journalisation des systèmes
Thématiques :
- Collecte et conservation des journaux
- Protection et intégrité des logs
- Détection d'incidents de sécurité
- Investigation et réponse
Accès : cyber.gouv.fr • cert.ssi.gouv.fr
Recherche suggérée : "ANSSI guide journalisation détection"
[2] Wazuh – Plateforme SIEM open source
Projet : Wazuh – The Open Source Security Platform
Description : Plateforme open source de SIEM et XDR pour la détection de menaces, la surveillance de l'intégrité, la réponse aux incidents et la conformité réglementaire.
Site officiel : wazuh.com
Documentation : documentation.wazuh.com
Wazuh est une solution open source largement déployée dans des environnements de production à travers le monde.
Pour aller plus loin :
- ANSSI – Guide d'hygiène informatique : cyber.gouv.fr
- MITRE ATT&CK – Framework de détection : attack.mitre.org
- Wazuh Community – Forums et documentation communautaire : wazuh.com/community
Les sources institutionnelles et open source sont utilisées à titre informatif et de contextualisation des bonnes pratiques de cybersécurité.