Un SIEM (Security Information and Event Management) est une solution qui combine deux approches historiquement distinctes et complémentaires de la sécurité informatique, fusionnées au milieu des années 2000 par Gartner sous ce terme générique.

Composante Sigle Rôle
Security Information Management SIM Collecte, archivage long terme et analyse des logs pour forensique et conformité réglementaire
Security Event Management SEM Corrélation d’événements en temps réel pour la détection d’incidents de sécurité

Le SIEM agrège les journaux provenant de toutes les sources de l’infrastructure (pare-feux, switches, serveurs, applications, IDS/IPS, endpoints) et applique des règles de corrélation pour identifier des scénarios d’attaque complexes qui seraient invisibles si les événements étaient analysés isolément. Il constitue le cœur opérationnel d’un SOC (Security Operations Center).

Architecture fonctionnelle

Les 5 fonctions essentielles

Fonction Description Protocoles / Formats
Collecte de logs Centralisation des journaux de toutes les sources via agents, protocoles standard ou API Syslog (UDP/TCP 514), WinRM, Filebeat, REST API
Normalisation Transformation des logs hétérogènes en un format unifié et indexable CEF, LEEF, ECS (Elastic)
Corrélation Application de règles pour détecter des patterns d’attaque multi-sources Règles Sigma, YARA, règles custom, ML
Alerting Notification en temps réel des incidents de sécurité détectés vers les équipes Email, SNMP trap, webhook, ticketing (JIRA, TheHive)
Reporting & Conformité Tableaux de bord opérationnels et rapports réglementaires automatisés Dashboards Kibana, rapports PDF automatisés

Sources de données ingérées

Un SIEM moderne peut ingérer des données de très nombreuses sources hétérogènes :

  • Équipements réseau : switches managés (syslog), routeurs, pare-feux (Stormshield, FortiGate, Cisco ASA)
  • Systèmes de sécurité : IDS/IPS Suricata/Snort (EVE JSON), HIPS Wazuh, EDR, antivirus
  • Serveurs Windows : Event Logs (Security 4624/4625/4720…, System, Application), WinRM
  • Serveurs Linux/Unix : auth.log, syslog, audit.log, journald, Apache/Nginx/MySQL logs
  • Applications métier : logs applicatifs, bases de données, serveurs web, ERP
  • Services cloud : Azure AD, AWS CloudTrail, Office 365, Google Workspace, Okta

Solutions du marché

Wazuh (retenu pour le projet)

Wazuh est bien plus qu’un HIPS : c’est une plateforme XDR/SIEM complète basée sur OpenSearch (fork Elasticsearch) et OpenSearch Dashboards (fork Kibana). Elle ingère, normalise et corrèle les logs de toutes les sources de l’infrastructure. Sa plateforme unifiée couvre HIDS, FIM, SIEM, scan de vulnérabilités et conformité réglementaire dans un seul produit open source gratuit.

Architecture technique :

  • Wazuh Manager : serveur central qui collecte, analyse et corrèle les données des agents et sources externes
  • Wazuh Agents : déployés sur les hôtes surveillés, collectent les logs locaux et détectent les menaces
  • Wazuh Indexer (OpenSearch) : moteur de stockage et d’indexation des événements de sécurité
  • Wazuh Dashboard (OpenSearch Dashboards) : interface web de visualisation, gestion et reporting
  • Intégrations natives : Suricata EVE JSON, VirusTotal, MISP, TheHive, Slack, PagerDuty
  • Règles de corrélation : plus de 3 000 règles prédéfinies, personnalisables en XML

Splunk Enterprise Security

Leader historique du marché SIEM selon le Magic Quadrant de Gartner. Sa puissance réside dans son langage de requête SPL (Search Processing Language).

  • Collecte universelle : tout type de logs, métriques, traces sans normalisation préalable
  • Splunkbase : marketplace de milliers d’applications et contenus de détection
  • Splunk SOAR (ex-PHANTOM) : automatisation de la réponse aux incidents
  • Coût estimé : environ 1 800 €/Go ingéré/jour — solution adaptée aux grandes organisations

IBM QRadar SIEM

Reconnu pour ses capacités de corrélation avancée et son module d’analyse comportementale des utilisateurs (UEBA).

  • Flow correlation : analyse des flux réseau NetFlow/IPFIX pour détecter les tunnels et exfiltrations
  • QRadar Advisor with Watson : enrichissement IA des incidents de sécurité
  • DSM (Device Support Module) : support natif de plus de 800 sources de logs différentes

Microsoft Sentinel

Solution SIEM cloud-native de Microsoft (Azure), conçue pour les environnements hybrides et multi-cloud.

  • Cloud-native : déploiement rapide en quelques heures, scalabilité automatique
  • Connecteurs natifs : Microsoft 365, Azure AD, AWS, GCP, Salesforce, Okta…
  • KQL (Kusto Query Language) : langage de requête analytique très performant
  • Playbooks (Azure Logic Apps) : automatisation no-code des réponses aux incidents
  • Modèle tarifaire Pay-as-you-go basé sur le volume de données ingérées

Elastic Security (ELK Stack)

Basé sur la suite ELK (Elasticsearch, Logstash, Kibana) avec l’ajout d’Elastic Agent et du Security module.

  • Detection Engine : règles de détection alignées sur le framework MITRE ATT&CK
  • ECS (Elastic Common Schema) : normalisation automatique inter-sources
  • Version Basic gratuite, versions commerciales avec ML avancé et UEBA

Le framework MITRE ATT&CK et les SIEM

Les SIEM modernes s’alignent sur le framework MITRE ATT&CK, une base de connaissances publique décrivant les tactiques et techniques utilisées par les groupes d’attaquants réels.

Tactique ATT&CK Exemples de techniques Détection SIEM (Wazuh)
Reconnaissance Scan actif (T1595), OSINT (T1589) Alertes nmap, scan de ports multiples
Initial Access Exploitation de vulnérabilité web (T1190) Règles WAF, logs Apache/Nginx, IPS
Execution Command-Line Interface (T1059) Audit Linux bash_history, Windows Event 4688
Persistence Scheduled Task/Job (T1053) Surveillance crontab, Task Scheduler Events
Lateral Movement Remote Services SMB (T1021) Détection connexions SMB anormales
Exfiltration Exfiltration via C2 (T1041) Proxy SSL, détection flux vers IPs suspectes

Tableau comparatif global

Solution Licence Déploiement Scalabilité UEBA/ML Coût
Wazuh Open Source On-prem / Cloud Moyenne-Élevée Partiel Gratuit
Splunk ES Commerciale On-prem / Cloud Très élevée Oui (ML avancé) Très élevé
IBM QRadar Commerciale On-prem / Cloud Très élevée Oui (Watson AI) Élevé
Microsoft Sentinel SaaS Azure Cloud uniquement Élastique auto Oui (Azure ML) Pay-per-Go
Elastic Security Open / Commercial On-prem / Cloud Élevée Version payante Gratuit/Payant
AlienVault OSSIM Open Source On-premise Limitée Non Gratuit

Application au projet Alert’Intrusion

Wazuh est déployé comme plateforme SIEM centrale du projet Alert’Intrusion :

  • Collecte logs : agents Wazuh sur serveur web DMZ, switchs Cisco (syslog), serveurs Windows/Linux LAN
  • Intégration Suricata : EVE JSON ingéré par Wazuh pour corrélation NIDS + HIPS
  • Corrélation : règles Wazuh détectant scans nmap, SYN flood hping3, modifications fichiers critiques
  • Dashboard OpenSearch : tableaux de bord temps réel, top alertes, carte géographique des attaques
  • Active Response : blocage automatique des IP malveillantes via firewalld/iptables
  • Conformité : modules PCI-DSS et ISO 27001 pour rapports automatisés

Flux de données dans l’architecture Wazuh :

W S S S W a u w t a z r i o z u i t r u h c c m h a h s A t e h M g a s i a e e n n ( C l a t D i d g M s e ( Z c S r s ) o N e 1 r ( 6 v L 0 i e E A n u V N d r E ) e s x w J y a e S s t b O s l i N y o o D s g n M l Z o l d ) W g o a a g n z U s s u D l h P f O o i p g M 5 r e s a 1 e n n 4 w S s a a e y g l a s e l r t r W / c è a I h m z P e u S , c h o v F r M i I r a W s M é n a u , l a z a a g u l a t e h i l i r s e o M a r n a t t n i e N d a o s I é g n D t e O S e r O S c p S + t e E i n C H o S I n e P a S a r W n c a u o h z n m u i a D h f l a i i s M é e h a e s b n o a r a g é r e s d r e a ( u p o r t 1 5 1 4 )

Sources