Le SIEM n'est pas mort, sa place dans le SOC est en pleine évolution

L'évolution du SIEM

Une technologie qui n'offrait autrefois guère plus que la collecte centralisée des journaux et la corrélation de règles s'est considérablement transformée en réponse aux critiques et au paysage des menaces en évolution. Les premiers déploiements de SIEM ont acquis une réputation de générer des volumes écrasants de faux positifs, nécessitant des armées d'analystes pour filtrer les alertes et imposant des coûts écrasants aux entreprises.

Ces problèmes avec le SIEM — réels et perçus — ont entraîné une maturation substantielle. « Les SIEM de [nouvelle génération] intègrent des analyses avancées telles que l'analyse du comportement des utilisateurs et des entités, une meilleure intégration avec le renseignement sur les menaces et des capacités SOAR [orchestration, automatisation et réponse de la sécurité] fournies sur des architectures natives au cloud », explique Andrew Braunberg.

Jason Soroko, senior fellow chez Sectigo, partage la perspective d'Andrew Braunberg sur le SIEM. La technologie a connu ses problèmes, dont beaucoup ont coloré l'opinion des gens sur son avenir, selon lui. Initialement, les SIEM étaient construits comme des outils de conformité axés sur les journaux qui dépendaient de règles de corrélation statiques et d'architectures monolithiques, les laissant mal équipés pour analyser les volumes massifs de données cloud, détecter des attaques sophistiquées en temps réel ou automatiser la réponse aux menaces.

Qui plus est, de nombreuses plateformes facturées en fonction du volume de données utilisaient des formats de données rigides qui peinaient à gérer les informations détaillées nécessaires pour détecter les attaques modernes, telles que les modèles de comportement des utilisateurs, l'activité des applications cloud et les données de traitements. Les organisations étaient souvent confrontées au choix impossible d'alimenter leurs plateformes SIEM avec les données de sécurité riches dont elles avaient besoin, puis de voir les coûts exploser, ou de restreindre le flux de données et de manquer des menaces critiques.

« C'est en partie inhérent à la conception originale, qui optimisait pour le stockage centralisé des journaux, la conformité et les rapports de base plutôt que pour l'analyse inter-domaine en temps réel », explique Jason Soroko : « une partie de cela est un problème d'implémentation où les organisations investissent peu dans l'ingénierie de contenu, la conception des cas d'utilisation et l'automatisation ».

Pourquoi les organisations n'abandonneront pas le SIEM

Les plateformes plus récentes, telles que XDR et la détection pilotée par l'IA, se concentrent sur une télémétrie de haute qualité, des détections intégrées alignées sur des frameworks comme Mitre ATT&CK, des analyses comportementales et d'anomalies, et une réponse automatisée native. Ces plateformes sont meilleures que le SIEM à de nombreux égards, en particulier en ce qui concerne les attaques centrées sur les points de terminaison et l'identité, le mouvement latéral et le confinement rapide.

Pourtant, le SIEM reste la source de vérité pour la télémétrie de sécurité dans de nombreuses entreprises et fournit des capacités fondamentales difficiles à remplacer, souligne-t-il. Ainsi, les systèmes SIEM traditionnels excellent dans la rétention à long terme pour la conformité et la criminalistique, la requête inter-domaine à travers des sources de données hétérogènes, la corrélation configurable pour les risques organisationnels de niche et le rapport de sécurité obligatoire aux régulateurs et aux auditeurs.

« Les déploiements de [SIEM] qui réussissent sont généralement ceux qui réduisent le champ d'application à des cas d'utilisation clairement définis », explique-t-il ainsi : « ces déploiements traitent l'intégration des données comme une discipline d'ingénierie, ajustent continuellement les détections et intègrent profondément le SIEM avec SOAR, la gestion des tickets, la gestion des cas et les renseignements sur les menaces afin que les alertes deviennent des enquêtes structurées et des scénarios d'exécution plutôt que des événements bruts ».

Là où le SIEM échoue, c'est dans la détection en temps réel à haute fidélité pour les environnements natifs cloud et lourds en SaaS, ainsi que dans la réponse automatisée en boucle fermée — des situations où les suites XDR, les lacs de données de sécurité et les plateformes optimisées par l'IA fournissent une télémétrie plus riche, des analyses plus évolutives et un stockage moins cher, explique Jason Soroko.

Les organisations ne devraient pas jeter leurs SIEM, mais plutôt les transformer. Dans une configuration moderne, le SIEM devrait devenir une couche de contrôle et de corrélation native au cloud qui repose sur un lac de données de sécurité, récupérant des alertes de haute qualité à partir d'outils tels que XDR, la détection et la réponse réseau et les analyses d'identité. Un système SOAR gère alors le côté réponse, tandis qu'une intégration bidirectionnelle étroite avec les mises à jour du renseignement sur les menaces ajuste les détections, les requêtes de chasse et les scénarios d'exécution automatisés avec les derniers indicateurs et comportements des attaquants.

Une proposition de valeur persistante

Selon Daniel Kennedy, analyste chez S&P Global Market Intelligence, le SIEM reste l'outil « important » le plus cité dans un centre des opérations de sécurité (SOC). Le problème fondamental qu'il a été inventé pour résoudre — trop d'alertes, pas assez de personnes — n'est pas disparu, concède-t-il. Une étude récente de S&P Global a d'ailleurs montré que 45 % des alertes reçues restent sans examen en grande partie en raison de pénuries de personnel.

Il sépare néanmoins le concept philosophique du SIEM des implémentations des fournisseurs : « lorsque les gens crient 'le SIEM est mort', ils veulent généralement dire de mauvaises implémentations anciennes ou des fournisseurs spécifiques qui sont en retard, pas l'idée fondamentale d'un endroit central pour collecter, corréler et agir sur les données de sécurité ». Dès lors, « le fait que le classement des fournisseurs SIEM ait complètement changé au cours des 10 à 15 dernières années est un signe de la façon dont le marché a évolué plutôt qu'une indication de sa disparition imminente. De nouvelles approches, de meilleures recherches, des interfaces plus intuitives, des offres plus rentables et même un meilleur marketing ont longtemps fait du SIEM un marché dynamique en termes de quels fournisseurs atteignent des positions de leader sur le marché ».

La carte joker de l'IA agentique

Pour Andrew Braunberg, les outils émergents d'IA agentique constituent la plus grande menace potentielle pour le SIEM. Les startups du domaine promettent une façon pour les organisations de sortir du piège de l'évolutivité qui a affligé les SOC, et en particulier les SIEM, pendant une décennie ou plus : « alors que les fournisseurs SIEM pourraient bien surfer sur la vague de l'agentique grâce à une adoption agressive de la technologie, nous voyons déjà des exemples de startups SOC agentiques construisant des solutions multi-agents qui contournent le SIEM et vont directement à la source de la télémétrie lors de l'analyse des alertes, comme le triage des alertes ».

En fin de compte, le débat sur l'avenir du SIEM manque souvent un point fondamental sur la raison pour laquelle les organisations ont adopté la technologie en premier lieu et ce qu'elles utilisent réellement pour l'utiliser aujourd'hui. Le SIEM a toujours eu deux propositions de valeur distinctes, et comprendre cette division est essentiel pour comprendre pourquoi la technologie persiste malgré les prédictions répétées de sa disparition, explique John Pescatore, directeur des tendances émergentes en sécurité à SANS Institute.

Pour les organisations tenues de se conformer aux réglementations de surveillance des journaux, le SIEM a longtemps offert un moyen relativement rentable de cocher cette case. La deuxième proposition — et celle avec laquelle les organisations ont eu beaucoup plus de difficultés — est de réduire le temps de détection, de réponse et de récupération des menaces.

Environ 40 % des organisations utilisant le SIEM, estime John Pescatore, le font pour la conformité au rapport requis, et un autre 40 % pour la corrélation d'événements de base à l'aide de signatures ou de modèles de fournisseurs pour détecter et prioriser les événements reconnus. Les 20 % restants l'utilisent pour détecter des attaques complexes et nouvelles : « je pense que le SIEM à prix réduit a toujours du sens pour la plupart des organisations », estime-t-il. Et d'ajouter que « les outils de type SOAR et XDR ajoutés ont du sens pour les équipes de sécurité haut de gamme et allant de l'avant ».

Jaikumar Vijayan est un journaliste technologique indépendant avec plus de 20 ans d'expérience primée dans le journalisme technologique informatique, spécialisé dans les sujets de sécurité de l'information, de confidentialité des données et de cybersécurité.