Le SIEM (Security Information and Events Management) est un outil destiné à centraliser les milliers (voire les millions) d’évènements issus du fonctionnement quotidien des outils informatiques de l’entreprise. Car que ce soit les postes de travail, les serveurs, les antivirus, les systèmes d’authentification à distance, les outils de sécurité… tous peuvent être excessivement bavards et notent, dans leur coin, tout ce qu’ils font. Cette information est une véritable mine d’or pour la sécurité, car cela peut permettre de détecter rapidement une intrusion, par exemple. Hélas, si chaque équipement se contente d’écrire ce qu’il fait dans son coin, cela n’est pas très utile. Le SOC, à l’aide de connecteurs adaptés, est en mesure de récupérer tout ça, de le nettoyer, de le classer et d’en permettre l’interrogation par des experts sécurité. C’est l’outil principal des analystes du SOC.
" Ils SIEM comme des enfants » chantait en 1984 Daniel Lavoie, qui avait décidément tout compris à la cybersécurité avant tout le monde."