En 2025, le temps moyen de détection d'une intrusion est de 204 jours (IBM Cost of a Data Breach). Plus de six mois pendant lesquels un attaquant explore, exfiltre et se positionne dans votre système d'information en toute discrétion. Le SIEM (Security Information and Event Management) et le SOC (Security Operations Center) sont les outils et services qui réduisent drastiquement ce délai. Longtemps réservés aux grandes entreprises, ils deviennent accessibles aux PME grâce à l'open source et aux services managés.
SIEM : comprendre la tour de contrôle de votre sécurité
Un SIEM collecte, normalise, corrèle et analyse les journaux d'événements (logs) provenant de l'ensemble de votre infrastructure : pare-feu, serveurs, postes de travail, applications, switches réseau, services cloud. Son objectif : détecter les comportements anormaux et les indicateurs de compromission (IoC) qui échappent aux solutions de protection traditionnelles. Une approche de sécurité managée via un SOC permet de surveiller et de réagir aux menaces en continu.
Comment fonctionne un SIEM
Le SIEM ingère des millions d'événements par jour et applique des règles de corrélation pour identifier les schémas suspects. Par exemple : 5 échecs de connexion suivis d'une réussite depuis une adresse IP étrangère, puis un accès à un partage de fichiers sensible à 3 heures du matin — pris isolément, ces événements sont anodins ; corrélés, ils signalent une probable compromission de compte.
Les données à collecter en priorité
- Logs d'authentification : Active Directory, VPN, applications web (succès, échecs, élévations de privilèges).
- Logs réseau : pare-feu (connexions autorisées et bloquées), proxy web, DNS (détection de tunnels DNS et C2).
- Logs endpoint : antivirus/EDR (détections, quarantaines), événements système (création de services, modifications de registre).
- Logs cloud : Microsoft 365 Unified Audit Log, AWS CloudTrail, Azure Activity Log.
SOC : les yeux humains derrière la technologie
Le SIEM est l'outil ; le SOC est l'équipe qui l'opère. Un Security Operations Center combine technologie, processus et analystes humains pour surveiller, détecter, analyser et répondre aux incidents de sécurité en continu — idéalement 24 heures sur 24, 7 jours sur 7.
SOC interne vs SOC managé
Construire un SOC interne nécessite un investissement considérable : au minimum 3 analystes pour une couverture 8h/5j (6 à 8 pour du 24/7), un SIEM, des outils de réponse à incident et une formation continue. Le coût annuel dépasse 300 000 € pour une couverture minimale. Pour les PME, le SOC managé (ou MDR — Managed Detection & Response) est l'alternative économique : un prestataire spécialisé supervise votre infrastructure à distance pour un coût de 1 500 à 5 000 € par mois selon le périmètre.
Un pentest régulier vient compléter la supervision SOC en validant que les mécanismes de détection fonctionnent correctement et en identifiant les angles morts de la couverture.
Solutions SIEM accessibles aux PME
L'écosystème SIEM a considérablement évolué. Les solutions open source et cloud-native rendent la supervision sécurité accessible à des budgets de PME.
Wazuh : le SIEM open source de référence
Wazuh est une plateforme open source complète combinant SIEM, détection d'intrusion (HIDS), analyse de vulnérabilités et monitoring de conformité. Gratuit et auto-hébergeable, il s'installe sur un serveur Linux (4 vCPU, 8 Go RAM pour 50 agents) et supporte Windows, Linux, macOS et les environnements cloud. Son intégration avec l'Elastic Stack (OpenSearch) offre des capacités d'analyse et de visualisation puissantes.
Autres solutions adaptées
- Elastic Security : version sécurité de la stack ELK, avec des règles de détection préconfigurées alignées sur le framework MITRE ATT&CK (version gratuite disponible).
- Microsoft Sentinel : SIEM cloud-native intégré à l'écosystème Azure et Microsoft 365. Facturation à la consommation (ingestion de données), avantageuse pour les petites volumétries.
- Graylog : plateforme de gestion de logs avec des fonctionnalités SIEM. L'édition Open est gratuite ; l'édition Security démarre à 1 500 $ / mois.
Déployer un SIEM dans une PME : guide pratique
Un déploiement réussi se fait par étapes, en commençant par les sources de logs les plus critiques et en élargissant progressivement la couverture.
Phase 1 : périmètre minimal viable
Commencez par collecter les logs d'authentification (Active Directory, Microsoft 365) et les logs du pare-feu. Ces deux sources couvrent à elles seules une part significative des scénarios d'attaque. Configurez les alertes critiques : tentatives de brute force, connexions depuis des pays inhabituels, création de comptes administrateurs, désactivation de la protection antivirus.
La mise en place de sauvegardes robustes est un prérequis indispensable avant de déployer un SIEM : en cas d'incident détecté, la capacité de restauration rapide détermine l'impact réel sur l'activité.
Phase 2 : élargissement et automatisation
Intégrez les logs endpoint (EDR/antivirus), les logs applicatifs métier et les événements cloud. Mettez en place des playbooks de réponse automatisée (SOAR) pour les scénarios récurrents : isolation automatique d'un poste en cas de détection malware, blocage d'une IP source après N tentatives échouées, notification immédiate de l'équipe IT.
ACME propose des solutions de supervision sécurité adaptées aux PME : déploiement de Wazuh ou Microsoft Sentinel, configuration des alertes critiques, supervision SOC managée 24/7 et réponse à incident. Nos formules démarrent à 990 € HT par mois pour une couverture complète de votre infrastructure.
FAQ
Un SIEM génère-t-il beaucoup de faux positifs ?
Sans tuning, oui. Un SIEM fraîchement déployé avec des règles par défaut peut générer des centaines d'alertes par jour, dont la majorité sont des faux positifs. Le travail de calibration — ajustement des seuils, création de listes blanches, contextualisation des alertes — prend généralement 2 à 4 semaines. Un SOC managé prend en charge cette phase de rodage et filtre les alertes pour ne remonter que les événements confirmés et actionnables.
Combien de données un SIEM consomme-t-il en stockage ?
Pour une PME de 50 postes avec pare-feu, Active Directory et Microsoft 365, comptez 5 à 15 Go de logs par jour, soit 150 à 450 Go par mois. Avec une rétention de 6 mois (minimum recommandé), le stockage nécessaire est de 1 à 3 To. Les solutions cloud facturent généralement à l'ingestion (1 à 3 € / Go pour Sentinel). Les solutions auto-hébergées comme Wazuh ne coûtent que le stockage serveur.
Le SIEM remplace-t-il l'antivirus et le pare-feu ?
Non, le SIEM est complémentaire. L'antivirus (ou EDR) et le pare-feu sont des outils de protection active qui bloquent les menaces connues. Le SIEM est un outil de détection qui analyse les événements produits par ces outils (et bien d'autres sources) pour identifier les menaces qui ont échappé aux protections. Le SIEM est la couche de visibilité et de corrélation qui transforme des événements isolés en intelligence de sécurité actionnable. Les trois composants sont indispensables pour une posture de sécurité mature.