Security information management system

Le security information management (SIM, « Gestion de l'information de sécurité ») est une fonction de la sécurité du système d'information qui stocke à long terme, analyse et crée des rapports sur les données des journaux.

Le SIM est parfois confondu avec le SEM (security event management) ou SEIM (security event information management) ou encore avec le SIEM (security information and event management).

Terminologie[modifier | modifier le code]

Les acronymes SEM, SIM et SIEM sont parfois utilisés de manière interchangeable^[1], mais font généralement référence aux différents objectifs principaux des produits :

Gestion des logs : elle se concentre sur la collecte et le stockage simple des enregistreurs de données et des pistes d'audit^[2].
Security information management (SIM, « Gestion de l'information de sécurité ») : il se focalise sur le stockage à long terme ainsi que l'analyse et la création de rapports sur les données des journaux^[3].
Security event manager (SEM, « Gestion des événements de sécurité ») : il se focalise sur la surveillance en temps réel, la corrélation des événements, les notifications et les tableaux de bords.
Security information and event management (SIEM, « Gestion de l'information et des événements de sécurité ») : il combine SIM et SEM et fournit une analyse en temps réel des alertes de sécurité générées par le matériel et les applications du réseau^[4]^,^[5].

En pratique, de nombreuses solutions de cyber sécurité mélangent ces fonctions, il y a donc souvent un chevauchement et de nombreux fournisseurs promeuvent leur propre terminologie^[6]. Souvent, les fournisseurs commerciaux proposent différentes combinaisons de ces fonctionnalités qui tendent à améliorer le SIEM dans son ensemble. La gestion des journaux à elle seule ne fournit pas d'informations en temps réel sur la sécurité du réseau, le SEM à lui seul ne fournira pas de données complètes pour une analyse approfondie des menaces. Lorsque le SEM et la gestion des journaux sont combinés, plus d'informations sont disponibles pour que SIEM puisse les surveiller^[3].

Entreprises chefs de file du marché des SIM/SEM[modifier | modifier le code]

Entreprises chefs de file du marché des SIM/SEM^[7]^,^[8]^,^[9]^,^[10] :

Alcatel-Lucent OA Safeguard
Araknos Akab2
BlackStratus Netforensics
Cisco Cisco Security Manager
Correlog Correlog Solution Suite
CS PreludeSIEM - Smart Security - IDMEF
eIQ Networks SecureView
Extreme Networks^[11] Solution SIEM
EMC RSA Security
Inetum - Keenaï
HP ArcSight
IBM Qradar
LogLogic (en) Enterprise Virtual Appliance (à la suite du rachat de Exaprotect)
Logpoint^[12] SIEM. But different.
LogRhythm SIEM 2.0
NetIQ Security Manager
NitroSecurity McAfee Enterprise Security Manager (un produit McAfee)
Novell Sentinel
Q1 Labs Qradar (Groupe IBM)
SenSage Advanced SIEM and Log Management
Sekoia Sekoia.io
Splunk Splunk Enterprise
Symantec Security Information Manager (le produit n'est plus commercialisé)^[13]
Tripwire Log Center
TrustWave Intellitactics Security Manager for SIEM
McAfee ESM
Elastic Stack Elastic (avec le X-pack)^[14]

Notes et références[modifier | modifier le code]

↑ Swift, « A Practical Application of SIM/SEM/SIEM, Automating Threat Identification » [PDF], SANS Institute, 26 décembre 2006 (consulté le 14 mai 2014) : « ...the acronym SIEM will be used generically to refer... », p. 3
↑ Kent et Souppaya, « Guide to Computer Security Log Management », NIST, Computer Security Resource Center, NIST,‎ septembre 2006 (DOI 10.6028/NIST.SP.800-92, S2CID 221183642, lire en ligne)
↑ ^{a et b} Jamil, Amir, « The difference between SEM, SIM and SIEM », 29 mars 2010
↑ « SIEM: A Market Snapshot », Dr.Dobb's Journal, 5 février 2007
↑ The Future of SIEM - The market will begin to diverge
↑ Bhatt, Manadhata et Zomlot, « The Operational Role of Security Information and Event Management Systems », IEEE Security & Privacy, vol. 12, n^o 5,‎ 2014, p. 35–41 (DOI 10.1109/MSP.2014.103, S2CID 16419710, lire en ligne)
↑ Gartner Magic Quadrant May 2008
↑ Gartner Magic Quadrant May 2010
↑ Gartner Magic Quadrant May 2011
↑ Effective Security Monitoring Requires Context - 16 janvier 2012 - Gartner Report
↑ « Solution SIEM »
↑ (en) « logpoint Siem »
↑ « Symantec™ Security Information Manager (SSIM) is being discontinued for new customer sales as of September 2, 2013. | Symantec Connect », sur www.symantec.com (consulté le 18 avril 2017)
↑ Gartner Magic Quadrant May 2018

Voir aussi[modifier | modifier le code]

Security information and event management

Portail de l’informatique

[Generic-1] Swift, « A Practical Application of SIM/SEM/SIEM, Automating Threat Identification » [PDF], SANS Institute, 26 décembre 2006 (consulté le 14 mai 2014) : « ...the acronym SIEM will be used generically to refer... », p. 3

[2] Kent et Souppaya, « Guide to Computer Security Log Management », NIST, Computer Security Resource Center, NIST,‎ septembre 2006 (DOI 10.6028/NIST.SP.800-92, S2CID 221183642, lire en ligne)

[r1-3] {a et b} Jamil, Amir, « The difference between SEM, SIM and SIEM », 29 mars 2010

[drdobbs20072-4] « SIEM: A Market Snapshot », Dr.Dobb's Journal, 5 février 2007

[5] The Future of SIEM - The market will begin to diverge

[6] Bhatt, Manadhata et Zomlot, « The Operational Role of Security Information and Event Management Systems », IEEE Security & Privacy, vol. 12, n^o 5,‎ 2014, p. 35–41 (DOI 10.1109/MSP.2014.103, S2CID 16419710, lire en ligne)

[7] Gartner Magic Quadrant May 2008

[8] Gartner Magic Quadrant May 2010

[9] Gartner Magic Quadrant May 2011

[10] Effective Security Monitoring Requires Context - 16 janvier 2012 - Gartner Report

[11] « Solution SIEM »

[12] (en) « logpoint Siem »

[13] « Symantec™ Security Information Manager (SSIM) is being discontinued for new customer sales as of September 2, 2013. | Symantec Connect », sur www.symantec.com (consulté le 18 avril 2017)

[14] Gartner Magic Quadrant May 2018

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]