Security information management system

Le security information management (SIM, « Gestion de l'information de sécurité ») est une fonction de la sécurité du système d'information qui stocke à long terme, analyse et crée des rapports sur les données des journaux.

Le SIM est parfois confondu avec le SEM (security event management) ou SEIM (security event information management) ou encore avec le SIEM (security information and event management).

Terminologie

Les acronymes SEM, SIM et SIEM sont parfois utilisés de manière interchangeable[1], mais font généralement référence aux différents objectifs principaux des produits :

  • Gestion des logs : elle se concentre sur la collecte et le stockage simple des enregistreurs de données et des pistes d'audit[2].
  • Security information management (SIM, « Gestion de l'information de sécurité ») : il se focalise sur le stockage à long terme ainsi que l'analyse et la création de rapports sur les données des journaux[3].
  • Security event manager (SEM, « Gestion des événements de sécurité ») : il se focalise sur la surveillance en temps réel, la corrélation des événements, les notifications et les tableaux de bords.
  • Security information and event management (SIEM, « Gestion de l'information et des événements de sécurité ») : il combine SIM et SEM et fournit une analyse en temps réel des alertes de sécurité générées par le matériel et les applications du réseau[4],[5].

En pratique, de nombreuses solutions de cyber sécurité mélangent ces fonctions, il y a donc souvent un chevauchement et de nombreux fournisseurs promeuvent leur propre terminologie[6]. Souvent, les fournisseurs commerciaux proposent différentes combinaisons de ces fonctionnalités qui tendent à améliorer le SIEM dans son ensemble. La gestion des journaux à elle seule ne fournit pas d'informations en temps réel sur la sécurité du réseau, le SEM à lui seul ne fournira pas de données complètes pour une analyse approfondie des menaces. Lorsque le SEM et la gestion des journaux sont combinés, plus d'informations sont disponibles pour que SIEM puisse les surveiller[3].

Entreprises chefs de file du marché des SIM/SEM

Entreprises chefs de file du marché des SIM/SEM[7],[8],[9],[10] :

Notes et références

  1. Swift, « A Practical Application of SIM/SEM/SIEM, Automating Threat Identification » [PDF], SANS Institute, (consulté le ) : « ...the acronym SIEM will be used generically to refer... », p. 3
  2. Kent et Souppaya, « Guide to Computer Security Log Management », NIST, Computer Security Resource Center, NIST,‎ (DOI 10.6028/NIST.SP.800-92, S2CID 221183642, lire en ligne)
  3. a et b Jamil, Amir, « The difference between SEM, SIM and SIEM »,
  4. « SIEM: A Market Snapshot », Dr.Dobb's Journal,
  5. The Future of SIEM - The market will begin to diverge
  6. Bhatt, Manadhata et Zomlot, « The Operational Role of Security Information and Event Management Systems », IEEE Security & Privacy, vol. 12, no 5,‎ , p. 35–41 (DOI 10.1109/MSP.2014.103, S2CID 16419710, lire en ligne)
  7. Gartner Magic Quadrant May 2008
  8. Gartner Magic Quadrant May 2010
  9. Gartner Magic Quadrant May 2011
  10. Effective Security Monitoring Requires Context - 16 janvier 2012 - Gartner Report
  11. « Solution SIEM »
  12. (en) « logpoint Siem »
  13. « Symantec™ Security Information Manager (SSIM) is being discontinued for new customer sales as of September 2, 2013. | Symantec Connect », sur www.symantec.com (consulté le )
  14. Gartner Magic Quadrant May 2018

Voir aussi