Pour le technicien qui intervient.
Une source de logs qui arrete d'envoyer (>24h sans evenement) est un signal fort : panne, sabotage par un attaquant, ou erreur de configuration. Configurer une alerte automatique sur l'absence de logs d'une source attendue. Cette alerte est l'une des plus importantes du SIEM : elle detecte les compromissions actives.
Un attaquant qui compromet le SIEM efface les preuves. Activer le stockage en mode append-only ou WORM (Write Once Read Many), restreindre les acces admin au strict minimum avec MFA, signer ou hacher les blocs de logs. Sans intégrité, les logs perdent leur valeur probante en cas de procedure judiciaire.
Le SIEM doit recevoir au minimum les logs des controleurs de domaine, firewalls, VPN, serveurs critiques, hyperviseurs, EDR. Un actif non collecte est un angle mort. Le guide d'hygiene ANSSI mesure 38, ISO 27001 A.12.4 et NIS2 art. 21 imposent cette centralisation. Lister les sources requises et auditer la couverture chaque trimestre.
Un SIEM avec des règles non ajustees genere soit des milliers de faux positifs ignores soit aucune alerte utile. Realiser une revue trimestrielle des règles : taux de faux positifs, alertes qualifiees en incident, règles silencieuses. Documenter chaque ajustement avec sa justification.
Un SIEM sans personne pour analyser ses alertes est inutile. Soit constituer une equipe formee (2 personnes minimum pour assurer la continuite), soit souscrire a un SOC managé (MSSP). Les SOC managés certifies PRIS (ANSSI) offrent un niveau de service adapté aux exigences NIS2 et OIV/OSE.
Pour le responsable / gestionnaire.
Un attaquant qui compromet le SIEM efface les preuves. Activer le stockage en mode append-only ou WORM (Write Once Read Many), restreindre les acces admin au strict minimum avec MFA, signer ou hacher les blocs de logs. Sans intégrité, les logs perdent leur valeur probante en cas de procedure judiciaire.
Le SIEM doit recevoir au minimum les logs des controleurs de domaine, firewalls, VPN, serveurs critiques, hyperviseurs, EDR. Un actif non collecte est un angle mort. Le guide d'hygiene ANSSI mesure 38, ISO 27001 A.12.4 et NIS2 art. 21 imposent cette centralisation. Lister les sources requises et auditer la couverture chaque trimestre.
L'article L34-1 du CPCE impose 12 mois de retention pour les données de connexion. PCI-DSS exigé 1 an minimum (3 mois en ligne). Pour NIS2 et ISO 27001, viser 12 a 24 mois selon le niveau de criticite. Documenter la durée de retention par type de log, et auditer effectivement sa mise en oeuvre (la durée configurée doit correspondre a la durée reelle).
Un SIEM sans personne pour analyser ses alertes est inutile. Soit constituer une equipe formee (2 personnes minimum pour assurer la continuite), soit souscrire a un SOC managé (MSSP). Les SOC managés certifies PRIS (ANSSI) offrent un niveau de service adapté aux exigences NIS2 et OIV/OSE.
Pour l'auditeur et le contrôle de conformité.
Le SIEM doit recevoir au minimum les logs des controleurs de domaine, firewalls, VPN, serveurs critiques, hyperviseurs, EDR. Un actif non collecte est un angle mort. Le guide d'hygiene ANSSI mesure 38, ISO 27001 A.12.4 et NIS2 art. 21 imposent cette centralisation. Lister les sources requises et auditer la couverture chaque trimestre.
L'article L34-1 du CPCE impose 12 mois de retention pour les données de connexion. PCI-DSS exigé 1 an minimum (3 mois en ligne). Pour NIS2 et ISO 27001, viser 12 a 24 mois selon le niveau de criticite. Documenter la durée de retention par type de log, et auditer effectivement sa mise en oeuvre (la durée configurée doit correspondre a la durée reelle).