SIEM/IDS : l'union fait-elle la force ?
La sécurité informatique se développe de plus en plus aujourd'hui vers de la sécurisation en amont (analyse de risques, pentest) et en aval (inforensique, réponse à incidents), mais peu sur les problématiques de détection des attaques et de surveillance de l'état de sécurité du SI. Pourtant, le monitoring permet d'obtenir un état précis et continu du niveau de sécurité d'un système d'information. Cette surveillance est opérée en pratique par des IDS (ou Systèmes de Détection d'Intrusions), et une corrélation des alertes remontées par chacun de ces outils peut être réalisée par un SIEM (Security Information and Event Management).Nous allons dans cet article tenter de vérifier s'il est réellement utile de s'équiper d'un SIEM pour monitorer son système d'information, ou si des IDS suffisent à eux seuls à assurer un bon niveau de détection.