Zeroday Cyber Academy

DevSecOps

Qu'est-ce qu'un SIEM ? Définition et stack 2026

SIEM 2026 : définition, fonctions, Splunk/Sentinel/Elastic/Wazuh, Sigma/KQL, MITRE ATT&CK, conformité NIS 2/DORA, tarification, SIEM vs SOAR vs XDR.

Naim Aouaichia
17 min de lecture
  • SIEM
  • Splunk
  • Microsoft Sentinel
  • Elastic Security
  • Wazuh
  • Sigma
  • KQL
  • MITRE ATT&CK
  • Detection Engineering
  • SOC
  • Blue Team

Un SIEM (Security Information and Event Management) est une plateforme centralisée qui collecte les logs et événements de sécurité de multiples sources (pare-feu, EDR, serveurs, applications, cloud, identités), les normalise, les corrèle entre eux pour détecter des patterns suspects, génère des alertes, et fournit des interfaces d'investigation pour les analystes SOC. Le terme SIEM a été forgé par Gartner en 2005 pour décrire la convergence de deux catégories précédentes : SIM (Security Information Management) et SEM (Security Event Management). Les 5 SIEM leaders en 2026 : Splunk Enterprise Security (racheté Cisco janvier 2024 pour 28 milliards $, SPL propriétaire), Microsoft Sentinel (cloud-native Azure, KQL), Elastic Security (Elastic Stack, EQL/KQL, open-source possible), IBM QRadar (enterprise traditionnel banque-assurance), Google Chronicle / Security Operations (cloud-native GCP, YARA-L). Alternatives open-source : Wazuh (fork OSSEC, très utilisé PME-ETI), Graylog, OpenSearch Security Analytics. Le detection engineering moderne repose sur Sigma (format YAML open-source SigmaHQ, 3 000+ règles communautaires, portable via pySigma vers SPL/KQL/EQL/Lucene/QRadar AQL) et MITRE ATT&CK v15 pour mapping tactiques/techniques/sous-techniques adverses. Le SIEM est composant obligatoire de la conformité 2026 : NIS 2 (article 21.2.f, rétention 12 mois minimum, notification 24h), DORA (applicable janvier 2025, capacités détection TIC), PCI-DSS v4.0 (exigence 10), ISO 27001:2022 A.8.15-16. Zeroday Cyber Academy recommande pour débutant : commencer par Wazuh (open-source gratuit) ou Elastic Security Basic pour comprendre les concepts, puis progresser vers Microsoft Sentinel (écosystème Microsoft dominant FR) ou Splunk Enterprise Security (grands comptes) selon contexte employeur cible. Cet article détaille la définition, les 6 fonctions cœur, la clarification SIEM/SOAR/XDR/UEBA, les leaders 2026, l'architecture typique, Sigma et MITRE ATT&CK, la tarification comparée, la conformité réglementaire, les défis structurels et notre bilan factuel.

1. Les six fonctions cœur d'un SIEM 2026

FonctionDescriptionDéfis typiques
1. Ingestion multi-sourcesCollecte logs de centaines à milliers de sources (pare-feu, EDR, endpoints, cloud, SaaS, applications) via syslog, API, agentsVolume données, coût licence, parsing custom
2. Parsing et normalisationTransformation logs hétérogènes en format commun (CIM Splunk, ECS Elastic, OSSM Sentinel)Formats non-standards, logs malformés
3. Storage avec rétentionConservation logs pour investigation et compliance (hot tier searchable, warm, cold archive)Volumétrie 10-1 000 TB, coût stockage, retention 12+ mois
4. Corrélation et détectionRègles de détection temps réel, correlations multi-événements, matching patternsFaux positifs, alert fatigue, tuning continu
5. Alerting et dashboardsNotification SOC sur incidents, UI investigation, threat huntingSignal vs bruit, priorisation
6. Reporting et complianceRapports audit (NIS 2, DORA, PCI-DSS, ISO 27001, SOC 2), retention verificationPréparation audit, mapping réglementations

Fonctions étendues modernes 2026 (progressivement intégrées aux SIEM leaders) :

  • UEBA (User and Entity Behavior Analytics) : détection anomalies comportementales via ML.
  • SOAR (Orchestration Automation Response) : automation playbooks via intégration API multi-outils.
  • Threat Intelligence integration : enrichissement automatique IOCs via feeds CTI (MISP, Recorded Future, Mandiant).
  • MITRE ATT&CK mapping : alignement natif règles détection sur framework MITRE.
  • AI-powered detection : assistants IA (Microsoft Security Copilot, Splunk AI Assistant, Elastic AI Assistant).

2. SIEM versus SOAR versus XDR versus UEBA

Quatre acronymes SOC avec positionnements complémentaires — confusion fréquente pour débutants.

CatégorieRôleLeaders 2026Intégration avec SIEM
SIEMCollecte plus corrélation plus détection plus alertes logsSplunk ES, Sentinel, Elastic, QRadar, ChronicleCœur historique
SOARAutomation playbooks réponseSplunk SOAR, Palo Alto XSOAR, Tines, SwimlaneIntégration API
XDRPlateforme unifiée endpoint + réseau + identité + cloudMicrosoft Defender XDR, CrowdStrike, Cortex XDR, SentinelOneConcurrence ou complémentarité
UEBADétection anomalies comportementales via MLExabeam, Securonix, intégré SIEM leadersModule ou natif SIEM

Convergence 2023-2026 : les plateformes modernes fusionnent SIEM + SOAR + UEBA (Microsoft Sentinel inclut tout nativement, Splunk Enterprise Security intègre Splunk SOAR, Chronicle SecOps unit tout) et concurrencent XDR sur le terrain unifié. Le choix 2026 n'est plus « SIEM seul versus XDR seul » mais « plateforme unifiée centrée log-first (Sentinel, Splunk) versus centrée endpoint-first (CrowdStrike, SentinelOne) ».

Recommandation usage :

  • Stack majoritairement Microsoft : Sentinel + Defender XDR intégrés.
  • Stack multi-vendor avec budget élevé : Splunk ES + Splunk SOAR + XDR de choix.
  • Stack Google Workspace / GCP : Chronicle SecOps.
  • PME-ETI avec budget contraint : Wazuh self-hosted plus Tines (SOAR light).

3. Les cinq SIEM leaders commerciaux 2026

SIEMÉditeurLangage requêteTarificationForce principale
Splunk Enterprise SecurityCisco (racheté 2024 pour 28 Mds $)SPLPar GB ingéré, très premiumLeader historique grands comptes
Microsoft SentinelMicrosoftKQL (Kusto)Par GB ingéré (Pay-As-You-Go) ou Commitment TiersNatif Azure, écosystème Microsoft
Elastic SecurityElastic NVEQL, KQL (Elastic), LucenePar stockage (self-hosted gratuit Basic)Flexibilité, open-source possible
IBM QRadarIBMAQLPar EPS (événements par seconde)Enterprise traditionnel banque-assurance
Google Chronicle / Security OperationsGoogle CloudYARA-L, UDM SearchFlat fee, rétention 12 mois incluseCloud-native GCP, scale horizontal
Sumo LogicSumo Logic (racheté Francisco Partners 2023)Sumo Logic SearchPar ingestion ou continuousCloud-native modern
ExabeamExabeamExabeam DSLPar userUEBA-first avec ML natif
SecuronixSecuronixSpotterPar user ou EPSUEBA-first analyse comportementale

Classement indicatif France 2026 par part de marché : Splunk et Sentinel dominent grands comptes (CAC 40, banque, assurance), Elastic Security en croissance scale-ups tech, QRadar base installée historique banque-assurance traditionnelle, Chronicle émergent clients GCP.

4. Alternatives open-source solides

SIEM open-sourceÉditeurCaractéristiquesCas d'usage
WazuhWazuh Inc. (fork OSSEC)Agent-based, HIDS + SIEM, dashboards Kibana-likePME-ETI, éducation, environnements critiques budget
OpenSearch Security AnalyticsAWS (fork Elasticsearch)Compatible syntaxe Elastic, intégration AWSScale-ups AWS, alternative Elastic
Graylog OpenGraylogIngestion syslog forte, UI solideOrganisations avec expertise self-hosted
SIEMonsterSIEMonsterStack Elastic packagéeDémarrage rapide
OSSIM (AlienVault)AT&T CybersecuritySIEM historique open-sourceLegacy, en maintenance

Recommandation open-source 2026 : Wazuh est le leader de facto pour PME-ETI. Documentation excellente, communauté active, HIDS intégré, dashboards OpenSearch, intégration SOAR via Shuffle (open-source). Déploiement Docker Compose en 2-4 heures pour un SOC basique fonctionnel.

5. Architecture typique d'un SIEM moderne

Flux de bout en bout d'un événement dans un SIEM cloud-native 2026.

[Sources] → [Collectors/Agents] → [Queue Streaming] → [Parser/Normalizer]
                                                              ↓
[UI/API ← [Alert Engine ← [Correlation Engine ← [Storage (Hot/Warm/Cold)]]
           ↓
       [SOAR Playbooks] → [EDR/Firewall/IAM/Ticketing APIs]

Composants détaillés

  1. Sources : pare-feu (Palo Alto, Fortinet, Check Point), EDR (CrowdStrike, SentinelOne, Defender XDR), serveurs (syslog, Windows Event), applications (logs applicatifs JSON), cloud (CloudTrail AWS, Activity Logs Azure, Audit Logs GCP), identités (Entra ID sign-ins, Okta system logs), email (Exchange Online Unified Audit Log, Google Workspace).
  2. Collectors/Agents : Splunk Universal Forwarder, Microsoft Sentinel Azure Monitor Agent, Elastic Beats (Filebeat, Winlogbeat), Wazuh Agent, Fluentd, Logstash, Vector.
  3. Queue streaming : Kafka, Azure Event Hubs, AWS Kinesis — buffering haute volumétrie.
  4. Parser/Normalizer : transformation vers schéma commun (Splunk CIM, Elastic ECS, Microsoft ASIM, OSSM).
  5. Storage tiered : Hot (30-90 jours, searchable), Warm (3-12 mois, slower), Cold (12+ mois, archive, rare).
  6. Correlation engine : exécution règles de détection (Sigma, SPL, KQL, EQL, AQL) en temps réel ou scheduled.
  7. Alert engine : génération incidents, déduplication, enrichissement CTI.
  8. UI/API : consultation analyst SOC, investigation workflows.
  9. SOAR integration : automation via webhooks et API (révocation session Entra ID, isolation endpoint CrowdStrike, blocage IP pare-feu).

6. Detection engineering avec Sigma et KQL

Sigma est devenu le standard de facto open-source pour écrire des règles de détection portables entre SIEM, créé par Florian Roth et Thomas Patzke en 2017.

Avantages Sigma

  • Portabilité : une règle Sigma compile vers SPL, KQL (Sentinel, Elastic), EQL, Lucene, QRadar AQL via pySigma.
  • Versioning Git : detection-as-code versionné, revu via PR.
  • Partage communautaire : SigmaHQ avec 3 000+ règles maintenues.
  • Mapping MITRE ATT&CK natif via tags.
  • Testable : unit tests avec fixtures.

Exemple de règle Sigma détectant une exécution suspecte de Mimikatz (CWE T1003.001 OS Credential Dumping: LSASS Memory) — exploitable en portfolio GitHub :

# sigma-rule-mimikatz-suspicious-args.yml
# Regle Sigma detectant mimikatz via arguments canoniques.
# Mapping MITRE ATT&CK T1003.001 LSASS Memory credential dumping.
 
title: Suspicious Mimikatz Command Line Arguments
id: a8de84bb-a4ba-4b2c-8c78-exempleowasp2026
status: stable
description: |
  Detection de mimikatz via ses arguments canoniques de credential dumping.
  Indique credential theft possible par un acteur post-compromission.
references:
  - https://attack.mitre.org/techniques/T1003/001/
  - https://github.com/gentilkiwi/mimikatz/wiki
author: Zeroday Cyber Academy (exemple pedagogique)
date: 2026-04-24
tags:
  - attack.credential_access
  - attack.t1003.001
  - attack.t1558
logsource:
  category: process_creation
  product: windows
detection:
  selection_canonical_args:
    CommandLine|contains:
      - 'sekurlsa::logonpasswords'
      - 'sekurlsa::pth'
      - 'sekurlsa::ekeys'
      - 'sekurlsa::tickets'
      - 'lsadump::sam'
      - 'lsadump::dcsync'
      - 'lsadump::lsa /inject'
      - 'kerberos::golden'
      - 'kerberos::ptt'
      - 'privilege::debug'
      - 'misc::memssp'
      - 'crypto::capi'
  filter_legitimate_red_team:
    ParentImage|endswith: '\pwsh.exe'
    CommandLine|contains: 'Invoke-AtomicTest'
  condition: selection_canonical_args and not filter_legitimate_red_team
level: high
falsepositives:
  - Tests Atomic Red Team executes via Invoke-AtomicTest documentes
  - Exercices Red Team internes documentes via scheduled exception
fields:
  - ComputerName
  - User
  - Image
  - CommandLine
  - ParentImage

Conversion Sigma → KQL (Microsoft Sentinel) via pySigma :

// Requete KQL Microsoft Sentinel generee depuis la regle Sigma ci-dessus.
// Deployable comme Scheduled Analytics Rule avec trigger 5 min.
 
DeviceProcessEvents
| where ProcessCommandLine has_any (
    "sekurlsa::logonpasswords",
    "sekurlsa::pth",
    "sekurlsa::ekeys",
    "sekurlsa::tickets",
    "lsadump::sam",
    "lsadump::dcsync",
    "lsadump::lsa /inject",
    "kerberos::golden",
    "kerberos::ptt",
    "privilege::debug",
    "misc::memssp",
    "crypto::capi"
)
| where not (
    InitiatingProcessFileName endswith "pwsh.exe" and
    ProcessCommandLine has "Invoke-AtomicTest"
)
| extend Severity = "High"
| extend MitreTactic = "TA0006 Credential Access"
| extend MitreTechnique = "T1003.001"
| project
    TimeGenerated,
    DeviceName,
    AccountName = InitiatingProcessAccountName,
    FileName,
    ProcessCommandLine,
    InitiatingProcessFileName,
    Severity,
    MitreTactic,
    MitreTechnique

Conversion Sigma → SPL (Splunk) :

# Requete SPL Splunk generee depuis la regle Sigma ci-dessus.

index=windows sourcetype="WinEventLog:Sysmon" EventCode=1
| where match(CommandLine, "(?i)(sekurlsa::logonpasswords|sekurlsa::pth|sekurlsa::ekeys|sekurlsa::tickets|lsadump::sam|lsadump::dcsync|kerberos::golden|kerberos::ptt|privilege::debug)")
| where NOT (ParentImage="*pwsh.exe" AND CommandLine="*Invoke-AtomicTest*")
| eval Severity="High", MitreTechnique="T1003.001"
| table _time, ComputerName, User, Image, CommandLine, ParentImage, Severity, MitreTechnique

Workflow detection engineering moderne 2026

  1. Écriture règle en Sigma YAML dans dépôt Git privé.
  2. Pull Request avec revue par 2 pairs avant merge.
  3. CI : conversion automatique vers SIEM cible via pySigma + tests unitaires fixtures.
  4. Déploiement audit mode pendant 7-14 jours pour mesurer faux positifs.
  5. Tuning : ajustement règle avec filtres d'exception.
  6. Enforce mode après stabilisation.
  7. Purple team sprint périodique pour validation couverture.

7. MITRE ATT&CK integration — la grille de lecture universelle

MITRE ATT&CK (v15 publiée octobre 2024) est le framework de référence pour mapper les détections et la couverture d'un SIEM.

Structure : 14 tactiques (TA0001 Initial Access à TA0040 Impact), 600+ techniques, 1 000+ sous-techniques, 140+ groupes d'acteurs (APT29, FIN6, Sandworm, Scattered Spider, Lazarus), 700+ logiciels (malwares, outils offensifs).

Usages SIEM

  • Mapping règles : chaque règle Sigma/KQL a un tag MITRE ATT&CK (T1003.001, T1059.001, etc.).
  • Coverage heatmap : MITRE ATT&CK Navigator layer JSON exportable depuis SIEM montrant les techniques couvertes par au moins une règle.
  • Gap analysis : techniques non couvertes = priorités detection engineering.
  • Threat-informed defense : alignement sur TTPs d'acteurs ciblant votre secteur (voir MITRE ATT&CK Groups).

MITRE D3FEND (2021) complète ATT&CK côté défensif — catalogue des contre-mesures défensives mappées aux techniques offensives.

8. Conformité réglementaire — le SIEM comme preuve

RégulationExigence SIEMRétention minimum
NIS 2 (UE 2022/2555, transposée oct 2024)Détection, traitement, notification 24h incidents significatifs, article 21.2.f12 mois recommandés
DORA (UE 2022/2554, applicable jan 2025)Capacités détection TIC, logs consolidés, tests d'efficacité12 mois minimum entités financières
Cyber Resilience Act UE (applicable déc 2027)Traçabilité vulnérabilités, notification ENISA 24hSelon produit
PCI-DSS v4.0Exigence 10 logging monitoring, review quotidien12 mois minimum, 3 mois online
ISO 27001:2022 Annexe AContrôles A.8.15 Logging, A.8.16 Monitoring activitiesÀ définir selon contexte
SOC 2 Type IITrust Service Criteria MonitoringÀ définir selon contexte
HIPAA (US, santé)Audit logs et monitoring6 ans
RGPD (UE 2016/679)Logs sécurité traitements données personnellesPrincipe proportionnalité

Artefacts SIEM attendus en audit 2025-2026 : règles de détection actives avec mapping MITRE ATT&CK, logs échantillonnés sur la période d'audit, rapports incidents avec timeline plus remédiation, MTTD (Mean Time To Detect) plus MTTR (Mean Time To Respond) mesurés, tests de non-régression des détections critiques, preuve de rétention conformité.

9. Défis structurels et anti-patterns

Anti-patternCauseRemédiation
Installer SIEM sans detection engineeringVision « outil » au lieu de « programme »Équipe detection engineering dédiée (2-5 personnes)
Ingérer tous les logs possiblesFear of missing outIngestion sélective (critical logs only), sampling intelligent
Garder règles avec 30 %+ de faux positifsPas de processus tuningSprint tuning hebdomadaire, retirement règles non-performantes
Ignorer MITRE ATT&CK mappingCulture SOC traditionnelleMigration progressive vers detection-as-code avec tags
Ne pas versionner les règles GitTradition console clickMigration Sigma + pySigma, dépôt Git dédié detection-rules
SIEM gratuit sans tuningBudget contraint sans expertiseInvestir en formation équipe (ou externaliser MSSP)
Retention 30 jours seulementOptimisation coûtConformité NIS 2 / DORA exige 12 mois minimum

10. Recommandations par profil 2026

Profil organisationSIEM recommandéCoût annuel indicatif
Étudiant / dev curieuxWazuh self-hosted Docker Compose sur VM 8 Go0 € plus infrastructure
PME (10-250 salariés)Wazuh self-hosted ou Elastic Security Basic5-30 k€ infrastructure plus tuning consulting
ETI (250-5 000 salariés)Microsoft Sentinel si Azure, Elastic Security, ou Wazuh mature80-500 k€ par an
Grand compte (5 000+)Splunk Enterprise Security ou Sentinel ou QRadar500 k€ - 5 M€ par an
Banque-assurance régulée DORASentinel (Azure) ou Splunk (tradition) ou QRadar (legacy)1-10 M€ par an
Scale-up tech cloud-firstSentinel (Azure), Chronicle (GCP), Elastic Cloud100-500 k€ par an
MSSP / SOC externaliséMix multi-SIEM selon clientsModèle variable

11. Bilan Zeroday Cyber Academy

Notre recommandation apprentissage SIEM 2026

  • Phase 1 (débutant, 2-3 mois) : déployer Wazuh open-source en Docker Compose sur une VM 8 Go, ingérer logs Windows plus Linux plus pare-feu. Objectif : comprendre la plomberie SIEM, parsers, correlation basique. Gratuit.
  • Phase 2 (confirmé, 3-6 mois) : créer 20-30 règles Sigma en portfolio GitHub public, pratiquer conversion vers SPL et KQL. Objectif : maîtriser detection engineering.
  • Phase 3 (spécialisation, 6-12 mois) : certification Microsoft SC-200 (Security Operations Analyst Associate, Sentinel focus, 165 $) ou Splunk Core Certified Power User (150 $). Objectif : employabilité SOC L2/L3 plus detection engineering.
  • Phase 4 (senior, 12-24 mois) : certification GIAC GCDA (Certified Detection Analyst, SANS, 1 000 $) ou GCIH (Certified Incident Handler) ou spécialisation Microsoft Sentinel avancée. Purple team sprints réguliers.

Ce que nous ne cachons pas

  • Le SIEM est coûteux en licence ET en équipe : compter 2-5 ETP detection engineering plus SOC pour un SIEM mature.
  • Le ROI SIEM dépend de la maturité detection engineering bien plus que du vendor. Un Wazuh bien tuné bat un Splunk non tuné.
  • La convergence SIEM/XDR/SOAR rend le choix d'architecture complexe — éviter les silos technologiques qui compliquent l'investigation transverse.
  • La pénurie de detection engineers tire les salaires vers le haut : 60-90 k€ junior, 90-130 k€ senior en France 2026, spécialistes rares valorisés 10-15 % au-dessus médiane SOC.
  • Un SIEM sans 12 mois de rétention ne passe plus les audits NIS 2 et DORA en 2026.

12. Pour aller plus loin

13. Points clés à retenir

  • SIEM = Security Information and Event Management : plateforme collecte plus corrélation plus détection plus alertes. Terme Gartner 2005.
  • 6 fonctions cœur : ingestion multi-sources, parsing/normalisation, storage, corrélation/détection, alerting, reporting/compliance.
  • 5 leaders 2026 : Splunk Enterprise Security (Cisco 2024), Microsoft Sentinel, Elastic Security, IBM QRadar, Google Chronicle/SecOps.
  • Open-source : Wazuh (leader PME-ETI), OpenSearch Security Analytics, Graylog.
  • SIEM vs SOAR vs XDR vs UEBA : convergence 2023-2026 — plateformes modernes fusionnent tout.
  • Sigma : format YAML open-source standard detection engineering 2026 (SigmaHQ 3 000+ règles, conversion pySigma vers SPL/KQL/EQL/Lucene/AQL).
  • MITRE ATT&CK v15 : framework universel mapping détections, 14 tactiques, 600+ techniques, 1 000+ sous-techniques.
  • Conformité 2026 : NIS 2 article 21.2.f, DORA applicable janvier 2025, PCI-DSS v4.0, ISO 27001 A.8.15-16. Rétention 12 mois minimum.
  • Tarification : 0 € (Wazuh) à 5+ M€ par an (Splunk grand compte). Modèle par GB ingéré dominant.
  • Détection engineering : 70-80 % de la valeur SIEM. Équipe 2-5 ETP dédiés pour SIEM mature.

Le bootcamp DevSecOps Zeroday Cyber Academy inclut un module approfondi SIEM avec labs Wazuh complet en Docker Compose, écriture de 20-30 règles Sigma avec tests unitaires, conversion pySigma vers KQL Microsoft Sentinel et SPL Splunk, mapping MITRE ATT&CK Navigator, preuve de conformité NIS 2 / DORA / PCI-DSS v4.0, et préparation aux certifications Microsoft SC-200 plus Splunk Core Certified Power User.

Questions fréquentes

  • Qu'est-ce qu'un SIEM exactement ?
    Un SIEM (Security Information and Event Management) est une plateforme centralisée qui collecte les logs et événements de sécurité de multiples sources (pare-feu, EDR, serveurs, applications, cloud, identités), les normalise, les corrèle entre eux pour détecter des patterns suspects, génère des alertes, et fournit des interfaces d'investigation pour les analystes SOC. Le terme SIEM a été forgé par Gartner en 2005 pour décrire la convergence de deux catégories précédentes : SIM (Security Information Management, focus archivage et compliance) et SEM (Security Event Management, focus temps réel). Un SIEM 2026 assume 6 fonctions cœur : ingestion multi-sources via connectors, parsing et normalisation vers format commun, storage avec rétention compliance, corrélation temps réel avec règles de détection, alerting et dashboards pour SOC, reporting et compliance pour audit. Les SIEM modernes intègrent progressivement UEBA (behavioral analytics), SOAR (automation réponse) et convergent vers XDR (Extended Detection and Response).
  • Quels sont les SIEM leaders en 2026 ?
    Cinq SIEM dominent le marché commercial 2026. 1) Splunk Enterprise Security (racheté Cisco janvier 2024 pour 28 milliards $) : leader historique, SPL (Search Processing Language) propriétaire, forte adoption grands comptes. 2) Microsoft Sentinel : SIEM cloud-native Azure, KQL (Kusto Query Language), intégration native Microsoft 365/Entra ID/Defender. Croissance rapide depuis 2020. 3) Elastic Security : construit sur Elastic Stack (Elasticsearch, Kibana, Beats), EQL et KQL (Elastic), open-source possible plus commercial. 4) IBM QRadar : SIEM traditionnel enterprise, forte base installée banque-assurance. 5) Google Chronicle (Security Operations) : SIEM cloud-native GCP, rétention un an par défaut, YARA-L langage de détection. Challengers : Sumo Logic (cloud-native moderne), Exabeam (UEBA-first), Securonix (UEBA-first). Open-source : Wazuh (fork OSSEC, très utilisé PME/ETI), Graylog (open-source avec offre commerciale), OpenSearch Security Analytics (fork Elasticsearch). Classement France 2026 : Splunk et Sentinel dominent grands comptes, Elastic Security en croissance scale-ups, Wazuh pour PME/ETI avec contrainte budget.
  • Quelle différence entre SIEM, SOAR, XDR et UEBA ?
    Quatre acronymes SOC en 2026 avec positionnements complémentaires. 1) SIEM (Security Information and Event Management) : plateforme collecte plus corrélation plus détection plus alertes logs. Cœur historique SOC depuis 2005. 2) SOAR (Security Orchestration, Automation and Response) : automatisation des playbooks de réponse à incident, intégration multi-outils via API (fermer compte Entra ID, isoler endpoint EDR, bloquer IP firewall, créer ticket ServiceNow). Leaders 2026 : Splunk SOAR (ex-Phantom), Palo Alto XSOAR (ex-Demisto), Tines, Swimlane. 3) XDR (Extended Detection and Response) : plateforme unifiant endpoint (EDR), réseau (NDR), identité (ITDR), cloud (CSPM/CWPP) dans une UI unique avec corrélation cross-domain. Leaders : Microsoft Defender XDR, CrowdStrike Falcon, Palo Alto Cortex XDR, SentinelOne Singularity. 4) UEBA (User and Entity Behavior Analytics) : détection anomalies comportementales via ML supervisé ou non-supervisé. Leaders : Exabeam, Securonix, Microsoft Sentinel UEBA intégré. Convergence 2023-2026 : les plateformes modernes fusionnent SIEM + SOAR + UEBA (Microsoft Sentinel, Splunk Enterprise Security, Chronicle SecOps) et concurrencent XDR sur le terrain unifié.
  • Combien coûte un SIEM en 2026 ?
    Tarification variable selon modèle commercial, trois archétypes dominants. 1) Par volume de données ingérées (Splunk historique avant refonte 2024) : typiquement 100-300 dollars par GB par jour pour Splunk Enterprise Security, 2-5 dollars par GB ingéré en moyenne pour Microsoft Sentinel Pay-As-You-Go, 0,50-2 dollars par GB pour Elastic Cloud hosted. Ce modèle explose rapidement pour grandes organisations (10-100 TB par mois courant en ETI). 2) Par Workload ou capacité réservée : Sentinel Commitment Tiers (100 GB par jour à partir de 200 $ par jour), Splunk Ingest Pricing annoncé 2024 post-acquisition Cisco. 3) Par événements/seconde (EPS) : modèle QRadar traditionnel, Sumo Logic. 4) Open-source gratuit : Wazuh (communauté), OpenSearch Security Analytics, Elastic Security Basic free tier. Ordre de grandeur 2026 pour ETI moyenne (500-5 000 salariés, 20-100 TB logs par mois) : 150-800 k€ par an Splunk ou Sentinel commercial, 50-200 k€ par an Elastic Cloud hosted, coûts infrastructure seule pour Wazuh self-hosted.
  • Qu'est-ce que Sigma et comment l'utiliser avec un SIEM ?
    Sigma est un format générique open-source pour écrire des règles de détection portables entre SIEM, créé par Florian Roth et Thomas Patzke en 2017. Une règle Sigma est un fichier YAML décrivant une détection (pattern, logique, severity, MITRE ATT&CK tag) qui peut être automatiquement convertie vers le langage natif de chaque SIEM : SPL (Splunk), KQL (Microsoft Sentinel, Elastic), EQL (Elastic), Lucene, QRadar AQL. Repository de référence : SigmaHQ (ex-neo23x0/sigma) avec 3 000+ règles communautaires couvrant Windows, Linux, macOS, cloud, applications. Outil de conversion : pySigma (successeur de sigmac). Workflow typique : 1) équipe detection engineering écrit règles en Sigma, 2) CI convertit en natif SIEM cible via pySigma, 3) déploiement en SIEM de production, 4) versioning Git des règles Sigma comme detection-as-code. Bénéfice : portabilité si changement de SIEM, partage communautaire, détection engineering open-source. Standard de facto 2026 pour detection engineering mature. Voir [Qu'est-ce qu'une purple team](/ressources/metiers-cybersecurite/qu-est-ce-qu-une-purple-team) pour l'usage Sigma en purple team.
  • Comment un SIEM aide-t-il à la conformité NIS 2 et DORA ?
    Le SIEM est un composant obligatoire ou fortement recommandé par les régulations 2026. NIS 2 (directive UE 2022/2555, transposée octobre 2024) : article 21.2.f impose aux entités essentielles et importantes de détecter, traiter et signaler les incidents. Exigences techniques : collection centralisée des logs de sécurité, détection d'anomalies, conservation minimum 12 mois pour investigation post-incident, notification ANSSI sous 24h pour incidents significatifs. DORA (règlement UE 2022/2554, applicable janvier 2025) : entités financières doivent disposer de capacités de détection TIC avec alerting automatisé, logs consolidés, tests d'efficacité réguliers. PCI-DSS v4.0 : exigence 10 impose logging et monitoring, rétention 12 mois minimum. ISO 27001:2022 Annexe A : contrôle A.8.15 Logging, A.8.16 Monitoring activities. Cyber Resilience Act UE applicable décembre 2027 : logs obligatoires pour traçabilité des vulnérabilités produits. Un SIEM structuré avec rétention 12 mois minimum plus détections alignées MITRE ATT&CK plus intégration Sentinel ou Splunk constitue la baseline conformité 2026 pour toute entité cyber mature. Les audits ANSSI plus ACPR plus CNIL 2025-2026 demandent explicitement des artefacts SIEM : règles de détection, logs échantillonnés, rapports incidents, MTTD et MTTR mesurés.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également