Security information management system

Le security information management (SIM, « Gestion de l'information de sécurité ») est une fonction de la sécurité du système d'information qui stocke à long terme, analyse et crée des rapports sur les données des journaux.

Le SIM est parfois confondu avec le SEM (security event management) ou SEIM (security event information management) ou encore avec le SIEM (security information and event management).

Terminologie

Les acronymes SEM, SIM et SIEM sont parfois utilisés de manière interchangeable^[1], mais font généralement référence aux différents objectifs principaux des produits :

• Gestion des logs : elle se concentre sur la collecte et le stockage simple des enregistreurs de données et des pistes d'audit^[2].
• Security information management (SIM, « Gestion de l'information de sécurité ») : il se focalise sur le stockage à long terme ainsi que l'analyse et la création de rapports sur les données des journaux^[3].
• Security event manager (SEM, « Gestion des événements de sécurité ») : il se focalise sur la surveillance en temps réel, la corrélation des événements, les notifications et les tableaux de bords.
• Security information and event management (SIEM, « Gestion de l'information et des événements de sécurité ») : il combine SIM et SEM et fournit une analyse en temps réel des alertes de sécurité générées par le matériel et les applications du réseau^[4],[5].

En pratique, de nombreuses solutions de cyber sécurité mélangent ces fonctions, il y a donc souvent un chevauchement et de nombreux fournisseurs promeuvent leur propre terminologie^[6]. Souvent, les fournisseurs commerciaux proposent différentes combinaisons de ces fonctionnalités qui tendent à améliorer le SIEM dans son ensemble. La gestion des journaux à elle seule ne fournit pas d'informations en temps réel sur la sécurité du réseau, le SEM à lui seul ne fournira pas de données complètes pour une analyse approfondie des menaces. Lorsque le SEM et la gestion des journaux sont combinés, plus d'informations sont disponibles pour que SIEM puisse les surveiller^[3].

Entreprises chefs de file du marché des SIM/SEM

Entreprises chefs de file du marché des SIM/SEM^{[7],[8],[9],[10]} :

• Alcatel-Lucent OA Safeguard
• Araknos Akab2
• BlackStratus Netforensics
• Cisco Cisco Security Manager
• Correlog Correlog Solution Suite
• CS PreludeSIEM - Smart Security - IDMEF
• eIQ Networks SecureView
• Extreme Networks^[11] Solution SIEM
• EMC RSA Security
• Inetum - Keenaï
• HP ArcSight
• IBM Qradar
• LogLogic (en) Enterprise Virtual Appliance (à la suite du rachat de Exaprotect)
• Logpoint^[12] SIEM. But different.
• LogRhythm SIEM 2.0
• NetIQ Security Manager
• NitroSecurity McAfee Enterprise Security Manager (un produit McAfee)
• Novell Sentinel
• Q1 Labs Qradar (Groupe IBM)
• SenSage Advanced SIEM and Log Management
• Sekoia
• Splunk Splunk Enterprise
• Symantec Security Information Manager (le produit n'est plus commercialisé)^[13]
• Tripwire Log Center
• TrustWave Intellitactics Security Manager for SIEM
• McAfee ESM
• Stack Elastic (avec le X-pack)^[14]