siem
Pour faire simple, le fonctionnement classique d’un système SIEM est le suivant : si l’événement A se produit, suivi de l’événement B, il peut s’agir d’un signe d’attaque, et un spécialiste de la sécurité de l’information doit alors être alerté. Mais dans le contexte actuel, ce scénario simple ne fonctionne plus aussi bien. Tout récemment, nos experts ont analysé un incident très médiatisé : des pirates ont compromis l’infrastructure de mise à jour du célèbre logiciel Notepad++ et ont diffusé des programmes malveillants via ce mécanisme de mise à jour. Il est tout simplement impossible de prévoir des règles spécifiques pour faire face à de tels scénarios.
Les attaques elles-mêmes sont devenues plus complexes : les pirates utilisent des outils authentiques, ils s’introduisent dans la chaîne d’approvisionnement en compromettant des logiciels situés en dehors du périmètre de l’entreprise, étalent leurs opérations sur la durée et font passer leurs actions pour des activités normales. Autrement dit, ils ne « s’introduisent » pas dans l’infrastructure. La plupart du temps, ils se connectent et utilisent des logiciels légitimes. De ce fait, les règles fixes traditionnelles d’autrefois ne se déclenchent pas ou génèrent un trop grand nombre de fausses alertes. C’est ce qui a conduit à l’adoption de scénarios de corrélation plus souples.
Contenu SIEM mis à jour dynamiquement
Le contenu de corrélation ne constitue pas aujourd’hui un ensemble statique de règles, mais un processus : il évolue constamment et s’adapte aux menaces actuelles. Rien qu’en 2025, nous avons publié 55 mises à jour de modules de règles pour différentes versions et langues de notre système Kaspersky SIEM. En l’espace d’un an seulement, nous avons ajouté 10 nouveaux ensembles de règles, ainsi que 250 règles de détection et de nombreuses améliorations au contenu existant. Cette année, nous avons déjà ajouté 43 nouvelles règles et affiné 63 autres. Au total, cela représente plus de 850 règles couvrant une grande partie du cadre MITRE ATT&CK.
Les règles SIEM de Kaspersky sont élaborées sur la base des connaissances de nos experts, qui analysent des attaques récentes et réelles : nous nous appuyons principalement sur les conclusions de notre service Managed Detection and Response (MDR) et de nos recherches sur les menaces. Nos règles couvrent donc des scénarios allant de la reconnaissance à l’escalade de privilèges, qui impliquent les dernières techniques utilisées par les pirates. Par exemple, nous détectons l’utilisation de nouvelles techniques d’attaque telles que ToolShell.
Outre les mises à jour programmées, l’équipe publie régulièrement ce qu’on appelle du « contenu d’urgence » : des ensembles de règles permettant de réagir rapidement aux techniques d’attaque nouvelles et imprévues. En février, par exemple, des règles de détection ont été publiées concernant le contournement de l’authentification dans les produits Fortinet via le mécanisme d’authentification unique (SSO) : les pirates utilisaient des requêtes SAML spécialement conçues pour accéder aux systèmes sans identifiants.
Des événements aux chaînes d’attaques
De plus, les règles SIEM modernes ne décrivent plus des événements isolés, mais plutôt des enchaînements d’actions. Les scénarios s’articulent autour des différentes étapes d’une attaque : de l’accès initial à l’escalade des privilèges et à la persistance. L’efficacité de Kaspersky SIEM est renforcée grâce à son intégration avec Kaspersky EDR et à des ensembles de règles dédiés pour Active Directory, qui mettent en œuvre des dizaines de scénarios de détection d’attaques à différentes étapes. Cette approche nous permet de ne pas nous limiter à des signaux isolés, mais d’avoir une vue d’ensemble.
Intégration et visibilité interne
Une autre façon d’améliorer l’efficacité d’un système SIEM consiste à élargir les sources de données. Un système SIEM classique regroupe les événements provenant de différents niveaux de l’infrastructure : des journaux aux données télémétriques des terminaux et des systèmes internes. De plus, notre système SIEM intègre des ensembles de règles spécialisés pour nos autres solutions (Kaspersky Security Center, Kaspersky Security for Mail Groups et plateforme K Anti-Targeted Attack), qui permettent de surveiller les actions des administrateurs, l’authentification et l’état des services. Le système devient ainsi un outil permettant non seulement de détecter les attaques, mais aussi de surveiller l’activité interne.
De manière générale, le SIEM n’est plus seulement un ensemble de règles, mais s’est transformé en un système de détection mis à jour en permanence. Son efficacité ne dépend pas du nombre de détections, mais de leur pertinence, de leur cohérence et de la mesure dans laquelle elles reflètent fidèlement les actions réelles des pirates. Restez informé des dernières actualités relatives à notre plateforme Kaspersky Unified Monitoring and Analysis Platform (SIEM) sur la page officielle du produit.
Conseils