{"id":22893,"date":"2025-06-20T12:54:18","date_gmt":"2025-06-20T10:54:18","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22893"},"modified":"2025-06-20T12:54:18","modified_gmt":"2025-06-20T10:54:18","slug":"open-source-siem-hidden-costs","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/open-source-siem-hidden-costs\/22893\/","title":{"rendered":"Les co\u00fbts cach\u00e9s d’un SIEM gratuit"},"content":{"rendered":"

Selon le rapport \u00ab\u00a0State of Open Source\u00a0\u00bb d\u2019OpenLogic, 96 % des organisations interrog\u00e9es utilisent des solutions \u00e0 code source ouvert (OSS). On trouve de telles solutions dans tous les segments du march\u00e9 des technologies de l\u2019information, y compris les outils d\u2019infos\u00e9curit\u00e9. Elles sont d\u2019ailleurs souvent recommand\u00e9es lors de la mise en place de syst\u00e8mes SIEM.<\/p>\n

\u00c0 premi\u00e8re vue, les solutions \u00e0 code source ouvert semblent \u00eatre un excellent choix. La fonction premi\u00e8re d\u2019un syst\u00e8me SIEM est la collecte syst\u00e9matique de t\u00e9l\u00e9m\u00e9trie et la corr\u00e9lation, que vous pouvez configurer \u00e0 l\u2019aide d\u2019outils de stockage et de traitement des donn\u00e9es bien connus. Il vous suffit de rassembler toutes vos donn\u00e9es \u00e0 l\u2019aide de Logstash, de connecter Elasticsearch<\/a>, de construire les visualisations dont vous avez besoin avec Kibana<\/a>, et le tour est jou\u00e9\u00a0! Une recherche rapide vous permettra m\u00eame de trouver des solutions SIEM \u00e0 code ouvert pr\u00eates \u00e0 l\u2019emploi (souvent bas\u00e9es sur les m\u00eames composants). Avec les SIEM, adapter \u00e0 la fois la collecte et le traitement des donn\u00e9es aux besoins sp\u00e9cifiques de votre organisation est toujours essentiel, et un syst\u00e8me \u00e0 code source ouvert personnalis\u00e9 offre des possibilit\u00e9s infinies \u00e0 cet \u00e9gard. En outre, le co\u00fbt de la licence est nul. Toutefois, le succ\u00e8s de cette entreprise d\u00e9pend de votre \u00e9quipe de d\u00e9veloppement, des particularit\u00e9s de votre organisation, du temps qu\u2019elle est pr\u00eate \u00e0 attendre pour obtenir des r\u00e9sultats et du montant qu\u2019elle est pr\u00eate \u00e0 investir dans un soutien continu.<\/p>\n

Le temps c\u2019est de l\u2019argent<\/h2>\n

Une question cl\u00e9 (dont l\u2019importance est constamment sous-estim\u00e9e) est de d\u00e9terminer combien de temps il faudra avant que le SIEM de votre entreprise ne soit pas seulement op\u00e9rationnel, mais qu\u2019il commence \u00e0 apporter une r\u00e9elle valeur ajout\u00e9e. Les donn\u00e9es<\/a> de Gartner indiquent qu\u2019il faut en moyenne six mois pour mettre en \u0153uvre un SIEM pr\u00eat \u00e0 l\u2019emploi, m\u00eame avec toutes ses fonctionnalit\u00e9s, et qu\u2019une entreprise sur dix y consacre un an. Et si vous cr\u00e9ez votre propre SIEM ou si vous adaptez une solution \u00e0 code source ouvert, vous devez vous attendre \u00e0 ce que ce d\u00e9lai double ou triple. Lors de l\u2019\u00e9tablissement du budget, multipliez ce temps par le taux horaire de vos d\u00e9veloppeurs. Il est \u00e9galement difficile d\u2019imaginer qu\u2019un SIEM \u00e0 part enti\u00e8re puisse \u00eatre mis en place par une seule personne talentueuse \u2013 votre entreprise devra disposer d\u2019une \u00e9quipe enti\u00e8re.<\/p>\n

Un pi\u00e8ge psychologique courant consiste \u00e0 se laisser tromper par la rapidit\u00e9 d\u2019\u00e9laboration d\u2019un prototype. Il est possible de d\u00e9ployer une solution \u00e0 code source ouvert pr\u00eate \u00e0 l\u2019emploi dans un environnement de test en quelques jours seulement, mais la rendre de qualit\u00e9 industrielle peut durer des mois, voire des ann\u00e9es.<\/p>\n

P\u00e9nuries de comp\u00e9tences<\/h2>\n

Un SIEM doit collecter, indexer et analyser des milliers d\u2019\u00e9v\u00e9nements par seconde. La conception d\u2019un syst\u00e8me \u00e0 forte charge, ou m\u00eame l\u2019adaptation d\u2019un syst\u00e8me existant, requiert des comp\u00e9tences particuli\u00e8res et tr\u00e8s demand\u00e9es. Au-del\u00e0 des d\u00e9veloppeurs, le projet aurait besoin d\u2019administrateurs informatiques, d\u2019ing\u00e9nieurs DevOps, d\u2019analystes et m\u00eame de concepteurs de tableaux de bord hautement qualifi\u00e9s.<\/p>\n

Les cr\u00e9ateurs de SIEM doivent \u00e9galement surmonter le manque d\u2019exp\u00e9rience pratique n\u00e9cessaire pour r\u00e9diger des r\u00e8gles de normalisation efficaces, des logiques de corr\u00e9lation et d\u2019autres contenus fournis par les solutions SIEM commerciales<\/a>. Bien entendu, m\u00eame ce contenu pr\u00eat \u00e0 l\u2019emploi requiert des ajustements significatifs, mais il est \u00e0 la fois plus rapide et plus facile de l\u2019adapter aux normes de votre organisation.<\/p>\n

Conformit\u00e9<\/h2>\n

Pour de nombreuses entreprises, disposer d\u2019un syst\u00e8me SIEM est une exigence r\u00e9glementaire. Les entit\u00e9s qui con\u00e7oivent elles-m\u00eames un SIEM ou mettent en \u0153uvre une solution \u00e0 code source ouvert doivent d\u00e9ployer des efforts consid\u00e9rables pour se mettre en conformit\u00e9. Elles doivent elles-m\u00eames adapter les capacit\u00e9s de leur SIEM aux exigences r\u00e9glementaires, contrairement aux utilisateurs de syst\u00e8mes commerciaux, qui sont souvent dot\u00e9s d\u2019un processus de certification int\u00e9gr\u00e9 et de tous les outils n\u00e9cessaires pour assurer la mise en conformit\u00e9.<\/p>\n

Parfois, la direction peut vouloir mettre en \u0153uvre un SIEM simplement pour \u00ab\u00a0cocher une case\u00a0\u00bb, dans le but de minimiser les d\u00e9penses. Cependant, \u00e9tant donn\u00e9 que la norme PCI DSS, le RGPD et d\u2019autres cadres r\u00e9glementaires locaux exigent une mise en \u0153uvre compl\u00e8te et efficace du SIEM, et non sa pr\u00e9sence symbolique, un syst\u00e8me SIEM install\u00e9 pour faire bonne figure \u00e9chouerait \u00e0 tout audit.<\/p>\n

La mise en conformit\u00e9 n\u2019est pas une question \u00e0 prendre en compte uniquement au moment de la mise en \u0153uvre. Si, pendant la maintenance et l\u2019exploitation autonomes, certains composants de votre solution cessent de recevoir des mises \u00e0 jour et atteignent leur fin de vie, vos chances de r\u00e9ussir un audit de s\u00e9curit\u00e9 s\u2019amenuiseraient consid\u00e9rablement<\/a>.<\/p>\n

D\u00e9pendance du fournisseur ou d\u00e9pendance des employ\u00e9s<\/h2>\n

La deuxi\u00e8me raison la plus importante pour laquelle les organisations envisagent une solution \u00e0 code ouvert a toujours \u00e9t\u00e9 la flexibilit\u00e9 dans l\u2019adaptation \u00e0 leurs besoins, ainsi que le fait de ne pas d\u00e9pendre de la feuille de route de d\u00e9veloppement et des d\u00e9cisions en mati\u00e8re de licence d\u2019un \u00e9diteur de logiciels.<\/p>\n

Ces deux arguments sont convaincants et, dans les grandes organisations, ils peuvent parfois l\u2019emporter sur d\u2019autres facteurs. Cependant, il est important de faire ce choix en \u00e9tant pleinement conscient du pour et du contre\u00a0:<\/p>\n