{"id":23963,"date":"2026-06-04T10:44:35","date_gmt":"2026-06-04T08:44:35","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23963"},"modified":"2026-06-04T10:44:35","modified_gmt":"2026-06-04T08:44:35","slug":"kaspersky-siem-correlation-evolution","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/kaspersky-siem-correlation-evolution\/23963\/","title":{"rendered":"L&rsquo;\u00e9volution des r\u00e8gles de corr\u00e9lation SIEM"},"content":{"rendered":"<p>Pour faire simple, le fonctionnement classique d\u2019un syst\u00e8me SIEM est le suivant\u00a0: si l\u2019\u00e9v\u00e9nement\u00a0A se produit, suivi de l\u2019\u00e9v\u00e9nement\u00a0B, il peut s\u2019agir d\u2019un signe d\u2019attaque, et un sp\u00e9cialiste de la s\u00e9curit\u00e9 de l\u2019information doit alors \u00eatre alert\u00e9. Mais dans le contexte actuel, ce sc\u00e9nario simple ne fonctionne plus aussi bien. Tout r\u00e9cemment, nos experts ont <a href=\"https:\/\/securelist.com\/notepad-supply-chain-attack\/118708\/\" target=\"_blank\" rel=\"noopener\">analys\u00e9 un incident tr\u00e8s m\u00e9diatis\u00e9<\/a>\u00a0: des pirates ont compromis l\u2019infrastructure de mise \u00e0 jour du c\u00e9l\u00e8bre logiciel Notepad++ et ont diffus\u00e9 des programmes malveillants via ce m\u00e9canisme de mise \u00e0 jour. Il est tout simplement impossible de pr\u00e9voir des r\u00e8gles sp\u00e9cifiques pour faire face \u00e0 de tels sc\u00e9narios.<\/p>\n<p>Les attaques elles-m\u00eames sont devenues plus complexes : les pirates utilisent des outils authentiques, ils s\u2019introduisent dans la cha\u00eene d\u2019approvisionnement en compromettant des logiciels situ\u00e9s en dehors du p\u00e9rim\u00e8tre de l\u2019entreprise, \u00e9talent leurs op\u00e9rations sur la dur\u00e9e et font passer leurs actions pour des activit\u00e9s normales. <strong>Autrement dit, ils ne \u00ab\u00a0s\u2019introduisent\u00a0\u00bb pas dans l\u2019infrastructure. La plupart du temps, ils se connectent et utilisent des logiciels l\u00e9gitimes. <\/strong>De ce fait, les r\u00e8gles fixes traditionnelles d\u2019autrefois ne se d\u00e9clenchent pas ou g\u00e9n\u00e8rent un trop grand nombre de fausses alertes. C\u2019est ce qui a conduit \u00e0 l\u2019adoption de sc\u00e9narios de corr\u00e9lation plus souples.<\/p>\n<h2>Contenu SIEM mis \u00e0 jour dynamiquement<\/h2>\n<p>Le contenu de corr\u00e9lation ne constitue pas aujourd\u2019hui un ensemble statique de r\u00e8gles, mais un processus\u00a0: il \u00e9volue constamment et s\u2019adapte aux menaces actuelles. Rien qu\u2019en 2025, nous avons publi\u00e9 55\u00a0mises \u00e0 jour de modules de r\u00e8gles pour diff\u00e9rentes versions et langues de notre syst\u00e8me Kaspersky SIEM. En l\u2019espace d\u2019un an seulement, nous avons ajout\u00e9 10\u00a0nouveaux ensembles de r\u00e8gles, ainsi que 250\u00a0r\u00e8gles de d\u00e9tection et de nombreuses am\u00e9liorations au contenu existant. Cette ann\u00e9e, nous avons d\u00e9j\u00e0 ajout\u00e9 43\u00a0nouvelles r\u00e8gles et affin\u00e9 63\u00a0autres. Au total, cela repr\u00e9sente plus de 850\u00a0r\u00e8gles couvrant une grande partie du cadre MITRE ATT&amp;CK.<\/p>\n<p>Les r\u00e8gles SIEM de Kaspersky sont \u00e9labor\u00e9es sur la base des connaissances de nos experts, qui analysent des attaques r\u00e9centes et r\u00e9elles\u00a0: nous nous appuyons principalement sur les conclusions de notre service Managed Detection and Response (MDR) et de nos recherches sur les menaces. Nos r\u00e8gles couvrent donc des sc\u00e9narios allant de la reconnaissance \u00e0 l\u2019escalade de privil\u00e8ges, qui impliquent les derni\u00e8res techniques utilis\u00e9es par les pirates. Par exemple, nous d\u00e9tectons l\u2019utilisation de nouvelles techniques d\u2019attaque telles que <a href=\"https:\/\/securelist.com\/toolshell-explained\/117045\/\" target=\"_blank\" rel=\"noopener\">ToolShell<\/a>.<\/p>\n<p>Outre les mises \u00e0 jour programm\u00e9es, l\u2019\u00e9quipe publie r\u00e9guli\u00e8rement ce qu\u2019on appelle du \u00ab\u00a0contenu d\u2019urgence\u00a0\u00bb : des ensembles de r\u00e8gles permettant de r\u00e9agir rapidement aux techniques d\u2019attaque nouvelles et impr\u00e9vues. En f\u00e9vrier, par exemple, des r\u00e8gles de d\u00e9tection ont \u00e9t\u00e9 publi\u00e9es concernant le contournement <a href=\"https:\/\/www.kaspersky.com\/blog\/forticloud-authentication-siem-rules\/55241\/\" target=\"_blank\" rel=\"noopener nofollow\">de l\u2019authentification dans les produits Fortinet<\/a> via le m\u00e9canisme d\u2019authentification unique (SSO)\u00a0: les pirates utilisaient des requ\u00eates SAML sp\u00e9cialement con\u00e7ues pour acc\u00e9der aux syst\u00e8mes sans identifiants.<\/p>\n<h2>Des \u00e9v\u00e9nements aux cha\u00eenes d\u2019attaques<\/h2>\n<p>De plus, les r\u00e8gles SIEM modernes ne d\u00e9crivent plus des \u00e9v\u00e9nements isol\u00e9s, mais plut\u00f4t des encha\u00eenements d\u2019actions. Les sc\u00e9narios s\u2019articulent autour des diff\u00e9rentes \u00e9tapes d\u2019une attaque\u00a0: de l\u2019acc\u00e8s initial \u00e0 l\u2019escalade des privil\u00e8ges et \u00e0 la persistance. L\u2019efficacit\u00e9 de Kaspersky SIEM est renforc\u00e9e gr\u00e2ce \u00e0 son int\u00e9gration avec Kaspersky EDR et \u00e0 des ensembles de r\u00e8gles d\u00e9di\u00e9s pour Active Directory, qui mettent en \u0153uvre des dizaines de sc\u00e9narios de d\u00e9tection d\u2019attaques \u00e0 diff\u00e9rentes \u00e9tapes. Cette approche nous permet de ne pas nous limiter \u00e0 des signaux isol\u00e9s, mais d\u2019avoir une vue d\u2019ensemble.<\/p>\n<h2>Int\u00e9gration et visibilit\u00e9 interne<\/h2>\n<p>Une autre fa\u00e7on d\u2019am\u00e9liorer l\u2019efficacit\u00e9 d\u2019un syst\u00e8me SIEM consiste \u00e0 \u00e9largir les sources de donn\u00e9es. Un syst\u00e8me SIEM classique regroupe les \u00e9v\u00e9nements provenant de diff\u00e9rents niveaux de l\u2019infrastructure\u00a0: des journaux aux donn\u00e9es t\u00e9l\u00e9m\u00e9triques des terminaux et des syst\u00e8mes internes. De plus, notre syst\u00e8me SIEM int\u00e8gre des ensembles de r\u00e8gles sp\u00e9cialis\u00e9s pour nos autres solutions (Kaspersky Security Center, Kaspersky Security for Mail Groups et plateforme K Anti-Targeted Attack), qui permettent de surveiller les actions des administrateurs, l\u2019authentification et l\u2019\u00e9tat des services. Le syst\u00e8me devient ainsi un outil permettant non seulement de d\u00e9tecter les attaques, mais aussi de surveiller l\u2019activit\u00e9 interne.<\/p>\n<p>De mani\u00e8re g\u00e9n\u00e9rale, le SIEM n\u2019est plus seulement un ensemble de r\u00e8gles, mais s\u2019est transform\u00e9 en un syst\u00e8me de d\u00e9tection mis \u00e0 jour en permanence. Son efficacit\u00e9 ne d\u00e9pend pas du nombre de d\u00e9tections, mais de leur pertinence, de leur coh\u00e9rence et de la mesure dans laquelle elles refl\u00e8tent fid\u00e8lement les actions r\u00e9elles des pirates. Restez inform\u00e9 des derni\u00e8res actualit\u00e9s relatives \u00e0 notre plateforme Kaspersky Unified Monitoring and Analysis Platform (SIEM) <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/unified-monitoring-and-analysis-platform?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">sur la page officielle du produit<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"22895\">\n","protected":false},"excerpt":{"rendered":"<p>Nous cr\u00e9ons r\u00e9guli\u00e8rement de nouvelles r\u00e8gles SIEM, mais en coulisses se cache un processus plus fondamental : l&rsquo;\u00e9volution des r\u00e8gles de corr\u00e9lation elles-m\u00eames.<\/p>\n","protected":false},"author":2757,"featured_media":23965,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[2456,4605,3522],"class_list":{"0":"post-23963","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-comptes","10":"tag-regles-de-correlation","11":"tag-siem"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kaspersky-siem-correlation-evolution\/23963\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kaspersky-siem-correlation-evolution\/30712\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kaspersky-siem-correlation-evolution\/25764\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kaspersky-siem-correlation-evolution\/30562\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kaspersky-siem-correlation-evolution\/32141\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kaspersky-siem-correlation-evolution\/41787\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kaspersky-siem-correlation-evolution\/55761\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kaspersky-siem-correlation-evolution\/25021\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/kaspersky-siem-correlation-evolution\/33525\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kaspersky-siem-correlation-evolution\/30619\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kaspersky-siem-correlation-evolution\/36221\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kaspersky-siem-correlation-evolution\/36114\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/siem\/","name":"siem"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23963","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2757"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23963"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23963\/revisions"}],"predecessor-version":[{"id":23967,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23963\/revisions\/23967"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23965"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23963"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}