Zeroday Cyber Academy

Glossaire cyber

SIEM - Security Information Event Management 2026

SIEM : leaders 2026 (Splunk-Cisco, Sentinel, Elastic, Chronicle, XSIAM ex-QRadar), tarification ingestion, Sigma, SIEM vs XDR, NIS2/DORA et data lake.

Naim Aouaichia
15 min de lecture
  • Glossaire
  • SIEM
  • SOC
  • Splunk
  • Microsoft Sentinel
  • Compliance
  • Detection Engineering

Le SIEM (Security Information and Event Management) est la plateforme d'agrégation, de corrélation, d'alerte et de rétention long terme des logs de sécurité d'une organisation. Le terme a été forgé par Mark Nicolett et Amrit Williams (Gartner) en 2005, fusion conceptuelle des catégories antérieures SIM (Security Information Management, retention) et SEM (Security Event Management, real-time correlation). En 2026, le marché SIEM mondial pèse environ 6-8 milliards de dollars, profondément remanié par deux opérations 2024 : Cisco a acquis Splunk pour 28 milliards de dollars (finalisation 18 mars 2024) et IBM a vendu QRadar SaaS à Palo Alto Networks (août 2024, devenu Cortex XSIAM). Les leaders 2026 : Splunk Enterprise Security (Cisco), Microsoft Sentinel, Elastic Security, Cortex XSIAM, Google Chronicle Security Operations, Sumo Logic, Securonix, Exabeam. Comprendre l'arbitrage SIEM vs XDR, la tarification à l'ingestion (le piège budgétaire), le rôle de Sigma comme format pivot, l'architecture data lake en couches (Cribl + Snowflake), et les drivers compliance NIS2 / DORA / PCI-DSS est non-négociable pour tout RSSI ou architecte SOC en 2026.

Pour le contexte adjacent : voir XDR - Extended Detection and Response pour la couche cross-domain qui complète le SIEM, et EDR - Endpoint Detection and Response pour la brique endpoint dont le SIEM ingère la télémétrie.

1. Définition précise et historique

Un SIEM combine cinq fonctions distinctes :

  1. Collecte multi-sources : ingestion via syslog, Filebeat, Splunk Universal Forwarder, agents propriétaires, APIs cloud (CloudTrail, Activity Logs), webhooks.
  2. Parsing et normalisation : extraction des champs structurés, mapping vers un schéma commun (CIM Splunk, ECS Elastic, ASIM Sentinel).
  3. Corrélation : règles temps réel ou search rétrospectif sur fenêtres glissantes, langages SPL/KQL/EQL/AQL/YARA-L.
  4. Alerting : déclenchement de tickets, intégrations SOAR, notifications.
  5. Rétention : stockage long terme indexé pour forensics, compliance, audit (typiquement 1-7 ans selon réglementation).

Le terme SIEM a été introduit par Mark Nicolett et Amrit Williams (analystes Gartner) dans un report de mai 2005 : « Improve IT Security with Vulnerability Management ». La fusion SIM + SEM = SIEM était une réponse à la fragmentation du marché log management (SIM, focus retention/compliance) et corrélation temps réel (SEM). Le marché s'est consolidé autour du terme SIEM dès 2007-2008.

Architecture macro d'un SIEM moderne 2026 :

Sources logs (endpoint, network, identity, cloud, app)
         │
         ▼
   Forwarders / Collectors (Splunk UF, Filebeat, syslog-ng, Cribl)
         │
         ▼
   Parser / Normalisation (CIM, ECS, ASIM, ASIM-equivalent)
         │
         ▼
  Hot Index / Engine (Splunk indexer, Sentinel Log Analytics, Elasticsearch)
         │
         ├──► Correlation rules (SPL/KQL/EQL/AQL/YARA-L)
         ├──► Detection (alerts, incidents, dashboards)
         ├──► Search (analyste, hunt, forensics)
         │
         ▼
  Cold tier / Archive (S3 Glacier, Azure Archive, Snowflake)

2. Leaders du marché SIEM 2026

Tableau des produits dominants 2026 (sources : Gartner Magic Quadrant SIEM 2024, Forrester Wave Security Analytics Platforms 2024) :

ProduitVendorTypeForce 2026LimiteTarif indicatif
Splunk Enterprise SecurityCisco (depuis mars 2024)On-prem + CloudSPL mature, écosystème apps, marché US dominantTarif premium, négociation longue1500-3000 €/GB/an workload
Microsoft SentinelMicrosoftCloud-native (Azure)Intégration M365 + Defender XDR + Security CopilotLock-in Azure, complexité licensing~2.5-3 €/GB ingéré PAYG
Elastic SecurityElasticSelf-hosted ou cloudOpen ecosystem ELK, prix accessibleOps lourde si self-hosted1-2 $/GB cloud, free self-host
Cortex XSIAMPalo Alto (ex-QRadar IBM, août 2024)Cloud-nativeIntégration Cortex XDR + NGFW Palo AltoMigration QRadar→XSIAM complexeVariable, sur quote
Chronicle Security OperationsGoogleCloud-nativeIngestion forfaitaire (vol illimité), backbone Google scaleAdoption marché plus modesteForfait par employé/an
Sumo LogicSumo Logic (ex-Francisco Partners 2023)Cloud-nativeMulti-tenant SaaS, easy onboardingCouverture sources moins riche1.5-3 €/GB
SecuronixSecuronixCloud-nativeUEBA mature, focus insider threatDépendance Snowflake parfoisVariable
ExabeamExabeamCloud-nativeUEBA, automation playbooksRoadmap chahutée 2023-2024Variable
LogRhythmLogRhythm (Exabeam fusion 2024)On-prem + CloudMarché midmarket US, MITRE ATT&CKFusion en cours avec ExabeamVariable
WazuhWazuh OSSOpen sourceGratuit, MITRE ATT&CK mapping, FIMPas un SIEM pur, plus lightGratuit + infra

Position tranchée 2026 :

  • Pour une organisation alignée Microsoft 365 E5 : Sentinel rarement contestable, intégration Defender XDR + Copilot.
  • Pour une organisation multi-cloud, ingestion volume très élevé (>1 TB/jour) : Chronicle Google avec son modèle d'ingestion forfaitaire est souvent imbattable.
  • Pour une organisation déjà investie en SPL Splunk avec 500+ règles existantes : rester sur Splunk Cisco, le coût de migration domine les économies.
  • Pour une organisation on-prem souverain (santé France HDS, défense) : Splunk Enterprise on-prem ou Elastic self-hosted, Sentinel et Chronicle ne conviennent pas à cause de la juridiction Cloud.

3. Tarification SIEM - le piège budgétaire

La tarification SIEM est dominée historiquement par deux modèles :

ModèleMesureVendors typiquesPiège
Volume ingéré (GB/jour)Total GB/jourSplunk, Sentinel, Elastic Cloud, Sumo LogicVolume explose avec verbose logs
Events Per Second (EPS)EPS soutenuQRadar/XSIAM legacyPic d'EPS = surfacturation
Forfait par employéNb employés / endpointChronicle, certains SumoVolume non-corrélé au prix
Compute / WorkloadWorkload pricingSplunk Cloud Workload PricingModèle hybride récent

Tarification ordre de grandeur 2026 (sources : public pricing pages + retours d'expérience SOC 2024-2026) :

VendorModèlePrix indicatifVolume cible
Splunk CloudWorkload Pricing (SVC) ou Volume~3 SVC/mois pour 100 GB/jour ; ~1500-3000 €/GB/an workload100 GB-10 TB/jour
Microsoft SentinelPAYG ou Commitment2.6 €/GB PAYG ; 1.3-1.9 €/GB engagement 100 GB/jour50 GB-5 TB/jour
Elastic CloudHot/Warm/Cold tier~1-2 $/GB hot ingest10 GB-1 TB/jour
ChronicleForfait employés (volumes illimités)45 €-200/employé/an typiqueTout volume
Sumo LogicContinuous Tier ingestion1.5-3 €/GB10 GB-500 GB/jour

Calcul TCO réaliste 2026 pour une organisation 5 000 endpoints + 10 000 employés :

  • Volume Windows Event Logs (full audit policy) : ~500 GB/jour brut.
  • Volume EDR + sysmon : ~150 GB/jour.
  • Volume cloud (M365 audit, Entra ID, AWS CloudTrail, Azure Activity) : ~100 GB/jour.
  • Volume network (firewall, proxy, DNS) : ~250 GB/jour.
  • Total brut : ~1 TB/jour = ~365 TB/an.

Sans optimisation : facture annuelle Splunk ou Sentinel typique 800 k€ à 2 M€. Avec filtrage Cribl + tiering hot/cold : 300 k€ à 700 k€. Le delta justifie largement l'effort d'optimisation.

4. Sigma - le format pivot des règles de détection

Sigma (https://github.com/SigmaHQ/sigma) est le format YAML communautaire devenu standard de fait pour décrire les règles de détection de manière portable entre SIEM. Initié par Florian Roth (Nextron Systems) et Thomas Patzke vers 2017, le repo SigmaHQ contient ~3000 règles ATT&CK-mapped en 2026.

Compilation Sigma → SIEM cible via pySigma (Python) ou uncoder.io (web SaaS) :

Backend SigmaSIEM cibleLangage compilé
splunkSplunk Enterprise SecuritySPL
microsoft365defenderMicrosoft SentinelKQL
elasticsearchElastic SecurityEQL / KQL / Lucene
qradarIBM QRadar / XSIAMAQL
chronicleGoogle ChronicleYARA-L 2.0
sumologicSumo Logicsearch syntax
wazuhWazuhWazuh rules XML
crowdstrikeCrowdStrike FalconCQL

Exemple d'une règle Sigma compilée vers KQL pour Microsoft Sentinel :

# Installation pySigma
pip install pysigma pysigma-backend-microsoft365defender
 
# Compilation Sigma → KQL
sigma convert -t microsoft365defender \
  -p microsoft365defender \
  rules/windows/process_creation/proc_creation_win_certutil_download.yml
 
# Output : KQL prêt à coller dans Sentinel Analytics Rule
# DeviceProcessEvents
# | where ((FileName =~ "certutil.exe" ...) and (ProcessCommandLine has_any (...)))

Workflow recommandé 2026 :

  1. Versionner les règles Sigma dans un Git repo dédié à la detection-as-code.
  2. Peer review sur les nouvelles règles ou modifications.
  3. CI/CD : à chaque merge, pysigma compile vers KQL/SPL/EQL et déploie automatiquement vers Sentinel/Splunk via API.
  4. Validation Atomic Red Team : exécuter les atomics ATT&CK correspondants en pre-deploy pour vérifier le déclenchement.
  5. Mesure : ATT&CK Navigator par technique × règle Sigma, gap analysis trimestriel.

Cette approche detection-as-code est ce qui distingue un SOC mature 2026. Vendor switching SIEM (ex. Splunk → Sentinel) devient un projet de 3-6 mois au lieu de 18 mois quand les règles sont en Sigma versionné.

5. SIEM vs XDR vs Data Lake Security - architecture en couches

Le débat SIEM/XDR/Data Lake en 2026 n'est plus « lequel choisir » mais « comment les combiner ». Architecture cible mature :

CoucheRôleOutils 2026Rétention
Real-time detection cross-domainDetection + alerting + correlation nativeXDR (Defender XDR, Cortex XDR, Falcon XDR)30-180 jours
Custom correlation + complianceCustom rules métier, compliance retention 1-7 ansSIEM (Splunk, Sentinel, Elastic, Chronicle)1-7 ans
Cold tier / forensicsStockage low-cost, search ad-hocSnowflake, Databricks, S3 + Athena, Cribl5-10 ans
Pipeline routingFiltrer, dédupliquer, router vers la bonne coucheCribl Stream, Vector, LogstashStreaming
SOARPlaybooks automationSplunk SOAR, Cortex XSOAR, Tines, Sentinel Logic AppsN/A

Position tranchée : la séparation hot tier / cold tier est devenue obligatoire pour toute organisation > 500 GB/jour en 2026. Garder 5 ans de Windows Event Logs verbose dans le SIEM hot est financièrement déraisonnable, coût 4.5 €-15 par GB par an alors que S3 Glacier ou Snowflake long-term offre 0.10-0.50 $/GB/an pour les mêmes données. Le pipeline source → Cribl → SIEM hot (90j) + Snowflake cold (5 ans) est l'archétype 2026.

Vendors data lake security notables : Cribl (logiciel pipeline + Cribl Search pour query S3 directement), Panther Labs (SIEM cloud-native sur Snowflake), Anvilogic, Hunters, Snowflake Cortex Security.

6. Cas d'usage SIEM en 2026 - où il reste irremplaçable

Cas d'usagePourquoi SIEMPourquoi pas XDR seul
Compliance retention 1-7 ansNIS2, DORA, PCI-DSS, HDS, ISO 27001XDR retient 30-180j typique
Custom correlation métierFraude, anomalie business, IAM customXDR = règles vendor figées
Sources non-couvertes XDRMainframe, OT/SCADA, app métier custom, IoT bespokeXDR catalogue intégrations limité
Forensics rétrospectifIncident découvert N+18 moisHors fenêtre XDR
Audit trail completRégulateurs demandent "tous les logs"XDR alertes seulement
UEBA matureUser/Entity Behavior Analytics, baselining MLXDR UEBA souvent moins sophistiqué
Threat hunting customHypothèses spécifiques métierXDR rules pre-built
Multi-tenancy MSSPMSSP gérant 100+ clientsXDR conçu mono-tenant

Drivers compliance 2026 qui imposent SIEM ou équivalent :

  • NIS2 (Directive UE 2022/2555, transposée en France par ordonnance du 30 octobre 2024, applicable 2025) : impose la détection et la réponse aux incidents pour les entités essentielles et importantes.
  • DORA (Digital Operational Resilience Act, applicable 17 janvier 2025) : pour les acteurs financiers UE, impose un cadre formel de monitoring + retention typiquement 5-7 ans.
  • ISO/IEC 27001:2022 : Annex A.8.16 Monitoring activities, A.8.15 Logging, exige logging et review.
  • PCI-DSS v4.0 (mars 2022, mandatory mars 2025) : Requirement 10 (Log and Monitor All Access), retention 1 an dont 3 mois en ligne.
  • NIST SP 800-53 r5 : contrôle AU (Audit and Accountability), retention politique.
  • HDS (Hébergement Données Santé France) + SecNumCloud ANSSI : juridiction et durée explicite.

7. Stack opérationnelle SIEM 2026 - ingestion, parsing, alerting

Stack typique d'une organisation mature 2026 :

[Sources]                    [Pipeline]              [SIEM hot]            [Cold tier]
                              
Endpoint EDR  ─────────►  Cribl Stream  ─────►  Microsoft Sentinel   ─────►  Snowflake
Sysmon        ─────────►  + Logstash    ─────►  (90 days hot)         ─────►  S3 Glacier
M365 audit    ─────────►  + Filebeat    ─────►                        ─────►  Splunk
Entra ID      ─────────►                ─────►                        ─────►  Federated
AWS CloudTrail─────────►                ─────►                        ─────►  Search
Azure Activity─────────►                ─────►                        
Firewall logs ─────────►                ─────►                        
DNS / Proxy   ─────────►                ─────►                        
WAF logs      ─────────►                ─────►

Workflow ingestion + parsing + alerting :

# 1. Cribl Stream filtrer/router avant ingestion SIEM
# Configuration Cribl typique : drop healthchecks, rare event sampling
# Reduction moyenne 30-60 % du volume sortant
 
# 2. Sentinel Analytics Rule depuis règle Sigma
# Repo Git Detection-as-Code
# .github/workflows/sentinel-deploy.yml
name: Sentinel rules deploy
on: [push]
jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - run: pip install pysigma pysigma-backend-microsoft365defender
      - name: Compile Sigma KQL
        run: |
          for f in rules/*.yml; do
            sigma convert -t microsoft365defender "$f" -o compiled/
          done
      - name: Deploy to Sentinel via Azure CLI
        run: |
          az sentinel alert-rule create \
            --workspace-name "$WORKSPACE_NAME" \
            --resource-group "$RG_NAME" \
            --kind Scheduled \
            --rule-id "$(cat compiled/rule.id)" \
            --display-name "$(cat compiled/rule.name)" \
            --query "$(cat compiled/rule.kql)"
 
# 3. Validation Atomic Red Team
Invoke-AtomicTest T1059.001 -TestNumbers 1
# Vérifier que la règle Sentinel a déclenché un incident

8. Erreurs fréquentes SIEM et anti-patterns

ErreurSymptômeFix
Ingest everything strategyFacture explose, signal noyéCribl filter à la source, drop verbose logs
Pas de tiering hot/coldCoût retention prohibitif au-delà de 6 moisPipeline Cribl → SIEM hot 90j + Snowflake cold 5 ans
Règles vendor-locked (SPL/KQL hardcodées)Migration SIEM = projet 18 moisSigma comme format pivot, versionné Git
Pas de parsing/normalisation cohérenteCorrélation cross-source impossibleSchéma commun (CIM, ECS, ASIM), parsers maintenus
Pas de detection-as-codeRègles dispersées, pas de peer reviewRepo Git, CI/CD, déploiement automatique via API
SIEM sans MITRE ATT&CK mappingCouverture invisible, gap analysis manquantATT&CK Navigator par technique × règle
Compliance retention bricoléRisque audit échouéPolitique retention écrite + backup périodique
Alert fatigue ignoréAnalystes burnout, faux négatifs masquésTuning baseline, suppression rules, scoring confiance
Pas de plan de migration en cas de rachat vendorBlocage si re-négociation tarifSigma + parsers portables → réduction lock-in

9. Pour aller plus loin

10. Points clés à retenir

  • SIEM = collecte + parsing + corrélation + alerting + retention sur logs multi-sources. 5 fonctions combinées, aucune isolément ne suffit.
  • Terme forgé par Mark Nicolett & Amrit Williams (Gartner) en mai 2005, fusion SIM + SEM. Marché 2026 : 6-8 milliards de dollars.
  • 2 opérations majeures 2024 : Cisco acquiert Splunk pour 28 milliards de dollars (mars 2024), IBM vend QRadar SaaS à Palo Alto Networks (devenu Cortex XSIAM, août 2024).
  • Leaders 2026 : Splunk Enterprise Security (Cisco), Microsoft Sentinel, Elastic Security, Cortex XSIAM, Google Chronicle, Sumo Logic, Securonix, Exabeam.
  • Tarification 2026 : Splunk Cloud 1500-3000 €/GB/an workload, Sentinel 2.6 €/GB PAYG ou 1.3-1.9 € engagement, Elastic 1-2 $/GB, Chronicle forfait employés.
  • Piège budgétaire n°1 : ingest everything sans Cribl filter ni tiering. Économies typiques avec optimisation : 30-70 % du budget brut.
  • Sigma = standard de fait pour règles portables. ~3000 règles SigmaHQ, compilation via pySigma vers SPL/KQL/EQL/AQL/YARA-L. Évite le vendor lock-in sur les règles.
  • Architecture en couches 2026 : Cribl pipeline + SIEM hot 90j + Snowflake/S3 cold 5 ans. Pattern obligatoire au-delà de 500 GB/jour.
  • SIEM ne meurt pas face à XDR. Compliance NIS2 + DORA + PCI-DSS v4.0 + ISO 27001:2022 + sources non-XDR = SIEM irremplaçable pour 1-7 ans rétention.
  • Microsoft Sentinel + Defender XDR partagent le même workspace depuis novembre 2023. Convergence SIEM/XDR la plus aboutie 2026.
  • Anti-pattern n°1 : règles SPL ou KQL hardcodées non-portables → migration SIEM bloquée. Adopter Sigma comme format pivot dès le jour 1.
  • Anti-pattern n°2 : signer un contrat « unlimited ingestion » sans cap, sans clause de re-négociation triennale.

Questions fréquentes

  • Quelle différence concrète entre SIEM, XDR, SOAR et data lake security en 2026 ?
    **SIEM** : agrège logs multi-sources, corrèle via règles écrites, alerte, retient long terme (1-7 ans). Splunk, Sentinel, Elastic, QRadar/XSIAM, Chronicle, Sumo Logic. **XDR** : détection cross-domain endpoint+email+identity+cloud avec règles **vendor-fournies** out-of-the-box, retention courte (30-180j). **SOAR** : Security Orchestration, Automation & Response, couche playbooks au-dessus de SIEM/XDR. Cortex XSOAR, Splunk SOAR, Tines, Microsoft Sentinel Logic Apps. **Data lake security** : Splunk Federated Search, Cribl + Snowflake/Databricks, Panther, architecture séparée hot tier (SIEM) + cold tier (data lake) pour optimiser coût retention. La frontière SIEM/XDR floute en 2026 (Microsoft Sentinel + Defender XDR partagent le même workspace). SOAR est de plus en plus intégré dans SIEM/XDR plutôt qu'autonome. Data lake security est l'option émergente pour réduire la facture SIEM ingestion.
  • Comment ne pas exploser le budget SIEM en 2026 ?
    **Trois leviers**. (1) **Filtrer à la source** avec un broker comme **Cribl Stream** ou **Logstash**, supprimer 30-60 % du volume avant ingestion (DEBUG logs, healthchecks, redundant fields). Économies typiques 200-800 k€/an pour parc 5000 EP. (2) **Tiering hot/cold** : 30-90 jours dans le SIEM hot pour real-time + détection, 1-7 ans dans un data lake (Snowflake, Databricks, S3 + Athena) à 1/10 du coût/GB. (3) **Index strategy** : segmenter par classe de log (security_high vs ops_low) avec rétention différenciée. Tarification 2026 ordre de grandeur : Splunk Cloud ~2-4 $/GB ingéré (engagement annuel négocié peut tomber à 1-2 $/GB), Microsoft Sentinel ~2.5-3 €/GB en Pay-as-You-Go (réservé 30-50 % moins), Chronicle Google offre l'ingestion forfaitaire (volumes pratiquement illimités), Elastic ~1-2 $/GB. Pour 5000 endpoints sans optimisation, budget annuel naïf souvent 500 k-2 M€ ; avec Cribl + tiering, 150-500 k€.
  • Splunk après le rachat Cisco (mars 2024), faut-il rester ou migrer ?
    **Cisco a finalisé l'acquisition de Splunk pour 28 milliards de dollars le 18 mars 2024**, plus grosse acquisition cyber de l'histoire. Position 2026 : **rester chez Splunk Enterprise Security tant que ça marche**, la roadmap produit n'a pas été cassée, l'intégration Cisco XDR + Splunk ES progresse, les ingénieurs core sont restés. Ne migrer que si (1) coûts négociation contractuelle insoutenables (passer voir Microsoft Sentinel ou Chronicle pour pression de prix), (2) stratégie cloud-only forte avec rejet on-prem (Splunk reste plus on-prem-friendly que Sentinel ou Chronicle), (3) consolidation Microsoft 365 E5 atteinte rendant Sentinel marginalement gratuit. Migration SIEM = projet 6-18 mois avec 200-2000 règles à porter, n'est pas trivial. Pour les organisations très investies sur Splunk SPL, le coût de migration dépasse souvent les économies espérées.
  • QRadar racheté par Palo Alto Networks, quelle conséquence ?
    **IBM a vendu QRadar SaaS à Palo Alto Networks en août 2024** (annonce mai 2024, finalisation Q3 2024). QRadar devient **Cortex XSIAM** (eXtended Security Intelligence and Automation Management), produit SIEM de la suite Cortex Palo Alto (XDR + SIEM unifié). Conséquences pour les clients QRadar : (1) migration progressive vers XSIAM proposée, certaines fonctionnalités QRadar legacy (notamment on-prem appliances) ont une fin de vie annoncée, (2) intégration native avec Cortex XDR, NGFW Palo Alto, Prisma Cloud, (3) repricing fréquent en 2025-2026, beaucoup d'organisations ont saisi l'occasion pour benchmarker Microsoft Sentinel et Chronicle. Position 2026 : XSIAM est un produit cohérent et techniquement crédible, mais le vendor lock-in Palo Alto devient fort. Pour les organisations qui n'étaient pas Palo Alto-centrées, la migration vers Sentinel ou Chronicle est souvent plus rentable que XSIAM.
  • Sigma rules : standard portable vraiment universel en 2026 ?
    **Sigma** (https://github.com/SigmaHQ/sigma) est devenu le **format de référence** pour les règles de détection portables en 2026. Repo officiel SigmaHQ contient ~3000 règles ATT&CK-mapped. Sigma se compile vers le langage natif de chaque SIEM via **pySigma** ou **uncoder.io** : Splunk SPL, Microsoft Sentinel KQL, Elastic EQL/KQL/Lucene, Chronicle YARA-L 2.0, QRadar AQL, Wazuh, etc. Limites pratiques : (1) certains backends ont des fonctions spécifiques non-mappables 1:1, toujours valider la query générée ; (2) maintenance des règles Sigma communautaires hétérogène, les meilleures viennent de Florian Roth (Nextron), Joe Slowik, MDSec ; (3) sub-techniques ATT&CK récentes (Volt Typhoon, Storm-0501) pas toujours couvertes immédiatement. Recommandation 2026 : adopter Sigma comme **format pivot interne** (versionné Git, peer-reviewed), compiler vers le SIEM cible. Évite le vendor lock-in sur les règles, qui est le coût de switching SIEM le plus élevé.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

À lire également