Oui, on peut faire cohabiter deux SIEM pendant la transition et c’est même une pratique recommandée ! Voici pourquoi :

  1. Assurer la continuité de la détection : Pas de « trou de surveillance » pendant le basculement.
  2. Valider les nouveaux cas d’usage : Comparer les alertes entre l’ancien et le nouveau SIEM.
  3. Migrer progressivement les sources de logs :  Certaines sources sont critiques ou complexes, mieux vaut les migrer une par une.
  4. Former les analystes au nouveau SIEM pendant que l’ancien reste opérationnel.
  5. Tester la performance, la corrélation, les tableaux de bord du nouveau SIEM avec du vrai trafic.