NicoElNino - stock.adobe.com

Azure Sentinel : Microsoft ouvre les vannes de son alternative cloud au SIEM

Le service cloud de gestion des informations et événements de sécurité est désormais accessible commercialement. L’occasion de découvrir une tarification déjà jugée par certains comme plutôt agressive.

Microsoft avait levé le voile dessus au mois de février, son service Azure Sentinel de système de gestion d’informations et d’événements de sécurité (SIEM) en mode cloud est aujourd’hui officiellement ouvert. Et c’est une « bonne nouvelle » pour Matthieu Garin, chez Wavestone. De fait, aussi bien Laurent Besset, chez I-Tracing, que Vincent Nguyen, de Wavestone, estimaient au mois d’avril que des offres de SIEM en mode cloud, comme Azure Sentinel et Chronicle Backstory devraient avoir un effet bénéfique sur les centres opérationnels de sécurité (SOC) et tirer les analystes par le haut. Et l’approche n’est pas isolée : il faut aussi compter, notamment, avec Exabeam, Jask, Securonix ou encore Elastic.

L’ouverture commerciale d’Azure Sentinel a déjà le mérite de lever une inconnue : celle de la tarification. Et ceux qui anticipaient une tarification proche de celle d’Azure Monitor, sur lequel Sentinel s’appuie, ont droit là à une surprise, douce-amère. Le prix à l’usage sans réservation est assez proche, à 2,2 € par Go ingéré. Mais les prix avec réservation de volume sont très significativement inférieurs – environ 50 %, avec un ticket d’entrée à un peu moins de 110 € par jour pour 100 Go. Mais ça, c’est juste pour Sentinel. Il faut en fait ajouter à cela les coûts d’ingestion d’Azure Monitor. Du coup, le ticket d’entrée passe autour de 320 € par jour pour 100 Go. La cerise sur le gâteau, c’est bien sûr l’ingestion gratuite des traces d’activité d’Office 365. Reste à voir si elle suffira à faire avaler la pilule.

Et puis là où un Chronicle Backstory avance la promesse d’une rétention sans limites de temps, et sans facturation ni au nombre de sources de logs, ni au nombre d’événements ni encore à la vélocité, Microsoft se contente de 90 jours gratuits. Au-delà, c’est la tarification d’Azure Monitor Log Analytics qui s’applique, à raison donc de 0,11 € par Go et par mois. Et ce n’est pas le seul tiroir de la tarification de Sentinel : il est possible d’ajouter des capacités d’automatisation de la réponse, avec Azure Logic Apps – avec sa tarification distincte – ou encore d’utiliser ses propres algorithmes d’apprentissage automatique, en passant cette fois-ci à la caisse pour Azure Machine Learning Studio et azure Databricks. En l’état, Backstory semble parti pour une tarification considérablement plus simple : 45 $ par an et par collaborateur d’entreprise.

Pour Vincent Nguyen, de Wavestone, la politique tarifaire affichée par Microsoft tend à placer Sentinel « dans la tranche basse » du monde du SIEM, sur la base des « derniers appels d’offres » qu’il « a vu passer ». L’expert Kevin Beaumont, qui l’utilise à des fins personnelles de chasse aux menaces, estime pour sa part que Microsoft casse littéralement les prix, et de beaucoup. Chez Sogeti, Antonin Hily s’interroge sur la politique tarifaire que l’éditeur avancera pour ses partenaires MSSP.

Et puis, Loïs Samain rappelle le risque associé à n’importe quel service en mode cloud, la « perte de maîtrise de l’outil : si Microsoft décide de le mettre à jour, de supprimer des fonctionnalités ou autre », la maîtrise est perdue. L’idée ne semble toutefois pas inquiéter tout le monde outre mesure. Selon une étude de l’Institut Ponemon pour Devo publiée cet été, 29 % des entreprises se satisfont d’une infrastructure de SOC principalement cloud, et 24 % d’une infrastructure mixte.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)