SIEM : Gartner confirme la poussée des nouveaux acteurs
Si IBM et Splunk conservent la tête du marché, Exabeam et Securonix renforcent leurs positions. Rapid7 rejoint le carré des leaders, tandis que RSA se rapproche de sa sortie. Micro Focus rejoint quant à lui les acteurs de niche.
L’édition 2020 du quadrant magique de Gartner pour les systèmes de gestion des informations et des événements de sécurité (SIEM) n’est pas tendre. Et il fera sûrement grincer pas mal de dents chez les éditeurs. Cela ne concerne toutefois pas IBM, Splunk, Exabeam, Securonix, Rapid7 et LogRhythm qui ne doivent pas manquer de savourer ce nouveau cru.
De fait, ces six éditeurs figurent en bonne place dans le carré des leaders. Cela ne constitue pas une surprise pour IBM et Splunk, qui confortent là leurs positions en s’attachant à ne pas se reposer sur leurs lauriers. Les analystes de Gartner relèvent ainsi que le premier a réussi à améliorer l’efficacité des alertes générées par QRadar avec son application de Tuning, ou encore simplifié l’ingestion de données à partir de sources variées, et intégré le framework ATT&CK du Mitre au module de recommandation Advisor with Watson.
De côté de Splunk, Gartner relève l’amélioration des capacités de supervision en temps réel, avec ES Event Sequencing, l’automatisation de la réponse en intégration avec les informations de renseignement sur les menaces, ou encore le lancement à l’automne de la solution Cloud Mission Control, qui intègre plus étroitement ES, Phantom et un composant d’analyse comportementale. La stratégie commerciale d’IBM et de Splunk continue d’attirer à chacun des reproches, notamment du fait de la complexité à laquelle conduit la modularité des offres, mais cela ne semble pas suffisant pour rebuter les clients. Quoique.
Exabeam et Securonix, entrés dans le carré des leaders à l’occasion du quadrant magique 2018, y consolident cette année leurs positions. Le modèle tarifaire du premier continue de lui attirer les louanges des analystes. Mais bien sûr, les qualités de sa plateforme ne sont pas étrangères à ce bon positionnement. Pour le second, Gartner souligne les avancées en matière de simplification des déploiements, notamment avec le passage à un modèle SaaS basé sur AWS.
De son côté, Rapid7 semble retirer les fruits d’une stratégie mise en œuvre avec constance depuis le rachat de LogEntries en 2015, dont est initialement issu InsightIDR. Mais celui-ci tire également profit d’InsightUBA, initialement nommé UserInsight, un outil complémentaire d’un système de gestion des informations et des événements de sécurité (SIEM) visant à surveiller le comportement des utilisateurs (UBA, « User behavior analytics »). Et InsightUBA ne se contente pas des journaux d’activité des hôtes du SI ; il est également capable de collecter, via des API, les journaux produits par des services cloud. A cela, Rapid7 ajoute InsightVM, une solution de gestion des vulnérabilités en mode cloud, basée sur le célèbre outil Nexpose, ou encore InsightAppSec, une solution de gestion de la sécurité des applications Web basée sur tCell, racheté en 2018 . Enfin, il faut compter avec Insight Connect, le module d’automatisation de l’ensemble, issu du rachat de Komand en juillet 2017, et les apports à venir de la technologie d’analyse du trafic réseau de NetFort, acquis début 2019.
Dans ce contexte de concurrence dynamique, l’offre de RSA apparaît surtout souffrir d’un certain immobilisme. Gartner souligne un éventail de modèles limité pour les capacités de détection d’anomalies comportementales de Netwitness, l’absence d’approche en propre de l’automatisation et de l’orchestration – les capacités de SOAR se sont initialement appuyées sur Demisto avant son rachat par Palo Alto Networks et repose désormais sur Threat Connect – ou encore un virage vers le SaaS pas encore entamé par RSA lui-même. Autrement dit, le développement de Netwitness semble avoir bien besoin d’un coup d’accélérateur face à une concurrence qui ne se repose pas, et le passage dans le giron d’un fonds d’investissement pourrait bien l’apporter.
Enfin, Micro Focus, avec ArcSight, ne s’est pas endormi au cours des 12 derniers mois. Il s’est même offert un spécialiste de l’analyse comportementale et a simplifié sa tarification. Mais l’intégration avec Interset doit encore être améliorée, de même que l’expérience utilisateur de la plateforme. Sans compter l’ajout nécessaire, ne serait-ce que face à la concurrence, de capacités d’automatisation et d’orchestration, ou encore d’options de déploiement en mode SaaS.
Surtout, ArcSight apparaît surtout se destiner aux entreprises les plus matures avec des besoins d’ingestion de grands volumes de données. Il souffrirait, selon Gartner, de capacités d’accompagnement technique et commercial perfectibles.
Bien sûr, pas question de faire l’impasse sur certains événements qui ont marqué le marché du SIEM en 2019, notamment avec les initiatives de Microsoft, Chronicle, et Elastic. Pour les deux premiers, Gartner explique « qu’ils n’ont pas répondu à l’échéance requise pour être inclus dans cette étude ». Mais le cabinet reconnaît que l’intérêt est déjà bien là. Et cela vaut aussi pour Elastic, même s’il ne répondait pas aux critères d’inclusion, comme pour Sumo Logic, qui a affiché ses ambitions l’an dernier en s’offrant Jask.