sdecoret - stock.adobe.com

Snowflake prépare une percée sur le marché de la cybersécurité

Stocker toutes les données et exécuter tous les cas d’usage depuis son data warehouse cloud, voilà l’ambition de Snowflake. C’est selon ce principe que le fournisseur a annoncé le support des workloads de cybersécurité ainsi qu’un partenariat avec Securonix et Zscaler.

De prime abord, le lien entre le marché de la cybersécurité et le spécialiste du data warehousing n’est pas évident. Et pourtant, il a la prétention de pouvoir faire aussi bien sinon mieux que certains acteurs historiques du marché. Pour cela, Snowflake met en avant trois arguments pour tenter de convaincre ses clients de migrer leurs logs de sécurité dans le « Data Cloud ».

« Nous avons interrogé de nombreuses équipes de sécurité chez les clients. Ce sont les mêmes défis qui reviennent sans cesse », affirme Omer Singer, responsable de la stratégie de Cybersécurité chez Snowflake. « Le premier concerne les silos de données. Il y a aussi trop d’efforts manuels et un manque de décisions éclairées basées sur les données ».

Cybersécurité : Snowflake adapte légèrement son discours

Ainsi, l’entrepôt de données de Snowflake doit permettre de corréler ou combiner les logs avec des données contextuelles. Pour réaliser ces transformations et ces analyses, le fournisseur supporte le langage de requêtes SQL et, très prochainement, le langage de programmation Python. Selon Snowflake, passer par ces technologies ouvertes évite l’enfermement propriétaire induit par le déploiement de certains outils de sécurité, dont les systèmes de gestion des informations et des événements de sécurité (SIEM).

Ensuite, le fournisseur fait la promesse d’éliminer les silos de données. « Les équipes de sécurité doivent faire avec des jeux de données très fragmentées », énonce Omer Singer. « Les données peuvent être dans un EDR, les clients ont peut-être des logs dans des buckets cloud ou dans beaucoup d’autres systèmes ». De même, le responsable considère que trouver les talents capables d’exploiter ces outils s’avère difficile.

Pour enfoncer le clou, Snowflake brandit l’argument du prix. Il entend positionner son offre comme un moyen d’éviter « les coûts de stockage et d’ingestion prohibitifs » de certaines solutions de cybersécurité, les SIEM existants en premier lieu.

Cependant, un bon nombre d’éditeurs ont compris la leçon, après les plaintes répétées de leurs clients. Ils ont modifié leur modèle économique en conséquence. « Si vous voyez beaucoup de changements tarifaires sur le marché du SIEM legacy, c’est parce que les clients sont particulièrement frustrés », s’exclame Omer Singer. « Mais vous ne pouvez pas contrer le problème de la fragmentation des données en ajustant la variable financière », dit-il au MagIT.

Aussi, les éditeurs qui basent désormais leur tarification sur la consommation de ressources CPU plutôt que sur l’ingestion de données ne feraient que reporter le problème, dixit le responsable.

« Si votre architecture ne sépare pas le stockage du calcul, vous aurez besoin de beaucoup plus de capacités CPU pour ingérer les données », lance Omer Singer. « Finalement, tout est lié à l’architecture sous-jacente. C’est là que Snowflake se différencie ».

Reste que la plupart des acteurs du marché se mettent au cloud. Et s’ils ne règlent pas forcément les deux problèmes signalés par Omer Singer, ils proposent à leurs clients d’abaisser le coût de rétention des données en rendant leur produit compatible en adoptant une architecture de tiering ou en supportant les services cloud comme S3 Glacier.

« Lorsque vous téléchargez des logs dans Snowflake, ils sont directement stockés dans un service cloud native. C’est donc très bon marché », répond Omer Singer. « Cela coûte 23 dollars par téraoctet par mois pour les données compressées ».

A contrario, le coût de l’ingestion de données en quasi-temps réel dans le « Data Cloud » semble important, selon les retours des utilisateurs de Snowflake rencontrés lors de la conférence annuelle. De manière générale, les clients saluent les performances et la robustesse de la plateforme, mais évoquent une tarification supérieure à celle pratiquée par les services cloud concurrents.

Gestion de la conformité et des vulnérabilités : les premiers cas d’usage sur Snowflake

Cela n’empêche pas certains clients de s’appuyer sur le data warehouse Snowflake pour lancer des cas d’usage liés à la cybersécurité. C’est le cas de TripActions, éditeur d’une solution de gestion de voyages d’affaires hébergée sur AWS.

« Nous poussons les données de tous nos outils de sécurité ainsi que les logs en provenance des services AWS dans Snowflake et nous effectuons des analyses par-dessus cet ensemble », résume Prabhath Karanth, directeur de la sécurité, de la conformité et de l’assurance chez TripActions. « Il faut voir cela comme une source unique de vérité pour de multiples cas d’usage », ajoute-t-il.

Par exemple, ces logs sont combinés avec les données des clients de TripActions pour assurer le respect des politiques de conformité et de réglementations de protection des données. Les métriques générées « sont très utiles pour effectuer des rapports en direction des dirigeants », dixit Prabhath Karanth. « Cela permet de les tenir informés de la santé du programme de sécurité ».

Omer Singer rapporte le cas d’un client qui concentre les données d’accès des différentes applications afin de vérifier automatiquement si les authentifiants des anciens employés ont bien été supprimés dans le temps imparti.

De son côté, Clari, éditeur d’une solution d’exécution et de prévision des ventes, ingère des données, des logs et des événements en provenance d’une vingtaine d’outils de sécurité dans Snowflake. Il s’agit de centraliser sa gestion des vulnérabilités et de la corréler avec ses objectifs commerciaux. Tenable, spécialiste de ce domaine, développe en interne un cas d’usage similaire sorti récemment d’une phase de POC. L’éditeur prévoit de le commercialiser dans un futur proche.

Créer un écosystème sans voler la vedette aux éditeurs

En ce qui concerne la détection et la réponse aux incidents, Snowflake se tourne vers ses partenaires. Lors du Snowflake Summit 2022, le fournisseur a dévoilé un partenariat avec Securonix. Selon Gartner, Securonix est un leader du marché SIEM et un éditeur de solutions SOAR et XDR. Ce partenariat implique Zscaler, un spécialiste de la sécurité en mode cloud et des architectures zero-trust. Securonix propose aux clients d’exploiter les données liées à la sécurité stockées dans leurs instances Snowflake, depuis des applications résidant par-dessus le data warehouse.

Pour cela, Securonix s’appuiera sur le mécanisme de « connected apps ». Selon les écrits d’Omer Singer, ces applications s’exécutent dans le tenant Snowflake des éditeurs. Elles permettent d’ingérer les données depuis des sources externes et l’instance Snowflake d’un client, puis de les traiter avant de pousser les résultats des analyses dans le data warehouse cloud du client. De cette manière, « c’est l’éditeur qui maintient le code de l’application tandis que les clients gèrent leurs données depuis leur propre plateforme de données ».

En l’occurrence, Securonix propose d’interroger les logs événementiels en provenance des outils de Zscaler « à des fins de rétention et de recherche » dans Snowflake. Ces analyses pourront être effectuées depuis l’interface Securonix Spotter.

L’ambition de Snowflake concernant le marché de la cybersécurité n’est pas vraiment une surprise. Sous la direction de Franck Slootman – le PDG et directeur du conseil administratif du groupe –, le fonds Snowflake Ventures a déjà investi dans Hunters.ai (plateforme SOC), Lacework (CWPP), Panther Labs (SIEM), ainsi que Securonix. Bien que le fournisseur se distingue systématiquement de sa branche VC, ces acteurs ont tous pour point commun d’avoir un produit s’exécutant sur Snowflake. Voilà donc des partenaires de choix pour faire du « Data Cloud » le nouveau socle des usages cyber.

« Nous laissons à l’écosystème le soin de construire des fonctionnalités spécifiques. Mais nous investissons dans des capacités critiques pour adapter notre plateforme aux charges de travail liées à la cybersécurité. »
Omer SingerResponsable de la stratégie de cybersécurité, Snowflake

« Je travaille en étroite collaboration avec Stefan Williams, qui gère notre filiale Snowflake Ventures », explique Omer Singer. « Nous avons investi des millions de dollars dans des entreprises de sécurité de premier plan afin que nos clients puissent bénéficier d’une intégration fine entre notre solution et celles de ces sociétés », vante-t-il.

Est-ce à dire que Snowflake s’attaquera directement aux acteurs du segment SIEM ? Pas réellement, selon les propos du responsable.

« Nous laissons à l’écosystème le soin de construire des fonctionnalités spécifiques. Mais nous investissons dans des capacités critiques pour adapter notre plateforme aux charges de travail liées à la cybersécurité », assure Omer Singer.

Ainsi, les ingénieurs de Snowflake œuvrent pour optimiser les capacités de recherche de la plateforme. Il s’agit de rattraper un certain retard sur les solutions spécialisées, dont Splunk ou Elasticsearch qui ont dès le départ misé sur la rapidité des requêtes de points de données. Dans la même veine, le fournisseur veut accélérer les ingestions de données.

Pour approfondir sur Intelligence Artificielle et Data Science