James Thew - Fotolia
Certifié EAL3+, LogPoint prépare son passage à Apache Spark
Le SIEM de l’éditeur danois vient de recevoir la certification qui lui ouvre les portes de certains marchés très régulés, avec l’aide de Boeing. Et de se préparer à une évolution technologique majeure.
Ce sont près de deux ans de travail couronnés de succès : LogPoint vient d’obtenir la certification EAL3+. Dans un entretien accordé à la rédaction à l’occasion des Assises de la Sécurité, Jesper Zerlang, Pdg de LogPoint, explique l’enjeu : « l’idée est venue d’un besoin client. L’armée d’un pays scandinave était intéressée par notre solution de SIEM, mais nous n’avions pas cette certification. A cette époque, nous avions également eu quelques échanges préliminaires avec Boeing, un important client d’ArcSight. Notre solution pouvait répondre à leurs besoins, pour certaines installations en dehors des Etats-Unis ». Mais là encore, la certification était nécessaire, un processus couteux et technique. Et le groupe américain s’est porté volontaire pour en assumer le financement et apporter l’expertise nécessaire.
Et Jesper Zerlang de souligner l’aspect positif de cette certification pour l’offre européenne de la cybersécurité. De fait, le marché des systèmes de gestion des informations et des événements de sécurité (SIEM) reste dominé par les éditeurs américains, à l’exception d’AlienVault, ou d’ExaProtect (certifié EAL2+), passé sous bannière LogLogic en 2009, avant que ce dernier ne soit racheté par… Tibco en 2012. De son côté, LogPoint a ouvert son premier bureau français en septembre 2014.
Changement technologique
Mais si LogPoint ne compte que 85 collaborateurs, son offre n’en suit pas moins les toutes dernières tendances du marché. « Nous investissons beaucoup dans le Machine Learning et le développement de capacités permettant la détection de menaces inconnues ». Déjà, des fonctions d’apprentissage sont intégrées aux capacités analytiques proposées de base dans le SIEM de LogPoint : « nous supportons la prédiction d’événements futurs et la détection d’anomalies dans des modules spécifiques », explique Jesper Zerland, ajoutant que l’éditeur voit dans la recherche dans ces domaines une dimension « stratégique » : « nos engagements actifs avec des universités dans plusieurs pays en est un témoignage ».
Mais pour le patron de LogPoint, « il reste probablement encore 40 à 50 % du marché qui se contentera très bien de solutions de SIEM de base, parce que certains n’en ont tout simplement pas et que ne serait-ce que détecter les menaces connues peut déjà apporter une grande valeur ».
Quant à aller plus loin, Jesper Zerlang souligne l’ouverture de ses produits et ses capacités d’intégration : si l’éditeur est trop petit à ce jour pour tout faire ton seul, il peut miser sur des partenariats. Et à juste titre : FortScale, par exemple, développe des capacités d’analyse comportementale à partir des données de SIEM.
Des performances de plus en plus essentielles
Mais l’un des points clés de travail de LogPoint touche aux performances. Si, contrairement à certains, l’éditeur n’utilise pas encore Hadoop pour le stockage des événements collectés, il implémente des fonctions de type Map/Reduce dans les environnements distribués et propose un connecteur pour « analyser les données venant de clusters Hadoop ».
Mais le SIEM peut également être déployé en grappes et, surtout, s’ouvre au streaming de données à la mode Spark d’Apache : « il s’agit de très vastes et très complexes corrélations s’étendant sur plusieurs mois, voire années, en utilisant des ressources raisonnables. Nous utilisons le streaming pour étendre nos capacités de production d’alertes et de détection d’anomalies à l’échelle de véritables réseaux d’entreprise, y compris pour des centres de sécurité opérationnels (SOC ».
Les premiers résultats concrets de ces travaux sont attendus pour le début 2016.