Guido Vrola - Fotolia
Analyse comportementale : vers la fin des indépendants ?
Le rachat de Fortscale par RSA réduit encore un peu plus le nombre de spécialistes de l’analyse comportementale capables de s’alimenter auprès de SIEM pour en compléter le périmètre fonctionnel.
RSA vient d’annoncer le rachat de Fortscale, sur lequel il s’appuie pour lancer NetWitness UEBA. Cette opération ne constitue en rien une surprise. Mais elle pourrait bien être annonciatrice de difficultés pour les acteurs ne disposant pas, en propre, de capacités d’analyse comportementale, à commencer par les éditeurs de systèmes de gestion des informations et des événements de sécurité (SIEM) qui comptaient sur des tiers pour enrichir leurs offres.
Depuis plusieurs mois, la tendance est clairement à l’intégration de capacités d’analyse comportementale (UEBA) directement au sein de multiples composants de l’infrastructure de sécurité. Tout récemment, VMware a annoncé l’acquisition d’E8 Security. L’an passé, Cisco a racheté Observable Networks. Avant cela, Palo Alto Networks s’est offert LightCyber, peu de temps après le rachat de Niara par HPE. Toujours l’an dernier, Juniper a fait l’acquisition de Cyphort, et Forcepoint, de RedOwl.
Un marché arrivé à maturité en moins de trois ans
En 2016, WatchGuards’offrait HawkEye G de Hexis Cyber Solutions. Avant cela, Splunk avait racheté la technologie de Caspida pour disposer de sa propre brique d’analyse comportementale. Et entre Adallom et Aorato, Microsoft ne s’est pas non plus privé d’acquérir de telles briques pour ses offres.
A l’automne 2015, Balasz Scheidler, co-fondateur de Balabit, estimait que l’analyse comportementale constituait un marché naissant. Un peu plus de deux ans plus tard, ce n’est clairement plus le cas. Et ce n’est pas forcément une bonne nouvelle pour le monde.
Car Niara et E8 Security comptaient parmi les spécialistes de l’UEBA proposait leurs moteurs analytiques en surcouche de SIEM, un complément pour aider mieux détecter les menaces. Et cela valait aussi pour Fortscale qui avait annoncé, en septembre dernier, un partenariat avec le danois LogPoint.
Des acteurs comme Exabeam, Gurucul, Securonix, ou encore Interset et Bay Dynamics continuent de proposer leurs solutions en complément de SIEM, comme ceux de McAfee (ESM) ou de Micro Focus (ArcSight). Mais pour combien de temps ?
Des questions pour les SIEM
Securonix semble avoir bien compris que, pour rester indépendant, il fallait aller chasser sur d’autres terres, multiplier les cas d’usages et les capacités d’intégration. Il décline aujourd’hui son offre de la gestion de la menace interne à la surveillance des comptes à privilèges en passant par le renseignement sur l’exfiltration de données. Une approche que l’on retrouve chez Exabeam. Quant à Gurucul, il applique sa technologie autant à l’analyse du comportement d’entités de l’infrastructure, qu’à celle des identités ou encore à la sécurité des services Cloud.
Joint par téléphone, Jesper Zerlang, Pdg de LogPoint – qui vient d’ouvrir un bureau aux Etats-Unis –, ne formule pas une analyse différente : « Securonix ou Exabeam pensent qu’ils seront le nouveau SIEM. Mais je pense que, d’ici à 12 ou 18 mois, ils seront eux aussi rachetés ». Dans cette perspective, y’a-t-il alors une place pour un éditeur de SIEM ne disposant pas de ses propres capacités d'UEBA ? « Je pense que non ».
Dès lors, « LogPoint va développer ses propres capacités de UEBA. Le partenariat avec Fortscale avait pour objectif de proposer cela rapidement au marché, en attendant qu’elles soient prêtes, d’ici la fin 2018 ». Le rachat de la jeune pousse ne fait que modifier le calendrier. Quelques clients pourront essayer ces fonctionnalités en phase « alpha » dès ce mois de mai, avec une disponibilité commerciale attendue pour l’automne.
En attendant, l’éditeur négocie pour trouver une alternative temporaire à la technologie de Fortscale. Mais il prévoit de jouer l’ouverture et d’exposer les interfaces nécessaires à l’intégration avec des solutions tierces retenues par ses clients.