Avec la vente de QRadar SaaS à Palo Alto Networks, IBM restera-t-il un « leader » du SIEM sur les tablettes de Gartner ?

Il l’est toujours dans le dernier Magic Quadrant consacré à ce marché… et cela s’est peut-être joué à quelques jours près. Le cabinet américain a effectivement publié son analyse le 8 mai, tandis que l’accord de vente en question a été officialisé le 15.

Il n’y avait pas eu de Magic Quadrant du SIEM l’an passé. L’édition précédente remontait à octobre 2022. De l’une à l’autre les « leaders » sont restés les mêmes. Nommément, Exabeam, IBM, Microsoft, Securonix et Splunk.

En parallèle, la liste des fournisseurs classés s’est allongée. Google a fait son entrée chez les « visionnaires », avec son SIEM Chronicle. Logz.io, NetWitness, Odyssey, QAX et Venustech ont fait leur apparition chez les « acteurs de niche ».

Gartner accorde une « mention honorable » à 7 éditeurs. Dont Palo Alto Networks, non classé au Magic Quadrant faute d’avoir satisfait aux critères business. Il fallait notamment, au 31 mars 2023 :

– Avoir dégagé, sur les 12 mois écoulés, 75 M$ de CA licences + maintenance sur des produits cloud/SaaS ; ou bien disposer de 200 clients en production avec des contrats en direct sur ce même type de produits

– Avoir réalisé au moins 15 % de ce CA auprès de clients localisés hors de la région dans laquelle se trouve le siège social du fournisseur ; ou bien disposer d’au moins 30 clients respectant ce même critère géographique

Du SOAR à la recherche fédérée, des fonctionnalités « plus ou moins » facultatives

Anvilogic, Hunters et Logsign font partie des autres « mentions honorables » pour qui cela a coincé sur le volet business.

Crowdstrike ne remplissait pas, pour sa part, les critères fonctionnels.

Ces derniers ont évolué d’une édition à l’autre du Magic Quadrant SIEM. En particulier concernant les fonctionnalités que Gartner catégorise comme « optionnelles ». Elles le sont en tant que telles, mais le cabinet américain les classe en deux ensembles et demande d’en proposer un minimum de chacun.

1) Deux fonctionnalités parmi :

– Recherche fédérée sur environnements distribués

– Recherche hors des dépôts du SIEM

– Intégration de data lakes tiers

– Disponibilité d’un stockage long terme et de reporting

2) Deux add-on parmi :

– SOAR

– Renseignement sur les menaces

– Capacités fondées sur l’analyse comportementale ou la data science

Un Magic Quadrant SIEM à (plus) grand périmètre

Le positionnement au sein du Quadrant résulte de la combinaison d’évaluations sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).

Sur l’axe « vision », la situation est la suivante :

Fournisseur Évolution annuelle 1 Gurucul = 2 Microsoft + 7 3 Splunk + 1 4 Exabeam – 1 5 Google nouvel entrant 6 Securonix – 4 7 OpenText (Micro Focus en 2022) – 2 8 IBM – 2 9 Elastic = 10 Devo + 1 11 LogRhythm + 1 12 Sumo Logic – 6 13 Rapid7 – 3 14 Fortinet = 15 Logpoint – 2 16 Huawei = 17 Odyssey nouvel entrant 18 QAX nouvel entrant 19 NetWitness nouvel entrant 20 Venustech nouvel entrant 21 Logz.io nouvel entrant 22 ManageEngine – 7

Sur l’axe « exécution » :

Fournisseur Évolution annuelle 1 Splunk + 2 2 Microsoft – 1 3 IBM = 4 Securonix + 1 5 Sumo Logic + 7 6 Exabeam + 1 7 Rapid7 – 1 8 Fortinet = 9 Gurucul + 1 10 LogRhythm – 6 11 Google nouvel entrant 12 Devo – 3 13 Logpoint = 14 Elastic + 1 15 Huawei – 1 16 OpenText = 17 ManageEngine – 6 18 Venustech nouvel entrant 19 NetWitness nouvel entrant 20 Odyssey nouvel entrant 21 QAX nouvel entrant 22 Logz.io nouvel entrant

Exabeam : attention à la courbe d’apprentissage

Salué en 2022 pour sa capacité à traiter en direct des flux tiers dans une logique « décentralisée », Exabeam l’est à nouveau. Autre point fort toujours d’actualité : le scoring dynamique permettant d’optimiser les alertes. Gartner y ajoute l’UI, « très en phase avec les besoins des analystes sécurité ».

Dans le Quadrant précédent, Exabeam s’était vu reprocher une courbe d’apprentissage plus longue que sur les autres SIEM. Cela reste valable, même si exprimé sous un autre angle (nécessité de « plus de services professionnels que la moyenne »). Autres points de vigilance : le focus sur les grandes entreprises et la tarification, « plus élevée que la moyenne ».

Tarification et support client, points de vigilance chez IBM

Chez IBM aussi, deux points forts se retrouvent d’une édition à l’autre. En l’occurrence, la présence globale (reach géographique, volumétrie des effectifs) et l’exhaustivité du catalogue d’intégrations/services complémentaires (sécurité réseau, protection des données, MDR…). Gartner y ajoute les capacités natives d’exploitation des données d’exposition.

Il n’est plus question de complexité de déploiement, mais de pricing, malgré l’introduction d’un modèle fonde sur des unités utilisables à travers la suite QRadar. Attention également à s’assurer de la réactivité du support client, vu l’échelle d’activité d’IBM et son nombre de produits.

Microsoft Sentinel : gare à l’Azure-dépendance

Microsoft a une nouvelle fois droit à un bon point sur l’aspect écosystème, pour avoir monté des passerelles avec son CASB, son SOAR, ses solutions de protection des identités et des terminaux, etc. Nouveau cette année : les capacités de personnalisation, autant au niveau des modèles de détection de menaces que de l’UI de threat intelligence. Bon point également pour la couverture MITRE ATT&CK.

Le reporting de conformité reste un point faible. Il ne fait plus défaut, mais s’avère limité. Gartner souligne aussi la disponibilité limitée au cloud de Microsoft et la dépendance à des services Azure pour certaines fonctionnalités.

Pricing peu flexible chez Securonix…

Comme Exabeam, Securonix se distingue sur la gestion des sources de données tierces. C’était déjà le cas en 2022. Même situation pour la gestion des flux de renseignement sur les menaces – et plus globalement, les services de protection contre le risque numérique. Gartner apprécie aussi l’aide fournie pour améliorer la configuration du SIEM (identification des sources de données manquantes, des modèles d’analyse pertinents…).

Autre parallèle avec Exabeam : la nécessité de « plus de services professionnels que la moyenne ». En tout cas pour les déploiements cloud. On prêtera aussi attention au modèle économique. Il se fonde exclusivement sur les événements par seconde, sans intégrer l’approche désormais commune fondée sur les volumes de données ingérés.

… et élevé chez Splunk

Comme en 2022, Splunk se distingue sur l’UI (niveau personnalisation en particulier). Comme sur l’observabilité, couplée à la recherche fédérée et aux capacités d’analyse sur magasins de données tiers. La bibliothèque d’intégrations – SOAR en tête – lui vaut un autre bon point.

Les trois points de vigilance que Gartner avait pointés en 2022 demeurent. Premièrement, les effectifs majoritairement localisés en Amérique du Nord (et l’impact potentiel sur le support client). Deuxièmement, la complexité de la solution – tout du moins au niveau de l’implémentation. Troisièmement, le prix, « plus élevé que la moyenne », même si flexible avec l’option basée sur les workloads cloud.

Illustration © Brues – Shutterstock