SIEM : qui se distingue sur ce marché en densification ?

Magic Quadrant 2021 SIEM

Six « leaders », tous américains, se détachent dans le Magic Quadrant 2021 du Security Information and Event Management (SIEM). À quels titres ?

Nombre d’utilisateurs, d’entités ou de workloads ? Quantité de données ingérées ? Volume moyen de messages par jour ? Autant d’options de licence qu’on trouve chez les « leaders » du Magic Quadrant consacré au SIEM –Security Information and Event Management.

Dans cette catégorie figurent six fournisseurs, tous américains : Exabeam, IBM, LogRhythm, Rapid7, Securonix et Splunk.

Magic Quadrant SIEM 2021

Par rapport à l’an dernier (voir ci-dessous), le marché s’est remarquablement densifié. Gartner ne classe jamais plus de 20 fournisseurs dans un Quadrant… et il atteint le plafond avec celui-ci. D’où de nombreuses « mentions honorables » faites en parallèle. Entre autres à… SolarWinds.

gartner-magic-quadrant-2020-siem

Chez IBM, le choix est tel qu’il en résulte, déplore Gartner, une contractualisation complexe. On peut vite se retrouver à mixer abonnement et licence perpétuelle, avec des modèles fondés sur les serveurs, les flux, les actions automatisées, etc.
Big Blue a aussi droit à un « mauvais point » lié au manque de fonctions natives de fonctionnalités collaboratives dans son SIEM QRadar. Gartner salue, au contraire, la capacité à filtrer les données « à la source », au moment de la collecte. Appréciation positive également concernant le déploiement et la gestion de la partie analytics. Ainsi que la prise en charge du modèle de Purdue sur les ICS.

Chez Splunk, c’est la flexibilité des contrats qui pêche ; comme les prix et, dans une certaine mesure, la présence géographique (produit non disponible en MEA et en Amérique latine au moment de la réalisation du Magic Quadrant, à l’automne 2020).
La plate-forme Splunk, elle, a au contraire droit à un bon point concernant sa flexibilité, qui facilite l’association du SOAR (orchestration, automatisation et réponse) et de l’UEBA (analyse des comportements et des utilisateurs). Le pricing aussi séduit Gartner. Entre autres par la présence de tiers (paliers) et d’une option fondée sur les workloads (vCPU sur site ; unités compute en cloud).

Branding, conformité… Des axes d’amélioration

Du côté de Securonix, les mauvais points vont à la version on-prem. Aussi bien sur la gestion que le support et la capacité de montée en charge. À l’inverse, l’éditeur se distingue par ses partenariats MSP, son niveau de prise en charge de la threat intelligence et les contrôles qu’il offre en matière de privacy.

Chez Rapid7, c’est l’exhaustivité de la plate-forme InsightIDR qui ressort. En particulier dans le catalogue d’add-on. Gartner salue aussi l’accessibilité pour les « petits » clients et la disponibilité d’un service managé de détection et réponse. Il n’en dit pas autant de la conformité (limitée par défaut à HIPAA et PCI DSS) et des capacités de personnalisation.

LogRhythm a tendance à toucher davantage les petites et moyennes entreprises. La qualité de son réseau de revendeurs et de MSP s’en ressent, explique Gartner. Tout comme la variété de ses programmes pilotes, PoC, périodes d’essai et autres mécanismes expérimentaux. C’est moins bien, en revanche, sur le branding (jugé « confusant ») et l’offre cloud, encore limitée malgré des acquisitions destinées à les alimenter.

Le « leader des leaders », Exabeam, a pour lui la modularité de son SIEM (susceptible de venir compléter des offres concurrentes). Mais aussi les capacités de stockage et de rétention, ainsi que d’analyse comportementale. La prise en charge limitée des modèles sigma lui vaut au contraire un mauvais point. Tout comme l’absence d’un module maison pour la détection sur les terminaux et le réseau.

Illustration principale via Shutterstock