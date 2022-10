Netwitness ? Odyssey ? FireEye et McAfee ? Tous figuraient au Magic Quadrant 2021 du SIEM… et sont absents de l’édition 2022. Leurs offres respectent pourtant les critères fonctionnels attendus.

C’est sur le volet business que ça coince. Les exigences ont effectivement évolué d’une année sur l’autre. Sur un point en particulier : les fournisseurs ont été jugés exclusivement à l’aune de leurs solutions cloud et SaaS.

Dans ce contexte, il sont cinq à figurer au carré des « leaders ». En l’occurrence, Exabeam, IBM, Microsoft, Securonix et Splunk.

Ce positionnement résulte de la combinaison d’évaluations sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).

Sur l’axe « vision », les sociétés classées au Quadrant SIEM se placent dans cet ordre :

Fournisseur Date de création 1 Gurucul 2014 2 Securonix 1996 3 Exabeam 2013 4 Splunk 1995 5 Micro Focus 2006 6 IBM 2008 7 Microsoft 2016 8 Sumo Logic 2018 9 Elastic 2003 10 Rapid7 1911 11 Devo 2009 12 LogRhythm 2014 13 LogPoint 1989 14 Fortinet 1976 15 ManageEngine 1976 16 Huawei 1976

Sur l’axe « exécution » :

Fournisseur 1 Microsoft 2 IBM 3 Splunk 4 LogRhythm 5 Securonix 6 Rapid7 7 Exabeam 8 Fortinet 9 Devo 10 Gurucul 11 ManageEngine 12 Sumo Logic 13 LogPoint 14 Huawei 15 Elastic 16 Micro Focus

Microsoft monte avec son SIEM Sentinel

Exabeam se distingue sur la partie journalisation, par la capacité à contextualiser les recherches et à traiter jusqu’à 10 ans d’historique avec un add-on de stockage. Gartner salue aussi sa capacité à traiter en direct des flux tiers, dans une logique « décentralisée » plus flexible y compris en termes de coûts. Bon point également pour le scoring dynamique permettant de prioriser les alertes.

Au rang des points noirs, il y a, premièrement, le manque de composants natifs (EDR et NDR en font partie). Deuxièmement, la courbe d’apprentissage, plus longue que sur les autres SIEM SaaS. Troisièmement, la communication peu différenciée entre SIEM et XDR, tant dans le naming que les fonctionnalités.

Au-delà de son reach géographique et de la volumétrie de ses effectifs, IBM se distingue sur la partie analytics et la personnalisation de son SIEM QRadar (création d’apps et de dashboards). Ainsi que sur l’exhaustivité de son catalogue d’options, « bien intégrées » : sécurité réseau, gestion des vulnérabilités, renseignement sur les menaces, SOAR, etc.).

L’innovation sur le SIEM ralentit toutefois à mesure qu’IBM porte ses ressources sur son Cloud Pak sécurité. Le déploiement de QRadar peut par ailleurs se révéler complexe et manquer de flexibilité lorsqu’il s’agit d’intégrer des sources de données.

Comme sur d’autres segments IT que couvre le Magic Quadrant, Microsoft a pour lui la notion d’écosystème. Ici, vis-à-vis de ses autres produits de sécurité (CASB, gestion des identités, protection des terminaux…), mais aussi de ses autres solutions. Gartner salue aussi une « roadmap dynamique » et l’intérêt de la console Lighthouse pour la gestion des déploiements hybrides.

Le cabinet américain ne se montre pas aussi positif sur le volet des coûts, « difficiles à comprendre », encore plus lorsqu’on combine diverses licences Microsoft. Idem sur la question des capacités natives : le reporting de conformité, par exemple, fait défaut.

Des coûts pas toujours prédictibles

Comme Exabeam, Securonix se distingue sur la gestion en (quasi-)temps réel des sources de données tierces. L’inclusion de flux de renseignement sur les menaces lui vaut aussi un bon point, tout comme la brique de gestion de cas.

La communication peu différenciée entre SIEM et XDR est un autre point commun avec Exabeam. Attention aussi au pricing, pas forcément très prédictible, avec un modèle peu commun associant identités et volume d’événements par seconde. Vigilance également recommandée sur la partie analytics : elle est découpée en de multiples apps premium facturée à l’utilisateur.

Chez Splunk, on se distingue par les fonctionnalités de sécurité incluses en standard (en particulier, l’analyse comportementale et les flux de renseignement sur les menaces). Les fonctions d’observabilité sont un autre point fort. Comme l’UX.

On ne peut pas en dire autant du pricing, malgré la nouvelle option basée sur les workloads cloud. La complexité de la solution est un autre écueil : pas facile de dénicher de l’expertise et il arrive que surviennent des problèmes dans la gestion des données. Enfin, les effectifs de Splunk se trouvent majoritairement en Amérique du Nord ; ce qui peut compliquer l’expérience de support dans les autres régions géographiques.

