Recherche

SIEM : qui se distingue sur ce marché en expansion fonctionnelle ?

Cinq fournisseurs se classent « leaders » dans le Magic Quadrant 2022 du SIEM. À quels titres et avec quels axes de progression ?

Publié par Clément Bohic le | Mis à jour le
Lecture
4 min
  • Imprimer
SIEM : qui se distingue sur ce marché en expansion fonctionnelle ?

Netwitness ? Odyssey ? FireEye et McAfee ? Tous figuraient au Magic Quadrant 2021 du SIEM... et sont absents de l'édition 2022. Leurs offres respectent pourtant les critères fonctionnels attendus.

C'est sur le volet business que ça coince. Les exigences ont effectivement évolué d'une année sur l'autre. Sur un point en particulier : les fournisseurs ont été jugés exclusivement à l'aune de leurs solutions cloud et SaaS.

Dans ce contexte, il sont cinq à figurer au carré des « leaders ». En l'occurrence, Exabeam, IBM, Microsoft, Securonix et Splunk.

Ce positionnement résulte de la combinaison d'évaluations sur deux axes. L'un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit...). L'autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services...).

Sur l'axe « vision », les sociétés classées au Quadrant SIEM se placent dans cet ordre :

  Fournisseur Date de création
1 Gurucul 2014
2 Securonix 1996
3 Exabeam 2013
4 Splunk 1995
5 Micro Focus 2006
6 IBM 2008
7 Microsoft 2016
8 Sumo Logic 2018
9 Elastic 2003
10 Rapid7 1911
11 Devo 2009
12 LogRhythm 2014
13 LogPoint 1989
14 Fortinet 1976
15 ManageEngine 1976
16 Huawei 1976

Sur l'axe « exécution » :

  Fournisseur
1 Microsoft
2 IBM
3 Splunk
4 LogRhythm
5 Securonix
6 Rapid7
7 Exabeam
8 Fortinet
9 Devo
10 Gurucul
11 ManageEngine
12 Sumo Logic
13 LogPoint
14 Huawei
15 Elastic
16 Micro Focus

Microsoft monte avec son SIEM Sentinel

Exabeam se distingue sur la partie journalisation, par la capacité à contextualiser les recherches et à traiter jusqu'à 10 ans d'historique avec un add-on de stockage. Gartner salue aussi sa capacité à traiter en direct des flux tiers, dans une logique « décentralisée » plus flexible y compris en termes de coûts. Bon point également pour le scoring dynamique permettant de prioriser les alertes.
Au rang des points noirs, il y a, premièrement, le manque de composants natifs (EDR et NDR en font partie). Deuxièmement, la courbe d'apprentissage, plus longue que sur les autres SIEM SaaS. Troisièmement, la communication peu différenciée entre SIEM et XDR, tant dans le naming que les fonctionnalités.

Au-delà de son reach géographique et de la volumétrie de ses effectifs, IBM se distingue sur la partie analytics et la personnalisation de son SIEM QRadar (création d'apps et de dashboards). Ainsi que sur l'exhaustivité de son catalogue d'options, « bien intégrées » : sécurité réseau, gestion des vulnérabilités, renseignement sur les menaces, SOAR, etc.).
L'innovation sur le SIEM ralentit toutefois à mesure qu'IBM porte ses ressources sur son Cloud Pak sécurité. Le déploiement de QRadar peut par ailleurs se révéler complexe et manquer de flexibilité lorsqu'il s'agit d'intégrer des sources de données.

Comme sur d'autres segments IT que couvre le Magic Quadrant, Microsoft a pour lui la notion d'écosystème. Ici, vis-à-vis de ses autres produits de sécurité (CASB, gestion des identités, protection des terminaux...), mais aussi de ses autres solutions. Gartner salue aussi une « roadmap dynamique » et l'intérêt de la console Lighthouse pour la gestion des déploiements hybrides.
Le cabinet américain ne se montre pas aussi positif sur le volet des coûts, « difficiles à comprendre », encore plus lorsqu'on combine diverses licences Microsoft. Idem sur la question des capacités natives : le reporting de conformité, par exemple, fait défaut.

Des coûts pas toujours prédictibles

Comme Exabeam, Securonix se distingue sur la gestion en (quasi-)temps réel des sources de données tierces. L'inclusion de flux de renseignement sur les menaces lui vaut aussi un bon point, tout comme la brique de gestion de cas.
La communication peu différenciée entre SIEM et XDR est un autre point commun avec Exabeam. Attention aussi au pricing, pas forcément très prédictible, avec un modèle peu commun associant identités et volume d'événements par seconde. Vigilance également recommandée sur la partie analytics : elle est découpée en de multiples apps premium facturée à l'utilisateur.

Chez Splunk, on se distingue par les fonctionnalités de sécurité incluses en standard (en particulier, l'analyse comportementale et les flux de renseignement sur les menaces). Les fonctions d'observabilité sont un autre point fort. Comme l'UX.
On ne peut pas en dire autant du pricing, malgré la nouvelle option basée sur les workloads cloud. La complexité de la solution est un autre écueil : pas facile de dénicher de l'expertise et il arrive que surviennent des problèmes dans la gestion des données. Enfin, les effectifs de Splunk se trouvent majoritairement en Amérique du Nord ; ce qui peut compliquer l'expérience de support dans les autres régions géographiques.

Photo d'illustration © Brues - Shutterstock

Livres Blancs #cloud

Voir tous les livres blancs
S'abonner
au magazine
Se connecter
Retour haut de page