SIEM : qui se distingue sur ce marché en expansion fonctionnelle ?
Cinq fournisseurs se classent « leaders » dans le Magic Quadrant 2022 du SIEM. À quels titres et avec quels axes de progression ?
Netwitness ? Odyssey ? FireEye et McAfee ? Tous figuraient au Magic Quadrant 2021 du SIEM... et sont absents de l'édition 2022. Leurs offres respectent pourtant les critères fonctionnels attendus.
C'est sur le volet business que ça coince. Les exigences ont effectivement évolué d'une année sur l'autre. Sur un point en particulier : les fournisseurs ont été jugés exclusivement à l'aune de leurs solutions cloud et SaaS.
Dans ce contexte, il sont cinq à figurer au carré des « leaders ». En l'occurrence, Exabeam, IBM, Microsoft, Securonix et Splunk.
Ce positionnement résulte de la combinaison d'évaluations sur deux axes. L'un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit...). L'autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services...).
Sur l'axe « vision », les sociétés classées au Quadrant SIEM se placent dans cet ordre :
Fournisseur | Date de création | |
1 | Gurucul | 2014 |
2 | Securonix | 1996 |
3 | Exabeam | 2013 |
4 | Splunk | 1995 |
5 | Micro Focus | 2006 |
6 | IBM | 2008 |
7 | Microsoft | 2016 |
8 | Sumo Logic | 2018 |
9 | Elastic | 2003 |
10 | Rapid7 | 1911 |
11 | Devo | 2009 |
12 | LogRhythm | 2014 |
13 | LogPoint | 1989 |
14 | Fortinet | 1976 |
15 | ManageEngine | 1976 |
16 | Huawei | 1976 |
Sur l'axe « exécution » :
Fournisseur | |
1 | Microsoft |
2 | IBM |
3 | Splunk |
4 | LogRhythm |
5 | Securonix |
6 | Rapid7 |
7 | Exabeam |
8 | Fortinet |
9 | Devo |
10 | Gurucul |
11 | ManageEngine |
12 | Sumo Logic |
13 | LogPoint |
14 | Huawei |
15 | Elastic |
16 | Micro Focus |
Microsoft monte avec son SIEM Sentinel
Exabeam se distingue sur la partie journalisation, par la capacité à contextualiser les recherches et à traiter jusqu'à 10 ans d'historique avec un add-on de stockage. Gartner salue aussi sa capacité à traiter en direct des flux tiers, dans une logique « décentralisée » plus flexible y compris en termes de coûts. Bon point également pour le scoring dynamique permettant de prioriser les alertes.
Au rang des points noirs, il y a, premièrement, le manque de composants natifs (EDR et NDR en font partie). Deuxièmement, la courbe d'apprentissage, plus longue que sur les autres SIEM SaaS. Troisièmement, la communication peu différenciée entre SIEM et XDR, tant dans le naming que les fonctionnalités.
Au-delà de son reach géographique et de la volumétrie de ses effectifs, IBM se distingue sur la partie analytics et la personnalisation de son SIEM QRadar (création d'apps et de dashboards). Ainsi que sur l'exhaustivité de son catalogue d'options, « bien intégrées » : sécurité réseau, gestion des vulnérabilités, renseignement sur les menaces, SOAR, etc.).
L'innovation sur le SIEM ralentit toutefois à mesure qu'IBM porte ses ressources sur son Cloud Pak sécurité. Le déploiement de QRadar peut par ailleurs se révéler complexe et manquer de flexibilité lorsqu'il s'agit d'intégrer des sources de données.
Comme sur d'autres segments IT que couvre le Magic Quadrant, Microsoft a pour lui la notion d'écosystème. Ici, vis-à-vis de ses autres produits de sécurité (CASB, gestion des identités, protection des terminaux...), mais aussi de ses autres solutions. Gartner salue aussi une « roadmap dynamique » et l'intérêt de la console Lighthouse pour la gestion des déploiements hybrides.
Le cabinet américain ne se montre pas aussi positif sur le volet des coûts, « difficiles à comprendre », encore plus lorsqu'on combine diverses licences Microsoft. Idem sur la question des capacités natives : le reporting de conformité, par exemple, fait défaut.
Lire aussi : La XRD peut-elle remplacer les SIEM dans les SOC ?
Des coûts pas toujours prédictibles
Comme Exabeam, Securonix se distingue sur la gestion en (quasi-)temps réel des sources de données tierces. L'inclusion de flux de renseignement sur les menaces lui vaut aussi un bon point, tout comme la brique de gestion de cas.
La communication peu différenciée entre SIEM et XDR est un autre point commun avec Exabeam. Attention aussi au pricing, pas forcément très prédictible, avec un modèle peu commun associant identités et volume d'événements par seconde. Vigilance également recommandée sur la partie analytics : elle est découpée en de multiples apps premium facturée à l'utilisateur.
Chez Splunk, on se distingue par les fonctionnalités de sécurité incluses en standard (en particulier, l'analyse comportementale et les flux de renseignement sur les menaces). Les fonctions d'observabilité sont un autre point fort. Comme l'UX.
On ne peut pas en dire autant du pricing, malgré la nouvelle option basée sur les workloads cloud. La complexité de la solution est un autre écueil : pas facile de dénicher de l'expertise et il arrive que surviennent des problèmes dans la gestion des données. Enfin, les effectifs de Splunk se trouvent majoritairement en Amérique du Nord ; ce qui peut compliquer l'expérience de support dans les autres régions géographiques.
Photo d'illustration © Brues - Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité