Les éditeurs de sécurité historiques vont encore avoir du mouron à se faire… Les deux poids lourds du cloud, Alphabet (Google) et Microsoft, ont introduit de nouveaux outils SaaS d’analyse de télémétrie pour les SOCs.

Les « Security Operation Center » ou SOC, ces plateformes qui assurent la supervision et l’administration des systèmes d’information, reposent principalement sur des fonctions de collecte, d’analyse et de mise en corrélation d’évènements au cœur des outils SIEM (Security Information Event Management). Jusqu’ici, le marché du SIEM était principalement dominé par des acteurs historiques comme Splunk, IBM (QRadar), LogRythm (NextGen SIEM), Exabeam (SMP), McAfee (ESM) Rapid7 ou RSA (NetWitness). Les français y ont aussi leur présence avec des éditeurs comme Tehtris (eGambit), des acteurs comme GateWatcher (outil IDS nextgen interfacé aux SIEM), quekques offres de SOC en mode SaaS ou encore des communautés de développeurs français très investis dans des projets open-source comme Suricata.

Lors de la conférence RSA qui se tient cette semaine à San Francisco, les deux mastodontes du cloud que sont Google et Microsoft ont tous les deux lancés des outils de cybersécurité en mode SaaS (Software as a Service) destinés à servir de fondation à une nouvelle génération de SOC.

La première solution dénommée Backstory restera dans l’histoire comme le premier produit commercial de Chronicle, la division cybersécurité d’Alphabet (maison mère de Google) autrefois connue sous le nom de Google X.
Backstory s’appuie sur les ressources illimitées de l’infrastructure Google Cloud Platform et sur les moteurs analytiques et IA de Google pour offrir aux responsables sécurité et autres analystes de SOC de nouveaux moyens de lutter contre les attaques et les vulnérabilités en limitant la quantité d’alertes inutiles.

Avec Azure Sentinel, Microsoft propose une approche très similaire qui s’appuie sur les ressources élastiques de son infrastructure cloud internationale et sur sa maîtrise du Machine Learning pour contourner les défis aujourd’hui rencontrés par les SOC : collecter les données non seulement des environnements on-premises mais également ceux des environnements cloud (aussi bien IaaS, PaaS que SaaS), absorber et analyser l’indigeste volumétrie induite, chasser les failles d’un SI étendu, exploiter l’IA pour analyser et filtrer les données, limiter les alertes, répondre automatiquement. Azure Sentinel est actuellement en preview et permet par exemple d’incorporer gratuitement les logs Office 365 dans les analyses.

Backstory et Azure Sentinel dessinent un paysage que l’on devinait depuis quelque temps déjà : celui d’une cybersécurité principalement hébergée dans le cloud proposant un mode de vente et de consommation profondément différent des solutions packagées actuelles. Les deux géants ne sont cependant pas des pionniers du « SIEM en SaaS ». USM Anywhere d’AlientVault, TAP (Threat Analytics Platform) de FireEye, ou InsightIDR de Rapid7 avaient préalablement initié ce mouvement vers le cloud du SIEM. L’arrivée de Chronicle et Microsoft sur ce marché change évidemment la donne pour ces éditeurs comme pour ceux qui continuent de promouvoir un SIEM « on-premises ». Parallèlement, comme toutes les entreprises ne sont pas en mesure de gérer leur propre SOC, même dans le cloud, ces nouvelles solutions devraient aussi permettre à de nombreuses ESN de mettre en place de nouvelles offres de « SOC in the cloud » destinées à tous les profils d’entreprise, y compris les TPE et PME dont la sécurité est aujourd’hui devenue le talon d’Achille des grandes entreprises qui font appel à leurs services.

Pour aller plus loin :
Chronicle Backstory
Microsoft Azure Sentinel