Cinq fournisseurs se classent « leaders » dans le Magic Quadrant 2022 du SIEM. À quels titres et avec quels axes de progression ?
Nettémoin ? Odyssée ? FireEye et McAfee ? Tous figuraient au Magic Quadrant 2021 du SIEM… et sont absents de l’édition 2022. Leurs offres respectaient pourtant les critères fonctionnels attendus.
C’est sur le volet business que ça coince. Les exigences ont effectivement évolué d’une année sur l’autre. Sur un point en particulier : les fournisseurs ont été jugés exclusivement à l’une de leurs solutions cloud et SaaS.
Dans ce contexte, il est cinq à figurer au carré des « leaders ». En l’occurrence, Exabeam, IBM, Microsoft, Securonix et Splunk.
Ce positionnement résulte de la combinaison d’évaluations sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre centrée sur la capacité à répondre efficacement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).
Sur l’axe « vision », les sociétés classées au Quadrant SIEM se placent dans cet ordre :
| Fournisseur | Date de création | |
| 1 | Gurucul | 2014 |
| 2 | Sécuronix | 1996 |
| 3 | Exabeam | 2013 |
| 4 | Splunk | 1995 |
| 5 | Micro-focus | 2006 |
| 6 | IBM | 2008 |
| sept | Microsoft | 2016 |
| 8 | Sumo Logique | 2018 |
| 9 | Élastique | 2003 |
| dix | Rapide7 | 1911 |
| 11 | Dévo | 2009 |
| 12 | LogRhythm | 2014 |
| 13 | Point de journalisation | 1989 |
| 14 | Fortinet | 1976 |
| 15 | Gérer le moteur | 1976 |
| 16 | Huawei | 1976 |
Sur l’axe « exécution » :
| Fournisseur | |
| 1 | Microsoft |
| 2 | IBM |
| 3 | Splunk |
| 4 | LogRhythm |
| 5 | Sécuronix |
| 6 | Rapide7 |
| sept | Exabeam |
| 8 | Fortinet |
| 9 | Dévo |
| dix | Gurucul |
| 11 | Gérer le moteur |
| 12 | Sumo Logique |
| 13 | Point de journalisation |
| 14 | Huawei |
| 15 | Élastique |
| 16 | Micro-focus |
Microsoft monte avec son SIEM Sentinel
Exabeam se distingue sur la partie journalisation, par la capacité à contextualiser les recherches et à traiter jusqu’à 10 ans d’historique avec un Ajouter de stockage. Gartner reconnaît également sa capacité à traiter en direct des flux tiers, dans une logique « décentralisée » plus flexible et comprenant en termes de coûts. Bon point également pour le notation dynamique permettant de prioriser les alertes.
Au rang des points noirs, il y a, premièrement, le manque de composants natifs (EDR et NDR en font partie). Deuxièmement, la courbe d’apprentissage, plus longue que sur les autres SIEM SaaS. Troisièmement, la communication peu différenciée entre SIEM et XDR, tant dans le appellation que les fonctionnalités.
Au-delà de son atteindre géographique et de la volumétrie de ses effectifs, IBM se distinguer sur la partie analytique et la personnalisation de son SIEM QRadar (création d’apps et de tableaux de bord). Ainsi que sur l’exhaustivité de son catalogue d’options, « bien intégré » : sécurité réseau, gestion des vulnérabilités, renseignement sur les menaces, SOAR, etc.).
L’innovation sur le SIEM ralentit toutefois à mesure qu’IBM porte ses ressources sur son Cloud Pak sécurité. Le déploiement de QRadar peut par ailleurs se révéler complexe et manquer de souplesse lorsqu’il s’agit d’intégrer des sources de données.
Comme sur d’autres segments IT que couvre le Magic Quadrant, Microsoft a pour lui la notion d’écosystème. Ici, vis-à-vis de ses autres produits de sécurité (CASB, gestion des identités, protection des terminaux…), mais aussi de ses autres solutions. Gartner salue aussi une « feuille de route dynamique » et l’intérêt de la console Lighthouse pour la gestion des déploiements hybrides.
Le cabinet américain ne se montre pas aussi positif sur le volet des coûts, « difficile à comprendre », encore plus lorsqu’on combine diverses licences Microsoft. Idem sur la question des capacités natives : le reporting de conformité, par exemple, fait défaut.
Des coûts pas toujours prédictibles
Comme Exabeam, Sécuronix se distingue sur la gestion en (quasi-)temps réel des sources de données tierces. L’inclusion de flux de renseignements sur les menaces lui vaut aussi un bon point, tout comme la brique de gestion de cas.
La communication peu différenciée entre SIEM et XDR est un autre point commun avec Exabeam. Attention aussi au tarification, pas obligatoirement très prédictible, avec un modèle peu commun d’identités associées et un volume d’événements par seconde. Vigilance également recommandée sur la partie analytique : elle est découpée en de multiples applications premium facturées à l’utilisateur.
Chez Splunk, on se distingue par les fonctionnalités de sécurité incluses en standard (en particulier, l’analyse comportementale et les flux de renseignements sur les menaces). Les fonctions d’observabilité sont un autre point fort. Comme l’UX.
On ne peut pas en dire autant du tarificationmalgré la nouvelle option basée sur les charges de travail nuage. La complexité de la solution est un autre écueil : pas facile de dénicher de l’expertise et il arrive qu’il efface des problèmes dans la gestion des données. Enfin, les effectifs de Splunk se trouvent majoritairement en Amérique du Nord ; ce qui peut compliquer l’expérience de support dans les autres régions géographiques.
Photo d’illustration © Brues – Shutterstock
