Backstory, la nouvelle coqueluche des centres opérationnels de sécurité

Backstory, c’est le nom du pavé que Chronicle, membre comme Google de la famille Alphabet, vient de jeter dans la marre des systèmes de gestion des informations et des événements de sécurité (SIEM), à l'occasion de l'ouverture de RSA Conference, qui se déroule cette semaine à San Francisco. Et, au moins sur le papier, il pourrait avoir de quoi séduire.

Chronicle n’y va pas quatre chemins et explique clairement que Backstory, avec une interface graphique simple, conçue pour les activités analytiques autour de la sécurité informatique, doit « éliminer la courbe d’apprentissage et les langages complexes des outils de gestion de logs et de SIEM ». Avec ce service, Chronicle veut proposer aux entreprises de consolider, dans le cloud, toutes leurs données de télémétrie, toutes leurs traces d’activités de sécurité, dans un conteneur privé virtuel, qu’il s’agisse de systèmes de détection et de remédiation sur les hôtes (EDR), de journaux de pare-feu ou de systèmes de détection d’intrusion (IDS), de prévention des fuites de données (DLP), etc. En fait, tout ce qui peut être transmis via syslog ne demande qu’à être ingéré, tout comme les métadonnées netflow du trafic réseau.

Ces données, Backstory promet de les mettre en perspective avec du renseignement sur les menaces – venu de tiers, comme Proofpoint ou Avast – mais également de l’incontournable Virus Total, après un effort de traitement par les équipes spécialisées d’Uppercase.

Pour Chronicle, les premiers usages de Backstory relèvent de la chasse aux menaces et de l’investigation d’incidents de sécurité, en profitant « de la capacité de Backstory à chercher et à analyser des pétaoctets de données de télémétrie en l’espace de quelques millisecondes ».

Mais cela ne s’arrête pas là car le service assure l’évaluation en temps réel et rétroactivement d’observables : de quoi alerter lorsque l’un d’entre eux, vu dans l’environnement considéré, devient, du fait d’une connaissance nouvelle d’une menace, un indicateur de compromission.

Et c’est là que Chronicle avance un argument massue, frappant directement la mécanique commerciale bien huilée des éditeurs de SIEM et autres systèmes de gestion de logs : Backstory ingère et stocke sans limite de temps, et sans facturation ni au nombre de sources de logs, ni au nombre d’événements, ni encore à la vélocité. Le service est en fait facturé « à la taille de l’organisation » : « ce modèle, combiné avec une infrastructure capable de s’étendre à une échelle sans équivalent, permet un niveau d’analyse, d’investigation et de chasse qui ne serait pas autrement possible ».

Ce que Chronicle présente là comme un avantage ne manquera pas d’être utilisé par ses détracteurs – et probablement par les éditeurs de SIEM à déploiement en local, voire les fournisseurs de services managés proposant une infrastructure en cloud privé – contre Backstory. Comme il pourrait l’être d’ailleurs à l’encontre d’Azure Sentinel.

Mais Chronicle l’a anticipé. Son service de SIEM en mode cloud s’appuie sur l’infrastructure de Google, conçue selon une logique de sécurité en profondeur. Qui plus est, le service embarque « ses propres identifiants cryptographiques pour assurer des communications sécurisées entre les composants » de l’infrastructure sous-jacente. Des mécanismes stricts de gestion des identités et des accès sont également appliqués aux utilisateurs et les échanges sont évidemment chiffrés. Cela vaut également pour les données au repos des clients.

Le service lui-même fait l’objet d’une surveillance par une équipe de réponse à incident travaillant en continu. Chronicle revendique la certification Iso 27001 pour Backstory et indique « avancer vers un rapport SOC II Type 2 », dont une attestation est attendue pour la fin du second trimestre.

Même si cela prendra forcément du temps, Backstory pourrait bien bousculer le petit monde des acteurs établis du SIEM. Mais il ne manquera pas de rencontrer des obstacles en chemin, à commencer par la bande passante montante requise pour être effectivement utilisable, ou encore les ambitions d’autres jeunes acteurs comme Exabeam, Securonix ou encore Gurucul, voire des Siemplify, SecBI ou Jask. Et c’est sans compter avec d’autres questions, comme l’intégration avec des outils de gestion du renseignement sur les menaces, ou d’orchestration et d’automatisation, entre autres.