Orange Cyberdefense cherche à se libérer de la tarification des SIEM

Les modèles tarifaires habituels des systèmes de gestion des informations et des événements de sécurité sont inadaptés aux services externalisés de supervision de la cybersécurité. Michel Van Den Berghe explique son approche.

Répercuter les modèles tarifaires classiques des éditeurs de systèmes de gestion des informations et des événements de sécurité (SIEM) ? Qu’il s’agisse de tarification au volume ou à la vélocité, cela s’avère peu soutenable pour Orange Cyberdefense et les entreprises qui ont choisi d’externaliser auprès de lui la supervision de la sécurité.
Michel Van Den Berghe, patron de cette activité de l’opérateur, le reconnaît bien volontiers : répercuter ces modèles tarifaires, « les clients ne veulent pas en entendre parler ». Car comme nous le confiait récemment l’un d’entre eux : c’est un service qu’il achète, avec l’accès à des ressources qualifiées, des équivalents temps plein (ETP).

Suite de l'article ci-dessous

Dès lors, Orange Cyberdefense a conduit des expérimentations, notamment en essayant de facturer aux cas d’usage. Mais là encore, l’approche peut montrer des limites : « nous avons eu l’expérience d’un client qui a quasiment doublé de taille à l’occasion d’un rachat. Les cas d’usage n’ont pas évolué, mais la volumétrie utilisateur susceptible d’être attaquée a bien changé ». Rester sur la même tarification n’était alors plus véritablement profitable.

« Les clients sont prêts à investir plus, année après année, dans des solutions de détection des incidents de sécurité. »
Michel Van den BergheOrange Cyberdefense

Pour Michel Van Den Berghe, le sujet est assurément complexe, car d’un côté, « les clients sont prêts à investir plus, année après année, dans des solutions de détection des incidents de sécurité », mais pas question pour autant d’accepter que la facture n’explose avec l’augmentation des volumes de données traitées ou de la fréquence des événements analysés.

Pour l’heure toutefois, Orange Cyberdéfense n’a pas encore trouvé la formule idéale susceptible de répondre à toutes les situations. Alors, explique Michel Van Den Berghe, « on travaille au cas par cas avec nos clients », en fonction des centres de coût, et en particulier par les besoins de couverture temporelle pour la supervision. Parce que les ressources humaines qualifiées sont rares : « les analystes de niveau 3, il faut essayer de les mutualiser au maximum ».

Concrètement, « nous sommes en pleine réflexion avec de grands industriels, de grands opérateurs d’importance vitale (OIV), pour trouver une solution qui soit bénéfique aux trois parties » – y compris, donc, les éditeurs. Car ces derniers, « pour essayer de s’adapter à nos modèles », finissent par lutter autour de taux de remise plutôt que sur la valeur ajoutée de leurs produits. Et ça, pour Michel Van Den Berghe, « cela ne profite à personne ».

Et il apparaît d’autant plus dans l’intérêt des grands éditeurs historiques du SIEM, comme IBM et Splunk, de participer à cette réflexion qu’en attendant des solutions pérennes, l’une des approches consiste à travailler sur l’architecture des socles techniques : « les grands centres opérationnels de sécurité (SOC) avec un grand datalake auquel on ajoute un peu d’intelligence artificielle, nous n’y croyons plus. Nous croyons plutôt à des micro-SOC, avec des technologies très spécialisées sur des types de menaces, des périmètres de surveillance, ou des applications, pour ne remonter au SIEM que des incidents qui sont déjà fortement préqualifiés. Il s’agit de miser au maximum sur ces micro-SOC pour traiter en local, et industrialiser, automatiser la réponse ».

Aujourd’hui, les projets d’Orange Cyberdefense s’orientent donc principalement dans cette direction. Et pour Michel Van Den Berghe, le risque, pour les grands éditeurs de SIEM, « est qu’on leur remonte de moins en moins de journaux d’activité, de logs ». Ce qui, en définitive, les pénalisera.

Cette situation ne constitue pas, en soi, une surprise. Fin 2017, à l’occasion de la publication de son quadrant magique sur les SIEM, Gartner pointait ainsi les modèles tarifaires appliqués par IBM avec QRadar ou encore Splunk, notamment. Un an plus tard, Exabeam et Securonix faisaient leur entrée dans le carré des leaders de la nouvelle édition de ce même quadrant magique, notamment grâce à leurs modèles tarifaires. Et cette année, les deux éditeurs y ont conforté leurs positions, même si IBM et Splunk apparaissent difficiles à détrôner.

Pour approfondir sur Gestion de la sécurité

Close