SIEM : pour Gartner, Exabeam et Securonix sont passés devant Splunk et IBM

L’édition 2020 du quadrant magique de Gartner pour les systèmes de gestion des informations et des événements de sécurité (SIEM) n’était pas tendre. Il a probablement fait grincer quelques dents. Il confirmait notamment la poussée des nouveaux acteurs, Exabeam et Securonix renforçant leur position. Mais IBM et Splunk restaient en tête, assez loin devant, d’ailleurs.

Le rapport de forces est inversé avec l’édition 2021 de ce même quadrant magique, Exabeam et Securonix dominant IBM de la tête et des épaules, et plus encore un Splunk recalé au niveau de Rapid7 et de LogRhythm pour la complétude de sa vision. Et si ces trois-là figurent encore dans le carré des leaders, c’est en ne dépassant que de peu les seuils.

Surtout, le reste du quadrant donne l’image d’un marché où personne n’arrive plus véritablement à se démarquer. Gurucul, Microsoft, Sumo Logic et Fortinet sont ramassés dans un coin du carré des visionnaires. Elastic, LogPoint, NetWitness, Venustech, FireEye et McAfee font de même dans celui des acteurs de niche. Un carré où figurent aussi, mais sensiblement en retrait, Huawei, Micro Focus, Odyssey, et ManageEngine.

Pour Exabeam, Gartner souligne tout d’abord la capacité de rétention – jusqu’à 10 ans en cloud – combinée à celles de recherche et d’analyse sur des données automatiquement enrichies pour simplifier la recherche des menaces et l’investigation sur de longues périodes. Le cabinet met également en avant l’architecture modulaire offrant une importante flexibilité de déploiement. Jusqu’à pouvoir augmenter un SIEM déjà présent. Et c’est sans compter un moteur d’analyse comportementale « mature et extensive », avec notation de risque et enrichissement contextuel automatique pour les utilisateurs et les entités.

Du côté de Securonix, le cabinet relève les contrôles de confidentialité, avec notamment une gestion très granulaire des droits d’accès. S’ajoute à cela le support de partenaires prestataires de services managés, notamment pour les petites et moyennes entreprises. Selon Gartner, Securonix a noué de nombreux importants partenariats de la sorte au cours des 18 derniers mois. Enfin, le cabinet souligne les capacités natives de gestion du renseignement sur les menaces. Mais il ajoute quelques réserves, à commencer par la complexité de déploiement et d’administration de la plateforme pour les déploiements en local.

Splunk semble notamment pénalisé par des annonces de nouvelles options tarifaires survenues trop tardivement pour être prises en compte par les analystes de Gartner : certaines sont mentionnées, mais pas les plus récentes, tout juste dévoilées. De son côté, IBM paraît défavorisé avant tout par des contrats présentés comme potentiellement complexes, en fonction de la combinaison de multiples modèles tarifaires.

Rapid7 semble de son côté désavantagé principalement par des capacités de personnalisation lourdes à mettre en œuvre, ainsi que les questions de disponibilité géographique d’InsightIDR, hébergé sur AWS. Quant à LogRhythm, selon les analystes, il a surtout l’air de souffrir d’options cloud limitées.

Où pèchent les autres ? NetWitness est épinglé pour le manque d’options SaaS, sa complexité de mise en œuvre et ses capacités d’intégration limitées avec les services cloud et les passerelles d’accès cloud sécurisé (CASB). On retrouve des réserves peu ou prou comparables pour Fortinet, Gurucul, LogRhythm, Micro Focus et McAfee – sans compter des « fonctions avancées et des additions limitées » pour ce dernier. Pour Microsoft, c’est l’adhérence à l’écosystème Azure qui est particulièrement soulignée. Quant à LogPoint, c’est sa présence limitée hors d’Europe.