SIEM : pourquoi LogPoint rachète SecBI
L’éditeur danois, bien connu pour son système de gestion des informations et des événements de sécurité (SIEM), vient d’annoncer le l’acquisition de cette jeune pousse qui doit lui permettre de proposer ses propres composants de SOAR et de XDR.
LogPoint vient d’annoncer le rachat de la jeune pousse israélienne SecBI. Dans un communiqué de presse, Jesper Zerlang, PDG de LogPoint, explique que l’intégration des outils de celle-ci avec son système de gestion des informations et des événements de sécurité (SIEM) et son composant d’analyse comportementale (UEBA) doit « apporter immédiatement une valeur ajoutée considérable à nos clients actuels et futurs. […] Cette intégration permettra aux clients de lancer rapidement des notifications automatisées et des remédiations en matière de sécurité à l’aide de nos capacités SOAR [orchestration et automatisation, N.D.L.R.] entièrement natives ». Pour lui, « il s’agit d’un grand pas en avant pour notre plateforme d’opérations XDR [détection et remédiation étendues, N.D.L.R.], qui offre ainsi à nos partenaires et clients l’une des solutions les plus innovantes, intuitives et éprouvées disponibles ».
Jesper ZerlangPDG, LogPoint
SecBI a été fondé en 2014 par deux anciens de RSA. En 2016, dans un entretien à la rédaction, Gilad Peleg, son PDG, expliquait l’approche de la jeune pousse : « on ne veut pas bombarder les analystes avec des alertes sporadiques ni les envoyer à la poursuite d’alertes distinctes pour comprendre l’ensemble d’un incident. Nous voulons les aider en leur présentant des incidents recouvrant plusieurs alertes, et leur permettre de les appréhender dans leur globalité, depuis leur point de départ ».
Pour fonctionner, la plateforme de SecBI s’alimentait alors notamment après des équipements réseau et utilisait l’apprentissage automatique non supervisé pour regrouper les événements dans des clusters. Les incidents détectés peuvent être ensuite présentés aux analystes de manière consolidée avec, pour chaque cas, des éléments de chronologie, les marqueurs techniques, les systèmes affectés ou encore la nature de l’incident.
Cette opération n’est en fait guère surprenante. Il y a un an, Jesper Zerland, dans un entretien avec la rédaction, évoquait déjà le rapprochement entre SIEM et SOAR, comme une orientation naturelle. Mais à l’époque, il n’était ni question de développement interne ni d’acquisition : pour le patron de LogPoint, la voie tracée était celle de l’intégration « avec les meilleurs ». Du moins à court terme.
Car plus loin, Jesper Zerlang était clair : « nous pensons que les fonctionnalités destinées aux analystes de premier niveau sont appelées à être fournies nativement par le SIEM, et donc LogPoint. Car nous considérons pouvoir préparer les données de meilleure façon, à l’intention d’une solution de SOAR ». Une réflexion qu’il étendait aussi à l’EDR et au XDR.