SIEM : Microsoft crée la surprise en passant devant tous les leaders

La sauce du système de gestion des informations et des événements de sécurité (SIEM) a-t-elle finalement pris ? C’est ce que suggère l’édition 2022 du quadrant magique de Gartner pour ce marché en plaçant Microsoft et son offre Cloud, Sentinel, sur la première marche du podium.

Deux autres acteurs du marché, Exabeam et Securonix, avaient déjà bousculé les indéboulonnables IBM (avec Qradar) et Splunk, pour l’édition 2021 de ce quadrant magique. Microsoft n’était alors positionné que dans le carré des visionnaires. Mais Splunk avait manifestement senti le vent tourner : en juillet 2021, il avait annoncé son Security Cloud, véritable réponse aux offres de SIEM en mode service, assorti d’un renouvellement d’une approche tarifaire largement et longtemps critiquée. Au menu, donc, gestion et ingestion des logs, corrélation, détection d’anomalies comportementales, automatisation et orchestration de la réponse (SOAR), mais aussi gestion du renseignement sur les menaces, avec la technologie de TruStar dont le rachat avait été annoncé fin mai 2021.

Cela a manifestement contribué à faire remonter Splunk dans l’estime des analystes de Gartner : dans le carré des leaders, il est désormais devant Exabeam et Securonix en manière de capacité à concrétiser sa vision, même s’il reste légèrement en recul du second pour l’étendue de celle-ci.

Mais en termes de capacité à concrétiser sa vision, c’est Microsoft qui s’inscrit en tête cette année, loin devant ses concurrents. Gartner relève que l’éditeur a réussi à attirer aussi bien les grands comptes que les petites entreprises. Peut-être bien parce que les offres entreprises de Microsoft « intègrent des crédits d’usage pour Sentinel et Defender ». De quoi encourager à essayer celles-ci.

Mais si Microsoft n’a ouvert les vannes de Sentinel qu’à l’automne 2019, l’éditeur avance vite. Gartner souligne ainsi une offre qui progresse rapidement. Mais celle-ci est aussi – comme à l’habitude de l’éditeur – adaptée à la commercialisation indirecte, par le biais de prestataires de services managés. Et c’est sans compter avec un « riche écosystème de produits de sécurité hautement intégrés ».

Manifestement, Microsoft parvient à convaincre. Tout récemment, Thales et Kudelski Security ont annoncé, l’un après l’autre, des offres d’externalisation de la détection et de la réponse à incident basées sur Sentinel et Defender. Rubrik vient quant à lui d’annoncer l’intégration de ses outils de protection des données à Sentinel.

Mais les analystes de Gartner ne manquent pas de certaines réserves. Ils avertissent ainsi sur les difficultés « à comprendre le véritable coût » de Sentinel, ainsi que sur le risque de « potentielle captivité indirecte ». Et cela notamment parce qu’il est « difficile de comparer les fonctions et tarifs natifs de Microsoft avec les intégrations tierces ».