Sécurité, observabilité : Cisco présente ses projets pour Splunk
Cisco a dévoilé de vastes plans d’intégration, pour son acquisition de Splunk à 28 milliards de dollars, maintenant officiellement finalisée, qui engloberont l’IA, la sécurité, l’observabilité et le réseau.
Maintenant que l’acquisition de Splunk a été finalisée, la première tâche de Cisco est d’intégrer ses renseignements sur les menaces Talos aux outils de sécurité de Splunk, parmi d’autres projets visant à consolider et à intégrer les produits de sécurité et d’observabilité des deux entreprises.
Les responsables de Cisco ont présenté un plan d’intégration en cinq points dans un billet de blog publié cette semaine, révélant la conclusion de l’opération six mois après son annonce. Les plans d’intégration se concentreront sur l’IA, la sécurité, l’observabilité, la gestion de réseau et la consolidation des outils.
Le volet « sécurité » est le plus détaillé des cinq, avec tout d’abord l’intégration des renseignements sur les menaces produits par les équipes Talos avec Splunk, au cours des prochains mois. À terme, Cisco prévoit d’intégrer les données de surveillance des environnements cloud, des réseaux et des hôtes de ses produits dans les outils de gestion des informations et des événements de sécurité (SIEM) et d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) de Splunk. Les outils de sécurité de Cisco et de Splunk intégreront également des assistants virtuels.
Sur le terrain de l’observabilité, Cisco prévoit « une expérience commune et des optimisations de workflow dans les portefeuilles Cisco et Splunk Observability », selon le billet de blog. « À terme, les équipes informatiques et techniques peuvent s’attendre à des améliorations de l’analyse des causes fondamentales et des assistants pilotés par l’IA, y compris Splunk IT Service Intelligence ».
Les outils Splunk et Cisco seront combinés en un outil de réseau sécurisé, poursuit le blog sans donner plus de détails. En fin de compte, « nous pensons que la tendance du marché à la consolidation des outils – et la convergence des réseaux, de la sécurité et de l’observabilité – crée une opportunité significative pour Cisco et nos clients », peut-on lire dans le billet.
Bien que les deux entreprises aient de nombreux produits qui se chevauchent, un client de Splunk a déclaré penser que chacune d’entre elles apporterait des forces distinctes dans l’intégration des produits.
« Splunk a fait beaucoup d’efforts dans le domaine de l’observabilité en lançant Splunk Observability. Nous en avons fait la démonstration et c’était correct, mais loin d’être aussi mature que d’autres plateformes », en particulier pour la gestion des performances des applications (APM), a déclaré Steve Koelpin, ingénieur Splunk en chef pour une entreprise du Midwest figurant au classement Fortune 1 000. « Cisco est beaucoup plus mature dans ce domaine, et il sera très utile d’intégrer Splunk, qui est un leader en matière de logs et de mesures ».
Néanmoins, l’ampleur des chevauchements entre les outils pourrait imposer des décisions architecturales potentiellement difficiles, estime Andy Thurai, analyste chez Constellation Research.
« Il s’agit d’un portefeuille assez décent, mais personne ne sait comment il va s’articuler. »
Andy ThuraiAnalyste, Constellation Research
« Splunk n’a pas encore totalement terminé le transfert des logs de Splunk Enterprise vers SignalFx », relève Andy Thurai. « Alors, quel modèle reste en place ? AppDynamics ou tout intégrer dans le modèle d’observabilité full-stack qu’ils sont en train de construire ? »
Cisco a été critiqué par le passé, sur le temps qu’il a fallu à l’entreprise pour intégrer pleinement ses acquisitions – y compris AppDynamics, que Cisco a acquis en 2017. L’intégration complète d’autres acquisitions de Cisco, telles que ThousandEyes et Portshift, toutes deux acquises en 2020, n’a pas été généralisée avant la mi-2023.
Les intégrations avec Splunk se feront probablement plus rapidement que cela, anticipe Andy Thurai, mais il prédit qu’il faudra au moins deux ans avant que les plans d’intégration de Splunk ne se concrétisent.
« Il s’agit d’un portefeuille assez décent, mais personne ne sait comment il va s’articuler », indique-t-il. « Étant donné la taille de cette acquisition, rien ne se passera, au moins pendant quelques années… Ce n’est pas nouveau ou propre à Cisco – la même chose se produit avec n’importe quelle grande entreprise ».
Une consolidation de la sécurité et de l’observabilité à la mode
Cisco-Splunk n’est pas le seul à combiner des outils de sécurité et d’observabilité. La plupart des fournisseurs d’outils d’observabilité ont récemment emprunté une voie similaire, de New Relic à Sumo Logic, en passant par Elastic, Datadog et Dynatrace. Tous ces fournisseurs souhaitent également se positionner comme le fournisseur de choix en matière de gestion des données pour les systèmes d’IA.
Splunk et Cisco avaient également déjà commencé leurs propres combinaisons de propriété intellectuelle provenant de multiples acquisitions dans des outils de sécurité et d’observabilité plus complets. Splunk a pris des mesures après avoir nommé un nouveau PDG en mars 2022 pour mieux unifier ses activités traditionnelles d’analyse de logs et ses nouvelles activités d’observabilité construites autour de l’acquisition de SignalFx en 2019. Elle a également introduit des fonctionnalités de gestion des données et de migration des logs qui unifient plus étroitement ses outils de sécurité et d’observabilité et a lancé un ensemble de modèles d’IA pour les équipes SecOps.
Cisco a retravaillé son back-end d’observabilité complet autour de la collecte de données OpenTelemetry et a déployé Secure Application pour offrir des vues de sécurité sur les données d’observabilité. Il a également commencé à intégrer dans son cloud de sécurité les outils d’observabilité basés sur l’eBPF, issus de l’acquisition d’Isovalent en décembre.
« Cisco pourrait également aller plus loin et proposer différents messages sur la sécurité des réseaux et des applications. »
Andy ThuraiAnalyste, Constellation Research
Le fait que les deux entreprises se rencontrent aujourd’hui souligne à la fois la complexité de ces intégrations et leur potentiel d’amélioration, compte tenu du poids du réseau de vente de Cisco et de sa capacité à atteindre des milliers d’entreprises clientes qu’il partage déjà avec Splunk, relève Andy Thurai.
« Talos threat intelligence avec Splunk, qui est l’un des fournisseurs de SIEM les plus populaires, est tout à fait logique dans l’immédiat », a-t-il déclaré. « Cisco pourrait également aller plus loin et proposer différents messages sur la sécurité des réseaux et des applications, d’autant plus qu’ils ont maintenant AppDynamics et ThousandEyes dans le lot ».
À long terme, Steve Koelpin se dit surtout intrigué par la combinaison d’outils de sécurité et d’observabilité entre les deux entreprises.
« L’utilisation de Splunk, pour effectuer des corrélations profondes sur des données non structurées et en temps réel, combinée à la plateforme d’observabilité de Cisco va être très importante », a-t-il déclaré. « Il sera important d’avoir un seul fournisseur pour offrir un [produit] de sécurité complet, des IPS [systèmes de prévention des intrusions] aux SIEM en passant par le matériel… La prolifération des outils est néfaste, car elle ne permet pas de maximiser la valeur des outils dont on dispose. Il est difficile de trouver et de retenir des experts de niche, et il est encore plus difficile de faire en sorte que ces outils communiquent entre eux ».
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
