Lakewatch : à son tour, Databricks s’invite sur le marché du SIEM

Une approche plus ouverte du SIEM

Il ajoute à cela la prise en charge du framework Open Cybersecurity Schema (OCSF). Porté par AWS, IBM et Splunk, celui-ci promet la simplification de l’ingestion et la normalisation des données collectées par différents logiciels de sécurité. Il est agnostique des infrastructures et des outils.

Dans cette logique d’ouverture, l’éditeur s’accompagne d’un grand nombre d’éditeurs partenaires, dont Akamai, Anvilogic, Artic Wolf, Cribl, Okta, 1password, Palo Alto Networks, Panther, Proofpoint, Obsidian, Wiz (Google) ou encore Zcaler.

L’éditeur complète cette capacité par Lakeflow Connect, sa suite d’outils d’ingestion de données. Une fois dans le « Lakehouse », la couche de gouvernance Unity Catalog doit permettre de gérer les données jusqu’à l’échelle de la ligne, assure-t-il.

Databricks vient du monde du lac de données. Sa base technologique est NoSQL. De ce fait, l’éditeur promet la prise en charge de données multimodales (données relationnelles, images, textes, vidéo, audio, etc.).

« Les solutions SIEM traditionnelles ne sont pas en mesure de traiter les données multimodales, alors que c’est précisément là que se cachent les attaques par ingénierie sociale, les menaces internes et les tentatives d’injection de prompt », argue Databricks, dans un billet de blog.

Qui plus est, Lakewatch peut être déployé sur Azure, GCP, ou AWS. Comme la majorité des plateformes modernes de traitement de données, Databricks dit avoir pour avantage le découplage du calcul et du stockage. Et évidemment, son architecture peut prendre en charge des pétaoctets de données, à un coût bien moindre que les services concurrents.

Databricks s’est équipé en 2020 de premières briques de visualisations de données. Pas besoin de sortir de la plateforme, donc.

Infusée à l’IA oui, agentique pas encore

Outre l’ingestion et la normalisation des données, le nerf de la guerre d’un SIEM, ce sont les règles de détection. Pour cela, Databricks vante la possibilité de les configurer à travers des fichiers YAML avec des requêtes SQL ou à travers des notebooks Python, le tout déployé depuis des pipelines CI/CD. Les équipes les plus avancées peuvent par ailleurs s’appuyer sur MLFlow, le feature store et la brique de déploiement (Model Serving) pour exploiter des modèles de machine learning de détection, d’analyse de comportement ou encore de scoring des entités à risque.

Et puis il y a Genie. L’assistant IA Genie Code doit permettre « d’automatiser l’ingestion, créer de toutes nouvelles détections, modifier les règles pour réduire les faux positifs et traduire les questions en langage naturel en requêtes SQL à des fins d’analyse ». Il peut aussi servir lors des phases de chasses aux menaces dans sa déclinaison Genie Space. Les entreprises peuvent aussi s’appuyer sur Agent Bricks pour bâtir des agents IA dédiés à la cybersécurité.

Là apparaît une faille évidente dans le discours de Databricks. Il n’a pas encore véritablement de capacités agentiques consacrées à la cybersécurité. Contrairement à Splunk, Microsoft ou encore Elastic qui ont pris le pas de spécialiser des assistants et des agents, l’entreprise dirigée par Ali Ghodsi noue un partenariat avec Anthropic pour renforcer les capacités des modèles Claude à corréler des signaux de sécurité dans les données IT et métiers. Et Anthropic adoptera Lakewatch pour l’analyse de ses logs. Si Anthropic a acquis une expertise en matière de red teaming consacré aux LLM, il n’est pas un expert de la cybersécurité.

Deux acquisitions pour renforcer Lakewatch (et ses équipes)

Databricks annonce par ailleurs l’acquisition d’Antimatter et ShiftD.ai.

Antimatter est portée par une équipe de chercheurs issue d’UC Berkeley (Ali Ghodsi y est professeur adjoint), un établissement rattaché à l’université de Californie. Elle avait réussi à lever 12 millions de dollars en 2022. Son fondateur Andrew Krioukov est le directeur général de Lakewatch chez Databricks depuis mai 2025.

Fondée en 2021, Antimatter développait un « hub universel » pour le contrôle de données envoyées vers de nouvelles applications, dont les services d’OpenAI, les frameworks de type LangChain ou tout autre chatbot. Le Hub devait appliquer les mêmes permissions sur les données sortantes et anonymiser les données sensibles. La startup s’appuyait pour cela sur une solution de chiffrement de données basée sur un objet nommé « capsule ». C’est un blob chiffré de manière asymétrique pouvant être stocké dans un fichier, un objet type S3 ou la cellule d’une base de données. Le chiffrement était directement réalisé par Antimatter ou par les clients depuis les services KMS d’Azure, GCP ou AWS. Databricks est en train de l’intégrer à sa plateforme.

Créée en 2024, ShiftD.ai, elle, a présenté son premier produit en novembre 2025, SPIN. Il s’agit d’un moyen de faire des notebooks des « applications opérationnelles » où les analystes de sécurité et les ingénieurs SRE, aidés d’agents IA, collaborent pour résoudre un incident. Peu importe le projet, son cofondateur et CEO, Steve Zhang, a travaillé chez Splunk pendant 14 ans. Il était le directeur scientifique du groupe et a littéralement créé le SPL (Search Processing Language), le langage d’interrogation principal de Splunk. Si ces rachats impliquent un peu de propriétés intellectuelles, TechCrunch soupçonne pour ShiftD une opération « d’acqui-hiring », ici de recrutement déguisé en rachat (l’inverse existe également).

Lakewatch semble en développement depuis près d’un an, signe que le projet est pris très au sérieux. L’éditeur dit avoir déjà convaincu Adobe et Dropbox d’adopter sa solution. D’ailleurs, auprès de CNBC, Ali Ghodsi a promis d’intégrer des fonctionnalités de réponses aux incidents.

Ces défis qui attendent Databricks

Toutefois, avant même de parler d’adoption et de gestion du changement, il faut garder à l’esprit que la peinture est fraîche.

Lakewatch, qu’il faut voir comme une boîte à outils, n’a pas encore de documentation spécifique. D’autres projets de Databricks en préversion privée en ont une. De plus, il faudra passer par les connecteurs des partenaires pour automatiser l’ingestion avec Lakeflow Connect ou les bâtir soi-même. Par exemple, les intégrations avec Okta et Zscaler ne sont pas officiellement supportés par Databricks. LeMagIT n’a pas accès à la place de marché pour vérifier la disponibilité des liens vers les solutions des différents partenaires listés plus haut.

Quant à l’archivage de données présentes dans les espaces de stockage objet des hyperscalers, une fonctionnalité essentielle lorsque l’on ingère des téraoctets de logs par jour, elle est en préversion publique depuis le mois de décembre.

Certes. Le rapprochement de Splunk et de Cisco, ainsi qu’un certain « ras-le-bol » concernant les pratiques commerciales des fournisseurs de SIEM titillent les entreprises de regarder ailleurs. Toutefois, gagner de l’importance sur un tel marché nécessite non plus de discuter avec le Chief Data Officer, mais avec le RSSI et les équipes SOC. Outre les compétences techniques, il faut également former les vendeurs.

En septembre dernier, Databricks avait dévoilé Data Intelligence for Cybersecurity, qui proposait de faire le pont entre les sources de données et les outils SIEM/SOAR du marché. Il ne s’agissait pas encore de les remplacer.

Comme les acteurs de l’observabilité qui tentent eux aussi d’investir ce marché, Snowflake avait présenté une offre similaire en juin 2022. Elle était beaucoup moins frontalement opposée aux mastodontes que sont Google, Microsoft ou Splunk. Securonix était d’ailleurs un partenaire de lancement. Snowflake n’en a pas reparlé à la presse depuis, mais a récemment acquis Observe, un spécialiste de l’observabilité.