Databricks : une troisième acquisition en vue (Panther) pour bâtir son SIEM

Panther fournit les intégrations et les règles de détection

Fondée à San Francisco en 2018, Panther développe « une plateforme SOC propulsée à l’IA ». Ce SIEM cloud est principalement utilisé par des éditeurs dont Snyk, LaunchDarkly, Zapier, HubSpot, Fin (Intercom), Dropbox, Asana ou encore… Snowflake.

« Je travaille dans le domaine des opérations cyber depuis environ huit ans, et avant Panther, je dirigeais l’ingénierie de détection et de réponse chez Airbnb », déclare Jack Naglieri, cofondateur et CEO de Panther, lors d’un keynote du Data+AI Summit. « À cette époque, nous avons constaté que les solutions SIEM standard du marché ne convenaient tout simplement pas à nos cas d’usage. Elles étaient très lentes, très coûteuses et représentaient une lourde charge opérationnelle », poursuit-il. « Nous avons donc fait ce que je ne recommanderais pas de faire : développer notre propre solution. Mais nous avons fini par la mettre en open source, et c’est ce qui a inspiré la création de Panther ». Ce projet se nomme StreamAlert.

Plus particulièrement, ce SIEM ajoute des couches d’ingestion de télémétrie, de détection, d’alertes et d’analyse par-dessus des données stockées sur Databricks ou Snowflake.

En sus de la centaine de pipelines d’ingestion, Panther a développé et déployé des règles de détections écrites en Python, dans une approche « détection as code ». À cela s’ajoute Panther AI, un ensemble de fonctionnalités IA, dont un assistant IA, un outil pour rédiger les règles en langage naturel, un autre pour inférer les schémas de données, des moyens pour interroger les lakehouse, trier les alertes, classer les alertes en fonction des risques, résumer les éléments détectés, etc.

Databricks avait déjà commencé à faire de même à travers son assistant Genie Code. Toutefois, la configuration est encore à façon.

Chez Databricks, Panther rejoint les équipes d'Antimatter (chiffrement de données LLM) et de SiftD.ai (notebooks collaboratifs pour SOC), deux acquisitions récentes de l'éditeur.

Faire face à la menace agentique

À cela s’ajoutent les enjeux provoqués par la prolifération des agents IA et des LLM. « Toute personne ayant accès à un grand modèle de langage peut lancer une attaque d’une ampleur et à une vitesse jusqu’alors inimaginable », affirme Andrew Krioukov, directeur général de LakeWatch chez Databricks. « Face à cette menace, la collaboration entre les équipes responsables de la sécurité et des données devient indispensable ».

« Le monde des données et de l’IA et le monde du SIEM et de la sécurité fusionnent », explique Ali Ghodsi, cofondateur et CEO de Databricks, lors d’un point presse. Traditionnellement, la sécurité surveillait les menaces humaines (employés malveillants, intrusions). Aujourd’hui, avec les agents IA qui accèdent aux systèmes et effectuent des tâches, la surveillance de leurs actions relève du domaine des données. « L’IA et les agents font converger plusieurs marchés distincts », observe le dirigeant.

Cette convergence met en lumière les limites des outils actuels. « Avec les outils dont nous disposons aujourd’hui, nous n’avons aucune chance de faire face à ces menaces agentiques », alerte Andrew Krioukov. « Nous traitons des données incomplètes parce que nous ne pouvons pas nous le permettre financièrement et nous ne pouvons pas les intégrer à grande échelle. D’un côté, nous avons des humains qui combattent des attaquants agentiques. De l’autre, vous ne pouvez pas analyser toutes les données parce qu’elles sont enfermées dans différents silos propriétaires ».

L’objectif demeure la centralisation des données de télémétrie dans une seule plateforme, d’éviter leur échantillonnage et de les gouverner à travers Unity Catalog.

L’annonce de LakeWatch fait suite à la présentation de Data Intelligence for Cybersecurity. Il s’agissait alors de jouer le rôle de plateforme intermédiaire entre les systèmes sources et les outils SIEM/SOAR du marché.

« Le marché nous a poussés dans cette direction pendant des années. Les utilisateurs développent leurs propres solutions SIEM sur Databricks », affirme Ali Ghodsi. « Il est donc essentiel de rationaliser ce processus grâce à des agents et de réduire les coûts associés ».

« Il s’agit de résoudre une combinaison de limitations techniques et tarifaires », précise pour sa part Andrew Krioukov. « Les équipes de sécurité effectuent toutes sortes d’acrobaties pour réduire la quantité de données entrantes au sein du SIEM. Elles mettent par exemple en place des politiques de rétention de moins de 30 jours et des filtres de données en espérant ne rien manquer d’important ».

Le directeur général de LakeWatch évoque par ailleurs la volonté de collecter les logs en provenance des LLM et des outils de collaboration comme Jira et Slack. « Ils représentent des éléments de contexte précieux pour déterminer si un développeur est réellement en train de débugger un service ou si sa machine est compromise », souligne-t-il.

Plutôt les entreprises commencent à découpler le stockage des logs des fonctions d’analyse. Databricks maintient son pari de la centralisation, qui malgré les revendications d’ouverture », n’empêche pas l’enfermement propriétaire.

Databricks recruter pour conquérir de nouveaux marchés

Ainsi, Databricks conserve l’ambition de « remplacer les SIEM » traditionnels par sa plateforme. Mais ce troisième rachat semble indiquer qu’une couche de gestion de données, même proprement gouvernée, ne suffit pas pour construire une solution de cybersécurité. Snowflake n’a pas réellement insisté après la présentation en 2022 d’une solution équivalente à Data Intelligence for Cybersecurity. De son côté, le cabinet d’analystes Futurum Group rappelle que les acteurs traditionnels, dont Microsoft, Splunk, Palo Alto, Google (Wiz, Mandiant), constituent des offres similaires. Il faut également surveiller ces offres, conseille le Futurum Group.

« Nous constatons un énorme intérêt pour ce produit [LakeWatch, N.D.L.R] » défend Ali Ghodsi. « La National Australia Bank et Adobe en font déjà un usage significatif », illustre-t-il. Ces deux clients participent au développement de LakeWatch, toujours en préversion privée.

Dans un même temps, le dirigeant se dit « toujours à l’affût » en matière d’acquisitions. « L’on ne sait jamais », anticipe-t-il.

À ce sujet, Ali Ghodsi évoque une double stratégie. Outre l’accès aux technologies dédiées à la cybersécurité, l’enjeu est de recruter des talents capables de maintenir et de vendre des solutions cyber. Si c’est moins le cas pour Panther, difficile de ne pas voir dans les rachats d’Antimatter et de SiftD.ai une stratégie d’acqui-hiring.

Lors du Data+AI Summit 2026, Databricks a par ailleurs annoncé le lancement de CustomerLake, une Customer Data Platform « agentique », elle aussi pensée pour remplacer les solutions historiques du marché.

Mais Databricks se prépare également à renforcer ses équipes commerciales pour cibler ces nouveaux marchés. « L’équipe de développement corporate est en pleine expansion. Nous embauchons des diplômés issus de grandes écoles avec une formation en analyse commerciale et en développement corporate », mentionne Ali Ghodsi.