Révélée par l’UEBA, Exabeam regarde bien plus loin et veut s’imposer en SOC

Beaucoup ont découvert Exabeam en 2015, à l’occasion de la conférence RSA et de l’émergence des offres commerciales d’analyse comportementale, des hôtes comme des utilisateurs (UEBA). Mais depuis, de nombreux acteurs spécialistes du domaine se sont faits racheter et la technologie s’est diffusée dans un nombre croissant de types de contrôles de sécurité et de produits. Au point que Gartner anticipe la disparition du segment à l’horizon 2021.

Comme Securonix, Exabeam regarde en fait au-delà de l’UEBA et vise à s’imposer comme remplaçant du système de gestion des informations et des événements de sécurité (SIEM) : « cela représente la moitié de notre activité aujourd’hui », explique Sylvain Gil, vice-président d’Exabeam en charge des produits. Mais il ne faut pas voir cela comme virage opéré précipitamment en réaction à l’évolution du marché : « c’était déjà dans notre première présentation aux investisseurs », se rappelle-t-il. Proposer un moteur d’UEBA susceptible de fonctionner en complément d’un SIEM existant, n’était en fait qu’une « tactique pour entrer sur le marché… du SIEM ».

Car tout était déjà là en 2012, à l’articulation de la vision portée par Sylvain Gil, Nir Polak – tous deux anciens d’Imperva – et Domingo Mihovilovic – alors chez Sumo Logic : « la gestion des journaux d’activité, celle des incidents, l’automatisation, le support des playbooks – ce que Gartner appelle aujourd’hui le SOAR –, etc. ».

Si les fondateurs d’Exabeam se sont tournés vers le SIEM, c’est parce qu’il offre « un point de vie assez unique, portant sur toutes les couches de l’infrastructure, jusqu’aux applications. A partir des logs, notre moteur d’UEBA est capable de détecter des compromissions de comptes, des menaces internes, etc. Mais ce n’est qu’une capacité technique, parmi d’autres. ».

Mais cette approche se heurte souvent au modèle tarifaire des éditeurs de SIEM : la traditionnelle facturation à l’événement peut vite s’avérer très onéreuse et brider les ardeurs. Surtout lorsque l’on veut analyser des comportements et identifier des anomalies à grande échelle. Alors Exabeam facture au nombre de collaborateurs au sein de l’entreprise cliente.

Sylvain Gil porte le même regard sur d’autres domaines : automatisation avec gestion des playbooks, chasse aux menaces, gestion du renseignement sur les menaces, ou encore gestion des vulnérabilités. « Nous avons choisi de construire notre propre Phantom [racheté par Splunk en début d’année, NDLR] ».

Dans cette perspective, Sylvain Gil ne peut s’empêcher de saluer la stratégie développée par Rapid7, qui a récemment présenté une solution d’automatisation de la correction des vulnérabilités – et plus encore – fruit du rachat de Komand en 2017 : « l’ensemble est cohérent ; bravo à eux ». Mais il souligne toutefois un point de différenciation : « ils ne sont pas capables de traiter de très grandes échelles, contrairement à nous. Et c’est de là que nous sommes partis, en visant les environnements à quelques centaines de milliers d’hôtes, avant de nous intéresser à des cibles de taille plus modeste ».