6 raisons pour lesquelles Cisco veut acheter Splunk

Comme beaucoup d’autres, j’ai entendu pour la première fois une rumeur l’année dernière sur l’achat de Splunk par Cisco. Cela semblait excitant, mais comme les jours se sont transformés en semaines, puis en mois, je l’ai rejeté comme du ouï-dire de l’industrie. Manifestement, je me trompais. 

Il y a plusieurs raisons financières pour lesquelles cet accord s’est concrétisé, notamment le souhait de Cisco de renforcer ses revenus annuels récurrents et de se diversifier dans les ventes de logiciels à marge plus élevée. Je laisserai cette analyse économique aux analystes de Wall Street. Du point de vue de l’entreprise technologique, voici mes six raisons pour lesquelles cet accord est un succès stratégique pour Cisco :

1. Tout tourne autour des données. Dans le passé, les technologies de sécurité telles que les logiciels antivirus, les passerelles de sécurité pour le courrier électronique, les pare-feu et les systèmes de contrôle d’accès appliquaient des politiques et prenaient des décisions sur la base de configurations prédéfinies, de règles et de flux de renseignements sur les menaces. Il en a résulté une balkanisation de la sécurité. À mesure que les entreprises consolident leurs outils disparates, les moteurs de données et d’analyse jouent un rôle plus important en analysant toutes les données, en tenant compte des nouveaux risques, en surveillant les changements informatiques, puis en indiquant aux contrôles de sécurité distribués ce qu’ils doivent faire. En d’autres termes, des technologies comme Splunk deviennent le cerveau opérationnel, tandis que les contrôles de sécurité individuels (logiciels antivirus, pare-feu, contrôles d’accès, etc.) deviennent des capteurs et des actionneurs en collectant des données, en les envoyant à un moteur d’analyse et en recevant des instructions de mise en œuvre. Cisco dispose déjà de montagnes de données provenant de logiciels tels que Talos, Secure Network Analytics (anciennement Stealthwatch) et Cisco Endpoint Security Analytics, mais les clients ont tendance à centraliser l’analyse et la télémétrie au niveau du SIEM. Splunk s’articule autour des technologies de sécurité existantes de Cisco.
2. Cisco et Splunk peuvent moderniser le SOC. La modernisation des centres d’opérations de sécurité (SOC) est une tendance constante, car les organisations ont besoin de l’échelle, des capacités d’analyse et de l’automatisation pour faire face à l’infrastructure informatique multicloud. Splunk s’attaque à la modernisation du SOC en adoptant l’Open Cybersecurity Schema Framework, en migrant le SIEM Splunk vers le cloud, en intégrant une plateforme de renseignement sur les menaces et en créant un workbench SOC commun avec Mission Control. Cisco peut également contribuer à la modernisation du SOC grâce aux renseignements sur les menaces produits par ses équipes Talos, à la télémétrie réseau et à son offre XDR, qui permet une gestion des vulnérabilités basée sur le risque. La clé est une intégration étroite entre tous ces éléments, créant une architecture de plateforme d’analyse et d’opérations de sécurité, tout en s’adaptant à la télémétrie et aux technologies tierces. Alors que les efforts de modernisation des SOC se poursuivent, les vendeurs de Cisco peuvent étendre les environnements Splunk avec les technologies de sécurité de Cisco ou commencer avec les technologies de Cisco et chercher à remplacer les anciens SIEM. Dans tous les cas, Cisco est gagnant.
3. Splunk élargit l’univers des contrats de services managés potentiels. Les recherches d’ESG indiquent que 80 % des entreprises utilisent des services managés pour leurs opérations de sécurité et que 88 % d’entre elles prévoient d’accroître leur recours à ces services à l’avenir. L’offre managée de Splunk constitue un marché déjà bien établi, et Cisco peut aligner l’offre managée de Splunk sur ses offres de détection et de réponse managées pour élargir considérablement ses opportunités de marché. Il convient également de rappeler que Cisco vend une grande partie de ses produits par l’intermédiaire d’un réseau mondial de partenaires de distribution. Cisco travaillera probablement avec ces partenaires pour trouver des opportunités de revenus de services supplémentaires autour de Splunk, XDR, la modernisation du SOC et la gestion des cyber-risques.
4. Splunk complète le zero trust. Si vous ne l’avez pas remarqué, le zero trust s’appuie sur grand nombre de composants plus ou moins fortement intriqués à travers l’identité, les appareils, les réseaux, les applications et les données. Pour que le sans confiance fonctionne, un système doit agir en tant que point de décision de la politique (PDP), tandis que de nombreuses technologies joueront le rôle de points d’application de la politique (PEP). Actuellement, Cisco possède de nombreux PEP (VPN, pare-feu, authentificateurs d’utilisateurs, etc.), mais il lui manque un PDP. Je verrais bien Splunk (SOAR, ES, UEBA, etc.) et Cisco (Kenna, Talos, etc.) se combiner pour remplir ce rôle de PDP.
5. L’observabilité et la sécurité peuvent faire évoluer Cisco vers un réseau en libre-service. Imaginez un réseau où un nouveau dispositif est automatiquement provisionné, sécurisé, mis à jour, réglé et surveillé en permanence, grâce à une combinaison d’observabilité, de sécurité, d’analyse et d’application de politiques. La théorie est là que Splunk surveille constamment l’état du réseau hybride, reconnaît les changements et répond par une action (provisionnement d’un système, redirection du trafic, équilibrage de charge d’une application, ou mise en quarantaine d’un appareil). Je sais que nous en parlons depuis longtemps, mais Splunk rend cette vision de Cisco un peu plus concrète.
6. Cisco est l’une des rares entreprises à pouvoir rivaliser avec la tarification de Microsoft. La licence E5 de Microsoft permet aux organisations de payer un seul droit de licence d’entreprise et d’obtenir un pot-pourri d’outils de sécurité, jusqu’au SIEM avec Azure Sentinel. En soi, il serait difficile pour Splunk de rivaliser en termes de prix, mais Cisco dispose d’un portefeuille de sécurité suffisamment large et d’un modèle de tarification suffisamment comparable pour s’opposer à Redmond. Si cela se produit, l’un des principaux obstacles de Splunk disparaît.

J’ai lu de nombreux experts affirmant que Cisco utilisera les données de Splunk pour créer de grands modèles de langage (LLM) axés sur la sécurité et l’observabilité pour l’IA générative. Peut-être, mais il est plus probable qu’ils prendront n’importe quelle télémétrie native et amélioreront des LLM existants qui contiennent déjà des tonnes de contenu Splunk et Cisco disponibles sur Internet aujourd’hui. Ce faisant, Cisco peut créer des outils d’IA générative susceptibles d’aider les clients à utiliser les technologies du fournisseur pour mieux gérer, exploiter, et sécuriser une infrastructure informatique hybride moderne. Cela rendra les technologies Cisco de bout en bout beaucoup plus attrayantes pour les DSI, les RSSI et les dirigeants d’entreprise. 

J’ai essayé de décrire certains des avantages stratégiques possibles d’une fusion Cisco/Splunk, mais Cisco a du travail devant lui. Alors que les clients Splunk passent d’un SIEM sur site à un SIEM moderne à l’échelle du cloud, beaucoup envisagent des alternatives de fournisseurs tels que Devo Technology, Google et Microsoft pour plusieurs raisons. Tout d’abord, il y a cet historique selon lequel Splunk est l’option la plus chère. La force de vente de Splunk a la réputation d’avoir toujours la main tendue, à la recherche de plus d’argent auprès des clients. Enfin, Splunk a fait des annonces ambitieuses dans le passé qu’il a eu du mal à respecter. Splunk a fait du bon travail pour résoudre ces problèmes au cours des dernières années, mais les professionnels de la cybersécurité ont la mémoire longue. Pour faire face à l’amertume historique, Cisco devrait encourager les visites de la direction chez les principaux clients de Splunk tout en appliquant dès que possible ses méthodologies de réussite client à l’ensemble de la base Splunk. 

En parlant de souvenirs de longue date, les anciens comme moi se souviendront même du système Cisco Security Monitoring, Analysis, and Response System, un des premiers produits de type SIEM qui a été tué en 2014. Je sais que c’est de l’histoire ancienne et que Cisco est une entreprise différente aujourd’hui, mais je suis sûr que certains vendeurs Cisco/Splunk entendront des histoires sur la façon dont Cisco a essayé et échoué avec la surveillance de la sécurité dans le passé. Comme le dit le proverbe, « les vieux souvenirs ont la vie dure ». 

Enterprise Strategy Group est une division de TechTarget. Ses analystes entretiennent des relations d’affaires avec des fournisseurs de technologies.