Jesper Zerlang, LogPoint avec : « nous allons proposer un service analytique cloud agnostique »

LogPoint vient de lever 30 M$ lors d’un second tour de table, portant à 42 M$ le total de ses levées de fonds. L’éditeur entend profiter de cet argent frais pour renforcer sa présence outre-Atlantique, mais aussi prendre le virage du cloud suivant une approche qu’il rattache à la tendance du Edge Computing. Et surtout sans sacrifier un modèle économique particulièrement flexible et prévisible ni une approche produit, qui lui a permis de décrocher la certification EAL3+.

LeMagIT : L’intérêt va croissant pour l’intégration du SIEM avec l’EDR et le renseignement sur les menaces, sur fond de tendance à l’automatisation et l’orchestration. Comment vous positionnez-vous dans ce contexte ?

Jesper Zerlang : Je pense que se concentrer sur le SIEM et s’efforcer d’être là très bon est une base essentielle avant de pouvoir s’intégrer avec d’autres outils. Il y a deux ans, nous pensions la même chose de l’analyse comportementale (UEBA). Aujourd’hui, nous avons notre propre module d’UEBA.

La discussion qui vient naturellement ensuite concerne effectivement l’automatisation et l’orchestration (SOAR). Là, nous sommes sûrs de la direction que nous souhaitons prendre : nous intégrer avec les meilleurs. Mais nous pensons que les fonctionnalités destinées aux analystes de premier niveau sont appelées à être fournies nativement par le SIEM, et donc LogPoint. Car nous considérons pouvoir préparer les données de meilleure façon, à l’intention d’une solution de SOAR.

D’ailleurs, probablement la moitié de la pile technologique du SOAR est aujourd’hui utilisée à nettoyer les données fournies par le SIEM. Nous pensons nécessaire de régler ça à la source. Et nous estimons fournir là une structure de données meilleure que celles de nos concurrents. Ce qui peut de fait simplifier l’intégration entre LogPoint et un outil de SOAR tiers, sans concurrencer les éditeurs de ces derniers. Nous avons ainsi d’excellentes relations avec Swimlane, DFLabs, Demisto, et même Phantom – même s’ils ont été rachetés par Splunk.

N’oublions pas non plus que la SOAR est un domaine jeune. Il convient de pouvoir s’intégrer avec les outils des prestataires de services de sécurité managés (MSSP), mais aussi avec les solutions construites en interne par les grandes entreprises. Dont un jeu d’API très complet que nous avons développé.

Cela vaut également pour l’intégration avec les outils d’EDR – voire de XDR [en intégrant le réseau] ou le renseignement sur les menaces. Et bien sûr, nous supportons STIX, TAXII – mais également OpenIoC et MISP.

LeMagIT : En misant sur le cloud, réagissez-vous au lancement d’Azure Sentinel et de Chronicle Backstory ? Vous font-ils de l’ombre ?

Jesper Zerlang : Il semble y avoir plus d’intérêt pour ces offres aux États-Unis qu’en Europe, Microsoft poussant surtout Sentinel auprès de ses clients, et Google, Backstory auprès des siens. Mais nous avons aussi des intégrations avec Sentinel.

Le principal apport d’une solution cloud est d’accélérer le déploiement et l’extension du périmètre couvert. Pour cela, nous voulons utiliser une approche Edge Computing. Bien sûr, on peut déjà déployer LogPoint en interne ou sur AWS. Mais ici, il s’agit pour nous d’assurer la collecte localement et de fournir l’analyse et le stockage dans le cloud – chiffré et sécurisé.

C’est très différent d’une approche comme celle de Splunk ou de Sumo Logic, qui consiste en fait à une logique « on premise » déportée dans le cloud. Et nous allons consacrer une part significative de l’investissement que nous venons recevoir à la construction de ce cloud, au cours des 6 à 8 prochains trimestres.

Au final, nous proposerons un service analytique cloud agnostique, ouvert à d’autres SIEM, à Elasticsearch, Splunk, etc. Dès la fin de l’année prochaine, il sera possible de profiter de notre solution sans avoir à remplacer son SIEM. Cela répond tout particulièrement aux besoins des MSSP.

LeMagIT : Justement, la pile ELK est appréciée depuis longtemps pour la construction d’alternatives au SIEM. Elastic l’a compris et a adapté ses investissements et son offre en conséquence…

Jesper Zerlang : C’est exact, mais dans le détail, beaucoup de travail manuel et de maintenance sont nécessaires. Ils ne proposent donc pas encore une véritable alternative au SIEM – même s’ils y arriveront, car ils ont une très bonne pile technologique. Mais là où ils vont être à la peine, comme Splunk, d’ailleurs, c’est pour la certification EAL3+ : ils ne proposent qu’une application ; elle n’est pas intrinsèquement sûre. À l’inverse, nous fournissons une solution complète, durcie.

C’est important pour les forces de l’ordre, les opérateurs d’infrastructures critiques, les acteurs de la santé. Je ne serais pas surpris que, d’ici à quelques années, l’Union européenne en vienne à exiger la certification EAL3+ pour certains produits de sécurité. Et ce n’est pas une chose que l’on peut attendre en ne fournissant qu’une couche logicielle de l’ensemble de la pile.

LeMagIT : La tarification est un sujet de débats récurrent dans le domaine des SIEM. Quel regard portez-vous sur ce sujet ?

Jesper Zerlang : C’est justement l’une de forces : nous facturons à la source les logs. Si vous avez un millier de serveurs, vous payez pour un millier de serveurs, qu’importe ce qu’ils envoient comme volume de logs et à quelle fréquence. Nous pensons que les entreprises veulent des tarifs fixes et transparents. Dans notre cas, c’est même au mois : un MSSP peut payer pour 2 000 serveurs un mois ; s’il perd un client et tombe à 500 serveurs le mois suivant, il ne paiera que pour ça.

Et c’est important parce qu’historiquement, le SIEM n’a généralement couvert que les actifs les plus critiques. Mais aujourd’hui, il faut couvrir bien plus, notamment dans le contexte du RGPD : sa téléphonie, ses usines, etc.