L’adoption du cloud, les intégrations d’outils et l’IA stimulent des changements importants dans la façon dont les systèmes de gestion de la sécurité et de la gestion des événements (SIEM) évoluent.
Les plateformes de gestion des informations et de la gestion des événements (SIEM) ont évolué bien au-delà de leurs racines de base de journaux et de corrélation.
Les cybermenaces se déplaçant trop rapidement pour une intervention manuelle, les principaux fournisseurs ont intégré l’intelligence artificielle et les technologies d’apprentissage automatique dans leurs plateformes SIEM.
En outre, les plates-formes SIEM modernes intègrent désormais une détection et une réponse prolongées (XDR) et une orchestration de sécurité, une automatisation et une réponse (SOAR), permettant la détection des menaces en temps réel et l’assainissement automatisée.
Les SIEMS sont devenus une plate-forme pour surveiller les données de journal pour les anomalies et les événements suspects avant de déclencher des alertes en fonction des comportements et des règles de détection inhabituels.
«(SIEM) sert souvent d’espace de travail aux analystes de la sécurité afin d’étudier les incidents qui sont des corrélations d’alertes avec d’autres contextes tels que l’information des actifs, les vulnérabilités et les renseignements sur les menaces», selon le groupe de l’analyste IDC. « IDC s’attend à ce qu’à l’avenir, le SIEM soit également le centre de réponse du SOC avec une gestion automatisée de nombreux incidents via des livres de jeu. »
Et à mesure que l’utilisation du cloud d’entreprise continue d’augmenter, les prévisions de cybersécurité cloud de Google prédisent que les produits SIEM deviendront centraux pour les SoC d’entreprise (centres d’opérations de sécurité) ingérant «tout, des journaux cloud à la télémétrie terminale».
Joe Turner, global director of research and business development at market intelligence firm Context, notes that larger attack surfaces and more sophisticated attacks are spurring enterprises to invest in SIEM in combination with other technologies, including XDR and SOAR, as a platform to correlate, detect et remédier aux menaces. En tant que tel, son entreprise rapporte que le marché SIEM a augmenté de 20% en 2024.
SIEM, XDR et SOAR Convergence
La convergence de SIEM avec des outils de sécurité tels que XDR et SOAR est un facteur majeur stimulant la croissance du marché.
SIEM fournit des analyses de journaux et une large visibilité, XDR étend la détection entre les points d’extrémité et les nuages, et la réponse des orchestres d’orchestre.
Lorsque SIEM détecte un incident de sécurité, Soar déclenche des actions de réponse automatisées via XDR – isolant des points de terminaison compromis, désactivant les comptes d’utilisateurs compromis ou bloquant le trafic malveillant en temps réel.
En convergeant SIEM avec XDR et SOAR, les organisations obtiennent une plate-forme de sécurité unifiée qui consolide les données, réduit la complexité et améliore les temps de réponse, car les systèmes peuvent être configurés pour contenir automatiquement des menaces sans aucune intervention manuelle.
En 2024, le contexte a enregistré une augmentation de 580% – ou plus de six fois une augmentation – dans les technologies SIEM et XDR vendues ensemble. Les services vendus à la fois avec Soar et Siem ont augmenté ensemble un 22% plus petit mais toujours significatif l’an dernier, selon la Market Intelligence Agency.
«Le terme SIEM ++ est utilisé pour se référer à cette prochaine étape de SIEM, qui est conçue pour des besoins plus actuels au sein des OPS de sécurité demandant des réponses d’automatisation, d’IA et en temps réel. Par conséquent, l’augmentation de SIEM aux côtés d’autres outils », explique Turner de Context.
«Le héritage SIEM, bien que efficace pour l’agrégation et la corrélation des journaux, n’a pas la visibilité granulaire et les capacités de réponse automatisées nécessaires dans le paysage des menaces d’aujourd’hui», explique McKenna. « XDR comble cet écart en intégrant la télémétrie de point final, de réseau et de cloud, offrant une vision holistique des menaces potentielles. »
McKenna ajoute: « Soar permet ensuite l’automatisation des workflows de réponse aux incidents, accélérant l’atténuation et la correction. »
Siem basé sur le cloud en augmentation
Le passage à SIEM basé sur le cloud s’accélère à mesure que les organisations recherchent une plate-forme plus évolutive et plus efficace.
«Les SIEM natifs du cloud réduisent les frais généraux opérationnels et permettent des enquêtes et une collaboration plus rapides entre les équipes de sécurité, de DevOps et de plate-forme – clé pour les opérations de sécurité modernes», explique Vera Chan, responsable du marketing de produit senior de Cloud SIEM chez Cloud and Security Suiviling Firm Datadog.
Les solutions SIEM basées sur le cloud sont des plates-formes de sécurité plug-and-play, afin que les organisations puissent s’abonner, intégrer des actifs via l’API, automatiser les réponses à l’aide de SOAR et configurer des règles de détection sur mesure.
Ali ajoute: « Cela signifie des capacités de détection plus nettes et des réponses automatisées plus rapides et automatisées aux cyber-menaces avancées. »
Les SIEM basés sur le cloud suppriment le besoin de mises à niveau matérielles coûteuses associées aux déploiements traditionnels sur site, offrant une évolutivité et des temps de réponse plus rapides ainsi que des modèles de tarification basés sur l’utilisation potentiellement plus rentables.
Selon le contexte, le coût de SIEM sur-Prem a augmenté de 116% pour atteindre une moyenne de 93 $ par siège en 2024. En revanche, les coûts SIEM basés sur le cloud ont baissé de 26% à 77 $ par siège l’année dernière.
«Les coûts initiaux pour le cloud SIEM sont désormais inférieurs à celles sur pré-premier avec un déploiement beaucoup plus rapide», explique Turner de Context. «C’est très attrayant pour les PME (petites et moyennes entreprises) qui cherchent à se protéger lors d’un budget limité.»
Cependant, les coûts élevés d’ingestion de données pour le cloud signifient que les grandes entreprises gérant un grand volume d’informations peuvent continuer à être mieux servies par un déploiement de SIEM sur site ou hybride, conseille Turner.
Le contexte rapporte que les revenus SIEM basés sur le cloud ont augmenté de 60% en 2024 en glissement annuel. Les services basés sur SIEM fournis via MSPS ont augmenté de plus de six fois, en hausse de 550% sur la même période.
«La croissance MSP de SIEM – ou Siemaas – est due à la limitation très réelle que de nombreuses entreprises ne sont pas en mesure d’embaucher ou de conserver une équipe de sécurité interne principalement en raison de contraintes budgétaires», explique Turner de Context. «Cela signifie investir dans des offres gérées qui sont plus abordables et économisant à comprendre et à gérer la complexité de SIEM.»
AI remodelant le paysage de Siem
Les SIEMS basées sur des règles statiques ont du mal à suivre le rythme des cyber-menaces sophistiquées d’aujourd’hui, c’est pourquoi Techniques que les technologies héritées pourraient manquer.
Les modèles ML établissent un comportement de base pour les utilisateurs, les actifs et le trafic réseau, surveillant en permanence les écarts qui indiquent des menaces potentielles. Lorsqu’une anomalie est détectée, le modèle formé génère des alertes, conduisant à une détection et une réponse de menace plus rapides.
«Les solutions SIEM alimentées par l’IA détectent non seulement les menaces mais automatisent également les processus d’enquête, corrélant les incidents en temps réel avec Global Threat Intelligence», a déclaré ALI d’Exponential-E. «En intégrant avec les plates-formes SOAR et XDR / EDR, les réponses automatisées peuvent être déclenchées ou des incidents ont augmenté aux analystes de sécurité pour une action supplémentaire.»
Ali ajoute: «Cela améliore considérablement l’efficacité de la réponse aux incidents et soutient un centre d’opérations de sécurité plus efficace et plus agile qui a une longueur d’avance sur les attaquants.»
Les SIEMS alimentés par l’IA peuvent hiérarchiser les alertes critiques, recommander des actions de réponse et automatiser l’assainissement, la réduction du bruit et de la fatigue.
«Alors que les adversaires tirent parti de l’IA, les équipes de sécurité doivent adopter l’automatisation dirigée par l’IA pour rester en avance», a déclaré Chan de Datadog.
Consolidation de l’industrie
Le marché SIEM connaît une consolidation rapide alors que les fournisseurs cherchent à développer des plateformes plus complètes et puissantes.
«Les organisations exigent moins d’outils, des intégrations plus profondes et des opérations de sécurité de bout en bout sans friction – et les fournisseurs qui peuvent offrir cela façonneront l’avenir de la cybersécurité», a déclaré Chan’s Chan’s Chan.
L’activité notable SIEM M&A au cours des dernières années comprend:
- Palo Alto Networks Acquérir l’activité SAAS QRADAR d’IBM pour 500 millions de dollars en septembre 2024
- Fusion d’Exabeam avec loghythme en juillet 2024
- Cisco achète Splunk pour environ 28 milliards de dollars en mars 2024
- Google Acquérir Siemplify (une société SOAR) en 2022 pour s’intégrer dans Google Chronicle Siem
- IBM acquérir Reaqta en 2021 (axé sur la détection basée sur l’IA) pour améliorer les capacités Qradar sur le marché XDR
«Nous voyons moins de fournisseurs vendant un produit SIEM autonome et une augmentation des suites groupées», explique Turner de Context.
«Les fournisseurs de SIEM Legacy acquièrent des sociétés de sécurité native du cloud pour aider à pousser la transition que les clients demandent des solutions sur site aux solutions basées sur le cloud qui ont des modèles de prix plus compétitifs», ajoute-t-il.
Voir aussi:
- Qu’est-ce que Siem? Amélioration de la posture de sécurité grâce aux données du journal des événements
- Guide de l’acheteur SIEM: Top 15 des informations sur la sécurité et des outils de gestion d’événements – et comment choisir
- Cost et en difficulté: les défis des solutions SIEM Legacy
