Le SIEM agentique déplace les coûts de l’ingestion vers le calcul, promettant une rétention moins coûteuse et des analyses plus approfondies sur les données de sécurité de l’entreprise.
Databricks a présenté en avant-première un nouveau logiciel ouvert de gestion des informations et des événements de sécurité (SIEM) nommé Lakewatch, qui marque sa première étape délibérée au-delà de l’entreposage de données vers l’analyse de sécurité.
Le fournisseur d’entrepôt de données présente Lakewatch comme une alternative moins coûteuse aux outils de sécurité traditionnels, arguant que la consolidation des analyses de sécurité dans sa plate-forme de données peut réduire les dépenses globales.
« À l’heure actuelle, les coûts d’ingestion des solutions existantes (SIEM rivales) obligent les équipes à supprimer jusqu’à 75 % de leurs données. Ainsi, même si les attaquants peuvent utiliser l’IA pour attaquer n’importe où, les défenseurs ne voient qu’une fraction de leurs propres données. Notre objectif avec Lakewatch est de combler cet écart… parce que notre architecture Lakehouse est spécialement conçue pour gérer d’énormes quantités de données à moindre coût », a déclaré à InfoWorld Andrew Krioukov, directeur général de Lakewatch chez Databricks.
« Contrairement à d’autres plateformes SIEM, nous ne facturons pas en fonction de la quantité de données ingérées ou stockées, mais plutôt en fonction du calcul utilisé par les équipes de sécurité. Cela permet aux organisations de réduire jusqu’à 80 % le coût total de possession (TCO) tout en conservant des années de données chaudes et interrogeables à des fins de conformité et de chasse », a ajouté Krioukov.
Les analystes sont également d’accord avec Krioukov, mais seulement en partie.
« Le problème de coût dans SIEM est réel. De nombreuses organisations sont souvent obligées de supprimer des données parce que le prix d’ingestion rend la conservation complète d’un coût prohibitif », a déclaré Stephanie Walter, responsable de la pile IA chez HyperFRAME Research.
En revanche, Lakewatch peut réduire les coûts dans certains cas, en particulier si les entreprises souhaitent conserver de grandes quantités de données, a fait écho à Akshat Tyagi, responsable associé des pratiques chez HFS Research.
Cependant, les analystes ont averti que les économies pourraient être moins simples, les coûts pouvant être transférés vers le calcul et le traitement des données plutôt que de disparaître complètement.
« Les coûts ne disparaissent pas ; ils évoluent. Si l’utilisation n’est pas contrôlée, le calcul peut s’accumuler rapidement. Il peut être plus efficace, mais pas automatiquement moins cher », a déclaré Robert Kramer, analyste principal chez Moor Strategy and Insights.
Au-delà des coûts, les analystes affirment que Lakewatch propose un changement structurel progressif dans la manière dont les entreprises mènent leurs opérations de sécurité, notamment en matière d’analyse.
La plate-forme rassemble des composants tels que Unity Catalog pour la gouvernance et le contrôle d’accès, Lakeflow Connect pour l’ingestion et le streaming de données de sécurité, et l’Open Cybersecurity Schema Framework (OCSF) pour standardiser des formats de journaux disparates, transformant ainsi efficacement Lakehouse en un système centralisé d’enregistrement pour les opérations de sécurité, a déclaré Walter.
Le contexte supplémentaire provenant de toutes les données combinées du Lakehouse est également susceptible d’agir comme un accélérateur pour aider les entreprises à automatiser les opérations de sécurité à grande échelle avec des agents, a ajouté Walter.
Cela dit, traduire ces avantages en une adhésion à court terme des DSI et RSSI pourrait s’avérer difficile pour Databricks.
« Il est plus susceptible de compléter les SIEM existants que de les remplacer. L’adoption rapide viendra des grandes entreprises déjà engagées dans Databricks, en particulier celles qui recherchent de la flexibilité ou un contrôle des coûts. Cela s’aligne sur les investissements existants mais reste un nouveau territoire pour les équipes de sécurité opérationnelles. Instaurer la confiance grâce à des cas d’utilisation éprouvés sera la clé », a déclaré Kramer.
Néanmoins, Databricks signale une intention sérieuse, avec l’acquisition de deux startups de cybersécurité – Antimatter et SiftD.ai, qui, selon les analystes, soulignent sa feuille de route de sécurité plus large à venir. « Cela ressemble à la base d’un portefeuille de sécurité à long terme, et non à une fonctionnalité SIEM ponctuelle. L’acquisition d’entreprises axées sur la sécurité consiste moins à ajouter des fonctionnalités qu’à importer de la crédibilité. Les acheteurs de sécurité font confiance aux fournisseurs en termes de profondeur de domaine, et pas seulement d’échelle d’infrastructure », a déclaré Walter d’HyperFRAME Research.
