Sauf-conduit : une transition parfaitement fluide pour les clients d’IBM QRadar

Le centre des opérations de sécurité (SOC) est le cœur de la cyberdéfense. C’est dans le SOC que tout se passe et que les équipes SecOps travaillent sans relâche pour protéger toutes les dimensions numériques d’une organisation. Leur travail ne consiste pas seulement à éteindre les incendies : elles œuvrent à renforcer la résilience et à anticiper les menaces pour garder une longueur d’avance.

La mission du SOC (détecter, investiguer, répondre) peut paraître simple sur le papier. Mais tous ceux qui sont sur le terrain savent que la réalité est tout autre. Chaque journée est unique, car la surface d’attaque s’étend constamment. Les menaces deviennent plus sophistiquées et les gouvernements étoffent leur arsenal réglementaire. Malgré la pression croissante, les membres de ces équipes restent des héros de l’ombre, en assurant la sécurité de notre monde numérique et en repoussant les limites de l’innovation.

Un SOC efficace repose sur un SIEM moderne 

Il y a une solution moderne de gestion des informations et des événements de sécurité (SIEM) au cœur de tout SOC performant. Les solutions SIEM ont beaucoup évolué au cours des vingt dernières années, mais toutes ne se valent pas. De nombreuses solutions SIEM sur le marché sont incapables d’apporter de la visibilité sur les données, où qu’elles se trouvent. La plupart des solutions SIEM ne parviennent pas à réduire le volume d’alertes pour aider les analystes à définir leurs priorités, et elles possèdent rarement les détections de qualité indispensables pour suivre les dernières menaces. Plus grave encore, il manque à de nombreuses solutions SIEM la capacité de fonctionner comme une plateforme, un aspect fondamental pour permettre au SOC d’unifier la détection, l’investigation et la réponse aux menaces.   

Splunk est différent. Contrairement aux autres solutions SIEM, Splunk Enterprise Security constitue le fondement d’une solution unifiée de détection, d’investigation et de réponse aux menaces ; et c’est exactement ce qu’exige le SOC du futur. Cette solution offre une visibilité complète et une détection précise et contextualisée afin d’optimiser l’efficacité des opérations de sécurité. Adossé à une plateforme extensible et à une assistance IA, Splunk Enterprise Security produit des analyses à grande échelle pour garantir une supervision continue de la sécurité et optimiser les données. Cette base vous permet de détecter les événements qui comptent, de mener des investigations exhaustives et de réagir rapidement, pour offrir des résultats de sécurité stratégiques¹ : 

• une réduction de 90 % du volume des alertes,   
• une réduction de 99 % du temps de détection, d’investigation et de réponse,
• une réponse 5 fois plus rapide grâce à l’orchestration et à l’automatisation.

Ce sont des résultats tels que ceux-ci qui expliquent pourquoi Splunk Enterprise Security ne cesse de recevoir l’approbation enthousiaste des acteurs du secteur. Récemment, Splunk a été désigné Leader du marché par le Magic Quadrant^TM de Gartner® dans la catégorie des SIEM, pour la dixième fois consécutive.  

Comment y parvenir avec QRadar et XSIAM de Palo Alto Networks ?  

Suite à l’annonce récente du rachat des actifs QRadar SaaS d’IBM par Palo Alto Networks, les clients de la solution, tant dans sa version sur site qu’en tant que service, sont plongés dans l’incertitude. Et si vous êtes un client QRadar sur site, vous vous trouvez dans une situation particulièrement urgente. Dans le cadre de l’annonce conjointe d’IBM et de PANW, les clients qui utilisent QRadar sur site ne recevront de la part d’IBM que des mises à jour mineures : correctifs de sécurité, mises à jour de convivialité et corrections de bogues critiques. Sans l’innovation continue d’IBM, les clients de QRadar sur site seront en position de vulnérabilité dans le paysage des menaces à venir. Pour autant, ils ne sont pas nécessairement prêts à adopter une solution cloud, qui reste la seule option avec Palo Alto Cortex XSIAM. De la même façon, que se passe-t-il si, en tant que client QRadar SaaS, vous êtes contraint de migrer vers XSIAM, une solution que vous n’avez pas choisie au départ ? Dans ce cas, certains compromis critiques pourraient avoir des effets collatéraux sur vos opérations de sécurité. Pensez notamment au faible volume de contenu prêt à l’emploi, aux rapports de conformité rudimentaires, aux intégrations limitées et aux difficultés d’utilisation du XQL. Il faut savoir également que les fonctionnalités permettant d’exploiter votre propre machine learning via des notebooks Jupyter n’ont été introduites que récemment.  

De plus, si votre SIEM prend en charge les environnements OT, vous avez besoin d’une solution sur site robuste. Une dernière chose : que ferez-vous des détections pour votre environnement cloud AWS ? Exporter toutes ces données vers Google Cloud Platform et subir les coûts d’extraction ? J’espère que non. 

Ces compromis potentiels ne vous donnent pas une solution SIEM éprouvée, assortie d’une feuille de route d’innovation qui offre le choix et la flexibilité nécessaires pour constituer la base de votre SOC.      

Une transition fluide vers Splunk grâce à de solides programmes d’incitation à la migration

Nous savons que l’incertitude peut être source d’inquiétude, surtout lorsqu’il s’agit d’un élément essentiel de votre cyberdéfense. Pour vous aider à comprendre la valeur de notre SIEM de pointe, nous proposons des offres d’incitation à la migration comprenant soit des remises groupées, soit jusqu’à un an de couverture du coût de la solution Splunk, une assistance à la migration et des ressources de formation pour faciliter la transition.  

Nous avons réussi la migration de centaines de clients d’IBM QRadar vers Splunk Enterprise Security. Aujourd’hui, ils sont mieux armés pour protéger leur organisation et atteindre leurs objectifs de sécurité. Nous avons également fait nos preuves en matière de migration de solutions locales vers le cloud pour les clients prêts à se lancer. C’est à eux de choisir ce moment, et non à un fournisseur de leur imposer. 

Moderniser votre SIEM avec Splunk présente des avantages concrets. Par exemple, l’un de nos partenaires européens, ReeVo, utilisait IBM Security QRadar pour la détection et la réponse aux menaces. Mais l’entreprise développait ses activités à travers l’Europe, et QRadar ne parvenait pas à suivre l’évolution des exigences de sécurité. ReeVo a donc décidé de miser sur Splunk. 

« Avec Splunk, nous sommes mieux équipés pour accompagner nos clients dans toute l’Europe. Notre partenariat avec Splunk a doté ReeVo d’une plateforme unique qui soutient les objectifs de croissance de l’entreprise. Surtout, Splunk nous permet de répondre aux besoins de chacun de nos clients de manière efficace et transparente, tout en facilitant nos échanges avec eux. » -Antonio Giametto, PDG, ReeVo

De nombreux clients ont choisi Splunk pour moderniser leur SIEM et en tirent des avantages qui renforcent leur résilience numérique. Soriana, l’une des plus grandes chaînes de supermarchés du Mexique, a ainsi réduit de 99 % le temps total de détection, d’investigation et de réponse aux incidents (deux heures contre 48 heures auparavant).     

« Nous pouvons désormais identifier les vulnérabilités de nos systèmes, ce que nos précédentes plateformes ne nous permettaient pas de faire. Avec Splunk, nous avons tout ce qu’il nous faut pour renforcer notre stratégie de sécurité et mieux protéger les actifs et les informations de Soriana. » -Sergio Gonzalez, RSSI, Soriana

Lisez ce bref comparatif pour comprendre ce qui distingue Splunk Enterprise Security d’IBM QRadar. Pour mieux comprendre comment nous abordons les migrations SIEM, notre e-book intitulé « Le guide Splunk du remplacement de votre SIEM » vous aidera à démarrer. Il décrit notre processus éprouvé dans le cadre de nombreuses missions à l’échelle mondiale.  

Contactez-nous pour en savoir plus sur ce programme d’incitation exceptionnel et sur les critères d’admissibilité. 

^{_{Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.}}

¹Chiffres basés sur les données déclarées par les clients.

^{GARTNER est une marque déposée et une marque de service de Gartner, et Magic Quadrant est une marque déposée de Gartner, Inc. et/ou de ses filiales aux États-Unis et ailleurs dans le monde, et leur emploi ici a été dûment autorisé. Tous droits réservés.}

^{Gartner ne cautionne aucun fournisseur, produit ou service décrit dans ses publications de recherche et ne conseille pas aux utilisateurs de technologies de sélectionner uniquement les fournisseurs présentant les meilleurs scores ou toute autre distinction. Les publications de recherche de Gartner reflètent uniquement les opinions du cabinet de recherche de Gartner et ne doivent pas être interprétées comme des affirmations de faits objectifs. Gartner décline toute garantie, explicite ou implicite, concernant cette recherche, y compris toute garantie de valeur marchande ou d’adéquation à un usage particulier.}