Splunk, une solution devenue incontournable face à l’augmentation massive des cyberattaques ?

Par Samuel A. – Expert en Cybersécurité

Splunk est un outil majeur à la fois dans le monde de la cybersécurité et parmi les clients de Squad. En tant que consultants, nous nous devons de respecter une veille active pour être force de proposition dans nos missions. Squad encourage ses consultants à rester à la pointe du savoir et c’est grâce à cet élan que je me retrouve plongé au cœur de l’événement Splunk de l’année.

La keynote d’entrée nous invite à ” Prospérer dans l’ère des données “ tout en posant le contexte. Les changements structurels dans nos vies ont produit une pression et une explosion significative sur l’infrastructure informatique planétaire.

Et pour preuve, le trafic internet connaît une hausse de 70 %, et le secteur du eCommerce, une hausse de 76 %.

Aux Etats-Unis, le télétravail a bondi de 42 % comparé aux 5 % de l’année précédente, multipliant par cinq le nombre de vidéoconférences. Les entreprises ont été forcées de revoir leurs mécanismes fonctionnels, de reprogrammer leurs chaînes d’approvisionnement grâce… aux données.

Les entreprises qui se reposent sur leurs données sont les entreprises qui pourront prospérer. Splunk propose de les accompagner pour trouver leur chemin à travers le labyrinthe de la DATA.

Cette année, Splunk souhaite se défaire de son étiquette d’outil de cybersécurité pour devenir la plateforme “Data to Everything”. Titre que l’outil est légitimement et techniquement en droit de clamer.

Et pour cela, Splunk met les moyens et suit la tendance à passer dans les nuages.

1. Le Cloud

L’utilisation de “Splunk Cloud” vient de dépasser celle de “Splunk Enterprise”, la version “On-premise” du même outil. L’outil est réécrit et optimisé pour répondre aux contraintes spécifiques du Cloud. Splunk s’associe à AWS (Amazon Web Services) et Google Cloud Platform pour être sur le front de la transition Cloud.

Là où les plus grandes entreprises du Cloud ont une croissance moyenne de 48 %, celle de Splunk est de 89 %. Techniquement, la solution encaisse des pics d’ingestion à plus de 10 Po et des volumes d’indexation au-delà des 100 TB.

Leurs plus grosses instances jonglent avec des volumes de données en entrée supérieurs à 60 TB par jour.

2. Data to everything platform

La plateforme qui tire parti de vos données, quel qu’en soit l’usage.

En cinq points :

  1. Un outil de traitement des flux nommé DSP (Data Stream Processor)
  2. L’apprentissage automatique ou Machine Learning avec SMLE (Splunk ML Environment
  3. L’indexation évolutive, en parallèle, avec de meilleures performances
  4. La recherche fédérée (multi-cloud et on-premise) avec son langage d’analyse, SPL2 (Search Processing Language)
  5. La collaboration et l’orchestration

Même si Splunk souhaite élargir son audience, il n’en oublie pas ses expertises historiquesque sont la cybersécurité, l’IT et l’observabilité.

Le passage au Cloud implique un monitoring précis car, complexité rime avec brouillard et utilisation des ressources engendre des coûts supplémentaires.

À travers l’acquisition de Plumbr et Rigor, la plateforme d’observabilité s’améliore sur les fronts du monitoring des utilisateurs (Splunk Real User Monitoring), de l’investigation et l’analyse synthétique des logs et des traces de processus.

De quoi ravir le RUN et le DEVOPS !

Côté cybersécurité, la protection est de plus en plus difficile face à la complexité et aux vulnérabilités grandissantes.

Les plateformes opérationnelles Cyber se centralisent et les SOC montent en grade. Splunk est toujours force de proposition avec sa plateforme de sécurité unifiée dans le cloud “Splunk Mission Control”. Du côté On-premise, Enterprise Security est toujours le point d’entrée des SOCs.

Epaulé par du Machine Learning avec Splunk UBA (User Behavior Analytics) pour la classification des anomalies et des menaces, Splunk Phantom pour la partie orchestration et automatisation des réponses (SOAR).

Force de toutes ses offres, Splunk garde la confiance de l’entreprise d’audit de référence Gartner, qui le positionne dans nombre de ses Magic Quadrants.

3. Nouvelle option de licence

Terminons cette avalanche d’annonces par l’une des plus intéressantes à la fois pour Splunk et ses clients… Le modèle de licence Splunk s’élargit et on peut ne plus payer à la quantité de données ingérées, mais plutôt à la quantité de données utilisées.

Cette nouvelle option calcule le prix de la licence en fonction de la puissance de l’infrastructure.

CONCLUSION

Voilà pour le compte rendu, aussi fidèle que possible, des propositions au cœur de la conférence Splunk 2020. Étalée sur deux jours, la conférence a regorgé de sessions aussi intéressantes les unes que les autres.

Un grand merci à Squad pour cette belle opportunité. Je me ferai un plaisir de commenter et partager les différents ateliers auxquels j’ai eu le plaisir de participer dans de futurs articles.


A lire sur Splunk ⤵

theexpert

Add comment