Cybersécurité : la naissance de Chronicle

Naissance de Chronicle

L’arrivée de Google sur le marché en forte croissance de la cybersécurité devrait aviver la compétition, voire marquer un tournant dans un secteur particulièrement chargé avec un nombre important d’éditeurs et de constructeurs.

Plus de prédictif et de préventif …

Je ne suis pas le seul à le penser. Ce sont surtout plusieurs RSSI emblématiques de grandes entreprises du CAC40 qui accordent de l’importance à cette annonce. Écouter ses clients est fondamental…

Se positionnant comme un fournisseur de technologies, d’outils logiciels probablement en mode service et abonnement pluriannuel, Chronicle annonce mettre le machine learning au cœur de sa (ses) solution(s).

L’objectif de la technologie Chronicle est d’identifier dans la masse des logs et traces, probablement collectés dans ses propres (sic !) infrastructures, les hackers et les attaques, plus vite que les ingénieurs humains.

Security Operations Centers – SOC

C’est ‘’un peu’’ ce que nous faisons depuis quelques années dans les Security Operations Centers (SOC), ces cockpits combinant ‘’outils + ingénieurs + processus’’ dans la gestion proactive de la sécurité d’une entreprise ou en mode partagé entre plusieurs clients.

Il est vrai que dans un monde où nous manquons cruellement d’un million de cyber ingénieurs (évaluation de Frost & Sullivan en 2017, portée à 2 millions en 2020), c’est un rêve d’utiliser de super cyber machines, et il est vrai que nous rêvons aussi tous de faire plus de prédictif et de préventif que de curatif, de forensic post-incident et de remédiation.

Un service direct aux entreprises …

L’annonce faite en janvier 2018, indique que Chronicle bâtira et développera ces outils intelligents et d’auto-apprentissage. Va-t-elle aussi les exploiter ? Va-t-elle donc collecter les logs des clients et assurer les services, depuis les Etats-Unis au début, puis à partir de centres à travers le monde ?

Pas de réponse pour le moment.

Mais, il est certain qu’à l’instar d’Amazon Web Services, Google/Alphabet lancera un service direct aux entreprises et à grande échelle. Il y a déjà des entreprises clientes.

La technologie Chronicle sera-t-elle commercialisable et intégrable par des VAR (Value-Added Resellers) et autres partenaires de services d’ingénierie et d’intégration ? Sans doute, un peu comme AWS dans un autre domaine….

Chronicle complètera probablement, aussi, l’outil actuel antimalware Virus Total, acquis en 2012 par Google. Chronicle, c’est d’ailleurs une collaboration qui dure depuis 2 ans entre Stephen Gillett, ex-Symantec et actuel CEO de Chronicle, de Mike Wiacek et Shapor Naghibzadeh, ingénieurs dans l’équipe sécurité de Google ainsi que de Bernardo Quintero, développeur de Virus Total.

Des fronts de compétition acharnée

Certes, le marché est gigantesque (environ 100 Milliards de dollars d’après Gartner) et Alphabet a beaucoup d’argent, sans parler de sa base de clients, mais Chronicle arrive sur un marché bien chargé, atomisé, avec de nombreux acteurs, éditeurs, constructeurs, opérateurs, VARs et sociétés de services, etc. et beaucoup de start-ups prometteuses.

Cette arrivée ouvrira plusieurs fronts de compétition acharnée avec les grands éditeurs-constructeurs de la cybersécurité, tels que Palo Alto, Symantec, McAfee, CheckPoint, IBM Security, voire avec des spécialistes en forte croissance tels que Splunk, CyberArk ou Thales Gemalto.

Dans les services opérés et non pas la vente d’outils, un autre sujet intéressant serait la collecte et l’hébergement des logs de sécurité, voire des logs du Système d’Information de bout-en-bout, contenant donc des données d’usages, de métiers, d’applications, etc.

Déjà que le Patriot Act anime la vie des RSSI et autres juristes…

Un mode dynamique et disruptif

Il semble certain que Chronicle, dans l’hypothèse très probable où Google/Alphabet lui donne vraiment les moyens, bousculera le marché.

Pas tant les situations acquises ou les rentes de certains éditeurs, mais plus la philosophie d’usage et d’implémentation de la sécurité en entreprise, suivant un mode bien plus dynamique, plus disruptif, épousant plus les spécificités IT et business de chaque entreprise, tenant compte finement de l’usage réel des solutions, voire des performances réelles des outils, de leur efficacité concrète dans l’environnement spécifique de chaque entreprise.

Les RSSI, dont le rôle et les responsabilités ne cessent d’évoluer et de s’élargir, de la technologie opérationnelle à la gouvernance de la sécurité, en passant par la conformité légale GDPR et PCI-DSS en tête, attendent avec intérêt Chronicle.

Ils savent, aussi, que les autres GAFAM qui n’y sont pas encore, à la vue de ce marché gigantesque à leurs pieds, entreront sûrement dans la cybersécurité.