Chronicle, une entité d’Alphabet, elle-même maison mère de Google - un joli jeu de passe-passe - a livré Backstory, un mega-SIEM (Security Information Event and Management). Autrement dit, ce logiciel de gestion d'information et d'événements de sécurité a l'ambition de remplacer tous les SIEM. Backstory doit permettre aux entreprises de tout savoir sur tout et pour toujours en matière de sécurité et de trouver l’information en moins d'une seconde. Contrairement à d'autres SIEM qui facturent leur service en fonction du stockage ou de l’usage des données, le tarif du nouveau service Backstory comprend un usage illimité des données, comme l’a déclaré Google lors d'une conférence de presse organisée hier dans ses bureaux de San Francisco.
Le fournisseur encourage une conservation totale des données ad vitam, de l’ordre de plusieurs pétaoctets, de façon à assurer une télémétrie de sécurité illimitée. Cependant, selon le vieil adage, « soit le client paye pour le produit, soit il est lui-même le produit ». Et il est clair que Google est impatient de consommer des données de sécurité d'entreprise pour lancer de nouvelles offres génératrices de profit.
Des instances cloud privées pas si privées
Les SIEM courants ne peuvent pas conserver plus d'un mois ou deux de logs de sécurité en raison de la taille même des données impliquées, ce qui limite les capacités d’extraction et d’analyse de données des centres d'opérations de sécurité (SOC). Comme le dit le communiqué de presse de Chronicle : « En bref, c'est la première plate-forme de données de sécurité mondiale conçue pour un monde qui pense en pétaoctets ». Backstory cible le marché de la sécurité des données big data sur site, et les données collectées auprès de ses clients seront utilisées pour former de meilleurs modèles d'apprentissage machine.
Les clients - les « partenaires, dans le jargon de Google - stockent leur télémétrie de sécurité dans une « instance cloud privée ». Sauf qu’elles ne sont pas privées du tout. Quand un responsable de la sécurité a demandé plus de détails sur le caractère « privé » des instances clouds, le CEO Stephen Gillett a confirmé que Chronicle avait une visibilité sur les instances des clients, en précisant cependant : « Nous ne partageons cela avec personne ». Néanmoins, les « partenaires » potentiels doivent se méfier. Chronicle est assujettie aux lois américaines, et devra se soumettre également aux assignations à comparaître, aux mandats ciblés légaux et aux mandats émis par la Cour de Surveillance du Renseignement Étranger des États-Unis en vertu du Foreign Intelligence Surveillance Act (FISA) autorisant la surveillance massive.
Orchestration et automatisation, l'avenir du SOC moderne
Les SOC d'entreprise sont inondés de données et ont du mal à leur trouver un sens. La quantité d’experts en sécurité est insuffisante pour tout analyser. L'orchestration et l'automatisation sont l'avenir du SOC moderne. Compte tenu des énormes ressources de Google, tant en argent qu'en talents, il est probable que Backstory va rapidement gagner du terrain et devenir un concurrent dans un proche avenir. Cependant, l'externalisation de sa télémétrie de sécurité chez Chronicle peut exposer des secrets d'entreprise aux regards indiscrets du gouvernement américain - une décision qu'aucune entreprise ne devrait prendre à la légère. Enfin, quid du tarif fixe ? Stephen Gillett a refusé de répondre publiquement à la question, mais il a indiqué que l’ambition de Chronicle « était d’éliminer les obstacles à l'accès et au stockage des données au fil du temps ».
En septembre dernier, Chronicle avait lancé la version Enterprise de son service VirusTotal.