Lors de la première keynote de la conférence Splunk 2023 (du 17 au 20 juillet à Las Vegas), Gary Steele - CEO de la société depuis mars 2022 - a décliné dans un style direct et sans fioriture les dernières propositions de l’éditeur autour de l’observabilité, de l’IoT et du multicloud avec toujours un focus sur la sécurité. « Quand Splunk a été fondé, les plateformes clouds n’étaient pas installées et la transformation numérique de la plupart des entreprises n’avait pas encore été actée. En 20 ans, Splunk a évolué et changé », a expliqué en introduction le CEO. Piloter des systèmes critiques, détecter les menaces, assurer la sécurité et le bon fonctionnement des entreprises font partie des missions égrenées par le dirigeant. « Maintenir les opérations informatiques afin de fournir les services absolument essentiels à l'entreprise […] nous appelons cela la résilience numérique. Et je crois que la résilience numérique est l'un des facteurs déterminants des entreprises prospères de cette décennie ».
Partenaire historique de Spkunk, AWS va être rejoint par Azure, une demande des clients nous a indiqué une dirigeant de l'éditeur. (Crédit S.L.)
Et comme il est difficile de sécuriser des opérations qu’on ne peut pas voir dans leur ensemble, Splunk se positionne sur trois piliers clés, dont le premier est un engagement envers le multi-cloud hybride. C’est-à-dire exécuter les solutions de l’éditeur on-premise et également dans le cloud. Jusqu’à présent, Splunk travaillait avec AWS (depuis douze ans) et GCP (depuis 6 ans), mais un autre acteur majeur du cloud manquait à l’appel. C’est chose faite avec l’annonce d’un partenariat avec Microsoft autour d’Azure. Dans le cadre de cet accord, l’éditeur de Redmont collaborera avec Splunk pour assurer une visibilité cloud et hybride de bout en bout sur Azure. Les outils de Splunk (Enterprise, Enterprise Security (ES) et IT Service Intelligence) arrivent donc dans la marketplace d’Azure (sur les régions américaines pour commencer). Jonathan Altaf, vice-président exécutif et directeur commercial de Microsoft, est intervenu dans une vidéo pour souligner que les systèmes IT doivent être sécurisés et fiables face aux perturbations croissantes […] et que vous pouvez utiliser vos crédits Azure pour acheter Splunk sur Azure Marketplace, qui sera bientôt disponible dans le monde entier ». « Si nous proposons à nos clients de prendre des licences Splunk sur Azure, nous ne délaissons pas pour autant les entreprises hésitant encore à tout migrer sur le cloud. Nous continuerons d’innover pour le on-premise », a précisé Gary Steele.
Améliorer la visibilité globale dans l'entreprise
Le deuxième pilier clé pour Splunk est une visibilité plus complète sur tous les environnements avec la prise en compte des logs, des métriques, des traces (données internes des apps) et même des données unlogged. « Comme le système d’informations des entreprises est devenu beaucoup plus compliqué, nous voulons être en mesure de vous aider à voir à travers tout cet environnement, ainsi que les endroits où nous avons traditionnellement eu des angles morts », a expliqué Gary Steele. Sans oublier une incursion plus marquée autour de l’IA. L’éditeur lance donc Splunk AI, une suite d’outils alimentée par l’IA pour améliorer sa plateforme unifiée de sécurité et d’observabilité. Cette dernière combine l’automatisation avec un contrôle humain, afin d’accélérer la détection, l’investigation et la réponse aux menaces tout en contrôlant la façon dont l’IA est appliquée à leurs données. L’éditeur s’appuie donc sur ses capacités en matière d’IA et d’apprentissage automatique (ML) appliquées à la sécurité et l’observabilité pour fournir des informations spécifiques à chaque domaine.
Pragmatique, un dirigeant de Splunk nous a expliqué en aparté que l'IA générative était devenue un passage obligé, mais que la société travaillait depuis de longues années sur l’exploitation de l’IA dans le domaine de la cybersécurité. Splunk AI vient donc optimiser les grands modèles de langage (LLM) spécifiques au domaine et les algorithmes ML (Splunk Machine Learning Toolkit (MLTK) 5.4 et App for Data Science and Deep Learning (DSDL) 5.1) construits sur les données de sécurité et d’observabilité pour alléger le travail des équipes sécurité et dev. En outre, l’éditeur entend conserver une plateforme ouverte afin d’élargir les modèles de Splunk AI et permettre aux entreprises d’associer à sa plateforme des outils tiers. Parmi les outils proposés dans Splunk AI citons AI Assistant, qui exploite l’IA générative pour améliorer le chat et aider les utilisateurs à créer un langage de traitement Splunk (Splunk Processing Language, SPL) en utilisant le langage naturel ; App for Anomaly Detection, qui apporte un workflow opérationnel pour simplifier et automatiser la détection d’anomalies. Enfin, IT Service Intelligence dans sa version 4.17 offre une détection plus avec l’arrivé des fonctions Outlier Exclusion for Adaptive Thresholding pour détecter et omettre les points de données anormaux ou les valeurs aberrantes (telles que les perturbations du réseau ou les pics de pannes) pour des seuils dynamiques plus précis. Cette fonction assure une meilleure connaissance des cybermenaces. De son côté, ML-Assisted Thresholding utilise des données historiques et des modèles pour créer des seuils dynamiques en un seul clic afin de déclencher des alertes plus précises.
Pour récupérer des données de type unlogged, jusqu'à présent confinées en local, Splunk mise sur son boitier Edge Hube. (Crédit S.L.)
Un boitier dédié à l'OT
Dernier point, une collecte élargit des données, afin d’éviter que les clients se tournent vers un fournisseur tiers pour analyser en local certaines données : dans une usine, dans un centre de distribution, dans un magasin de chemises, dans une de salle de serveurs... « Il a toujours été difficile de sortir et d’exploiter ces informations. Cela a été un grand défi et nous avons pris ce problème à cœur et nous sommes ravis de présenter aujourd’hui notre solution baptisée Edge Hub capable de vous donner une visibilité sur tout votre environnement OT », a expliqué le CEO. Boîtier bardé de capteurs (lumière, température, humidité et vibrations), le Edge Hub est capable de transférer vers la plateforme Splunk des données auparavant difficiles d’accès et avec très souvent des formats de données propriétaires. Splunk a développé une série de connecteurs pour se brancher sur les principaux systèmes OT du marché (machine-outil, automate ou armoire de commandes) afin de surveiller les conditions météorologiques et environnementales, telles que l’eau, la température, l’humidité et les gaz ; effectuer des analyses prédictives pour identifier les anomalies dans les processus de production ainsi que les signes précurseurs de pannes, afin de minimiser les temps d’arrêt opérationnels ;obtenir une visibilité plus complète sur les environnements IT et OT afin de mieux détecte et résoudre les menaces à partir d’une seule plateforme ; et enfin construire des solutions sur mesure à l’aide de partenaires comme Accenture pour le transport, le pétrole, le gaz et la supply chain, entre autres. La commercialisation de Edge Hub sera assurée par des partenaires en tant que solution pour résoudre des problèmes opérationnels et commerciaux dans leur secteur d'activité. Disponible en version limitée aux États-Unis, l'offre arrivera un peu plus tard en Europe et en Asie