SIEM : les modèles tarifaires restent souvent problématiques

Des modèles au volume onéreux

Le cabinet souligne ainsi qu’IBM facture principalement QRadar au volume, au nombre d'événements par seconde, et au périmètre, par flux par seconde. « Et les modules premium et applications sont facturés séparément ». Autrement dit, sur un large environnement, la facture peut vite gonfler. Et si QRadar s’apparente à une plateforme largement flexible et extensible, « pour les acheteurs ayant besoin d’une architecture basée sur des composants multiples, le nombre de composants disponibles et d’options nécessaires génère de la confusion dans le processus d’achat ».

Mais cela ne suffit pas à rebuter tout le monde. En France, EDF a fait le choix du SIEM d’IBM, mais aussi Capgemini et Sopra Steria, pour leurs offres d’externalisation de centre opérationnel de sécurité (SOC).

Pour Splunk, la situation n’est guère différente. Et les RSSI préoccupés par son coût ne manquent pas. Gartner souligne ainsi que ses clients « qui ont implémenté Splunk soulèvent régulièrement des questions sur le modèle de licence et le coût total de déploiement de la solution ».

Mais il n’y a pas que pour ces deux leaders que le modèle tarifaire peut avoir des airs de casse-tête. Gartner relève ainsi que le SIEM de McAfee est principalement facturé au volume d’événements par seconde par appliance. Toutefois, selon le cabinet, l’architecture et le modèle de licence retenus « simplifient les achats et les déploiements », surtout pour ceux qui cherchent une appliance clés en main.

Et pas uniquement pour les leaders…

LogRhythm joue quant à lui la carte de la vélocité, au nombre de messages par seconde. Pour ArcSight, classé parmi les challengers, ce n’est guère mieux : son module ADP, dédié à la collecte et à la gestion des données, est facturé au volume, tandis qu’ESM l’est à la vélocité, et le module d’analyse comportementale, basé sur la technologie de Securonix, l’est au nombre d’utilisateurs… La suite NetWitness, de RSA, est essentiellement facturée au volume, ou à l’appliance pour Logs and Packets, et au nombre d’agents pour le module Endpoint.

Chez AlienVault, on retrouve la facturation au volume avec le service USM Anywhere, alors qu’USM Appliance est facturé suivant le nombre de systèmes déployés. FireEye joue aussi la carte du nombre d’événements par seconde avec Cloud Collector, mais ajoute un autre composant : les besoins de rétention. Pour FortiSIEM, de Fortinet, Gartner fait état d’une facturation principalement basée sur le nombre de sources, d’agents déployés, et sur la volumétrie.

Des approches originales

Dans ce contexte, il n’est guère étonnant que certains s’intéressent à d’autres SIEM. Exabeam mise ainsi sur une approche tarifaire qui peut s’avérer séduisante : son SIEM est facturé au nombre d’utilisateurs dans l’organisation. Et il en va de même pour Snypr de Securonix, dont Gartner souligne que « le modèle de licence est clair et facile à comprendre pour les acheteurs ». Cela ne manque d’ailleurs pas d’une certaine ironie pour des acteurs qui s’étaient initialement positionnés en complément de SIEM existant pour leur fournir une couche d’analyse comportementale…

Rapid7 base quant à lui la tarification d’InsightIDR sur le nombre d’hôtes surveillés, ainsi que sur la durée de rétention des données – 90 jours, de base. En France, Cegedim a décidé de s’appuyer sur la solution pour combiner NOC et SOC.

Mais certains absents du quadrant magique du cabinet Gartner peuvent également séduire. Et cela vaut pour le Français Prelude, repris par CS en 2012, comme pour le Danois LogPoint, notamment, qui est facturé au nombre de sources de logs. Ce dernier a été notamment retenu par la Casden, de préférence à Splunk, pourtant déjà déployé en interne au niveau de la supervision applicative, pour des raisons de coût face à la volumétrie attendue.