Choisir la bonne solution SIEM est une tâche difficile, surtout lorsqu’il est question des tarifs et de calculer le coût total de possession (TCO). Les systèmes de tarification SIEM ont la réputation d’être complexes et difficiles à budgétiser. Dans certains cas, vous risquez même d’être impacté financièrement après quelques mois d’utilisation en raison d’un sérieux manque de transparence et de prévisibilité au niveau des modèles de licence les plus populaires. Le fait que la plupart des éditeurs SIEM ne rendent pas leurs tarifs accessibles au public n’aide pas, en raison probablement de la complexité.
Dans cet article, nous allons comparer les différents modèles de tarification SIEM, leurs avantages et leurs inconvénients, ainsi que les modèles utilisés par les différents éditeurs.
L'achat d'une solution SIEM ne doit pas être un parcours du combattant
Il existe presque autant de modèles de licence SIEM que d’éditeurs sur le marché. Malheureusement, cette situation rend le processus d’achat extrêmement difficile pour vous en tant que client. Vous devez effectuer une analyse approfondie pour bien comprendre votre infrastructure au niveau de différents paramètres tels que les volumes de données, les EPS, les utilisateurs, les serveurs, les employés, etc.
En fin de compte, de nombreux acheteurs SIEM finissent par estimer certains paramètres pour permettre à l’éditeur de fournir un prix, puis tentent de comparer les alternatives que vous proposez. Une telle approche représente un risque important pour le projet SIEM et le TCO pendant la durée de vie du logiciel.
Les coûts masqués
Pour rendre les choses encore plus compliquées, plusieurs modèles de tarification SIEM imposent un important coût invisible pour les acheteurs, rendant ainsi difficile l'estimation initiale du TCO. Bien entendu, la plupart des solutions SIEM nécessitent des ressources en personnel pour être entretenus et développés, ce qui est difficile à éviter.
Cependant, vous devez faire preuve de diligence lors de l'évaluation des licences de certains éditeurs SIEM, car vous pourriez être confronté à des paywalls pour accéder, par exemple, à des sources de données supplémentaires, des cas d'usage, des fonctionnalités, une puissance de traitement plus importante ou un stockage supplémentaire.
Les 5 meilleurs modèles de licence SIEM
Généralement, les licences des éditeurs SIEM sont basées sur un modèle d'abonnement (dépenses d'exploitation ou OPEX). Par le passé, les licences perpétuelles (dépenses en capital ou CAPEX) étaient largement disponibles, mais aujourd'hui, la plupart des entreprises qui souhaitent une tarification basée sur du CAPEX choisissent de payer d'avance des abonnements sur plusieurs années.
Le modèle de licence de chaque éditeur SIEM appartient à l’une de ces catégories*, mais certains éditeurs proposent des licences basées sur une combinaison de deux ou plusieurs d’entre elles. Dans certains cas, les éditeurs proposent également différents modèles de licence selon que vous sélectionnez un déploiement sur-site (on-premises) ou SaaS.
| Modèle de licence basé sur : | Prévisibilité | Exemple d'éditeurs |
|---|---|---|
| Les événements par seconde (EPS) ou flux par minute (FPM) | Faible | IBM, Fortinet, ArcSight, Securonix, LogRhythm |
| Les gigaoctets/le volume de données par jour | Faible | Splunk, Devo, Exabeam, Microsoft, Sumo |
| Les serveurs/les actifs | Forte | Logpoint, Rapid7 |
| Le nombre d'employés/de postes de travail | Forte | Logpoint, LogRhythm |
| La puissance de calcul et le stockage (open source) | Faible | Elastic |
*Basé sur des informations accessibles publiquement
Les avantages et les inconvénients de chaque modèle de licence SIEM
Licences basées sur les événements par seconde (EPS) ou sur le volume de données
La tarification basée sur les EPS et le volume de données suit une structure similaire, les avantages et les inconvénients sont principalement les mêmes. Ces modèles de licence sont également les plus adoptés sur le marché. Le client paie en fonction des EPS/du volume de données traités par la solution SIEM. Pour évaluer efficacement le coût du SIEM en utilisant les EPS/le volume de données, vous devez bien comprendre votre infrastructure et estimer le nombre d'événements qu'elle génère. En fonction de votre entreprise, une telle analyse peut être une tâche difficile et complexe. L'utilisation d'un outil tel que notre calculateur SIEM (SIEM Sizing Calculator) peut être utile. Tenez compte de tous les logs au niveau de l'application dont vous avez besoin au cas où vous souhaiteriez utiliser le framework MITRE ATT&CK ou un outil similaire.
À mesure que les données continueront de croître, votre licence SIEM basée sur ces modèles augmentera également. Une alternative à l’augmentation du coût de votre licence consiste à optimiser les données que vous ingérez au niveau du SIEM. Il s'agit en fait d'une stratégie risquée, car vous pourriez sous-estimer vos besoins pour les adapter à votre budget, ou pire encore, vous retrouver dans une situation où vous ne disposez pas des données dont vous avez besoin pour utiliser le SIEM. Une telle situation deviendrait alors paradoxale car vous avez acheté un SIEM justement pour vous fournir ces données. Vous saurez rarement à l’avance les données en provenance de quels systèmes seront nécessaires pour vos besoins spécifiques. Les adversaires choisissent souvent la voie de la moindre résistance, par exemple lorsque Target a récemment été victime d'une intrusion dans ses systèmes d'aération et de ventilation.
Avantages
- Le client ne paie que ce qui est utilisé en fonction de la quantité de données traitées.
- Le prix est avantageux pour les appareils envoyant de petits volumes de données.
- Un modèle tarifaire évolutif capable de gérer des volumes de données importants et croissants.
Inconvénients
- Les données peuvent être supprimées ou l’envoi retardé si les EPS/le volume de données dépassent la limite contractuelle.
- Les clients dont le volume d'événements est imprévisible peuvent être confrontés à des coûts inattendus.
- Difficile de prévoir les prix dans le temps : à mesure que votre volume de données augmente, les coûts SIEM augmentent également.
Licences basées sur les serveurs/les actifs
Ici, le client paie en fonction du nombre de serveurs/d’actifs surveillés par la solution SIEM. Pour résumer, chaque entité de transfert de logs est un atout, par exemple des serveurs Linux, des pare-feu, des systèmes endpoint, des serveurs AWS ou des bases de données.
Étant donné que chaque appareil génère une quantité différente de données, il est essentiel de vérifier si l’éditeur en question propose des prix différents pour les différentes catégories d’appareil. Par exemple, un pare-feu pourrait envoyer plus de données qu’un appareil IoT (objets connectés), comme les serrures de porte. Cette solution est généralement disponible pour garantir que les tarifs de l’éditeur SIEM conviennent aux entreprises disposant de nombreux appareils générant moins de données.
Avantages
- Forte prévisibilité du coût du SIEM, car la licence ne fluctue pas en fonction de facteurs imprévisibles tels que le volume de données.
- Vous n'avez pas besoin de filtrer les données pour respecter votre budget, offrant ainsi une meilleure couverture en matière de sécurité.
- La budgétisation des coûts futurs est directement associée au nombre d'actifs que vous ajoutez, vous permettant ainsi de garder le contrôle à mesure que vos besoins évoluent.
Inconvénients
- Des licences doivent être ajoutées lorsque vous souhaitez augmenter les données envoyées au SIEM.
- Si le nombre d'appareils diminue, vous pourriez payer pour des actifs que vous n'utilisez pas.
Licences basées sur le nombre d’employés/de postes de travail
La tarification basée sur les employés est un modèle de licence dans lequel le client paie en fonction du nombre d'employés dans l'entreprise. Ce modèle de tarification est populaire auprès des entreprises qui souhaitent un modèle de tarification prévisible et évolutif lié à la taille de leurs effectifs.
Avantages
- Les licences sont faciles à comprendre car elles sont directement liées au nombre d'employés.
- Les besoins sont limités en fonction de la portée de l'infrastructure, des EPS, du volume de données, etc.
- Ce modèle de licence est particulièrement adapté aux entreprises disposant d'une infrastructure IT importante ou fluctuante mais avec un effectif réduit, comme les entreprises SaaS par exemple.
Inconvénients
- Dans les entreprises où une grande partie des employées est composée d’individus ayant peu d'interactions au niveau IT, ce modèle peut devenir trop coûteux par rapport aux autres modèles de tarification.
- Généralement, les licences basées sur le nombre d’employés sont soumises à un plafond en matière d'ingestion de données. Assurez-vous d’étudier les conditions de licence pour éviter des coûts inattendus dus au volume de données.
- Des changements importants au niveau du nombre d’employés, par exemple via des acquisitions, augmenteront le coût du SIEM.
Licences basées sur la puissance de calcul et le stockage (open source)
La tarification basée sur l'utilisation à proprement parler est un modèle dans lequel le client paie la licence en fonction des ressources consommées par les processus du système SIEM. Les clients peuvent télécharger, utiliser et modifier le logiciel gratuitement, mais paient généralement le support et la maintenance en plus des coûts informatiques. Ce modèle de tarification est populaire auprès des entreprises qui ne souhaitent pas payer pour de la capacité inutilisée, souhaitent un contrôle complet des logiciels et disposent de ressources internes importantes pour maintenir et développer la solution.
Avantages
- Vous payez uniquement pour ce qui est utilisé et aucun frais de licence direct n'est appliqué.
- Vous augmentez ou réduisez rapidement votre activité selon vos besoins.
- Il est plus facile de modifier le SIEM pour répondre à des besoins spécifiques.
Inconvénients
- Une équipe importante est nécessaire pour maintenir la solution SIEM. Une grande partie du TCO de ce modèle de licence est cachée et n’est pas liée à la licence de l’éditeur.
- La structure tarifaire complexe et imprévisible rend difficile la budgétisation. Les ressources nécessaires pour traiter et analyser les données dès le départ sont probablement inconnues.
- Les analyses et la couverture peuvent être limitées : une utilisation accrue entraînera une augmentation des coûts.
L’approche Logpoint
Nous ne pouvions pas terminer cet article sans vous présenter notre point de vue sur le modèle de licence qui est, pour nous, le plus pratique et convivial du marché. Au cours des dernières décennies, en tant qu’acteur majeur de l’univers du SIEM, nous avons entendu parler des inconvénients et des avantages qu’un modèle de licence SIEM pouvait apporter aux clients.
« Logpoint propose un modèle de tarification parmi les plus faciles à comprendre du marché ».
Nous proposons des licences en fonction du nombre d'actifs/de serveurs au niveau de notre plateforme sur-site (on-premises), tandis que notre plateforme SaaS suit l'approche basée sur le nombre d’employés. Nous avons choisi cette approche parce que nous croyons en une licence SIEM prévisible qui doit être basée sur des facteurs sous le contrôle de nos clients, et la valeur ajoutée de la plateforme ne doit jamais être limitée par le modèle de licence. Nous sommes fiers de nos tarifs transparents ; ainsi, vous bénéficiez toujours de toutes les fonctionnalités incluses dans votre licence SIEM sans frais cachés.
« Logpoint a pour vision de créer le coût total de possession (TCP) le plus bas pour le Converged SIEM dédié aux entreprises de taille moyenne, et jusqu'à présent, il a tenu ses promesses ».
Bien entendu, le choix du modèle tarifaire adapté à votre solution SIEM dépend du budget, de la taille et des exigences en matière de sécurité de votre entreprise. En fin de compte, il n’existe pas de solution universelle. Votre entreprise doit donc réfléchir à ce qui est vraiment important lorsqu’elle envisage d’acheter un nouveau SIEM. N'oubliez pas non plus d'évaluer tous les aspects d'une solution SIEM, et pas seulement le modèle de tarification, car les éditeurs proposent des fonctionnalités très différentes.
Comme mentionné précédemment, les licences SIEM ont la réputation d'être coûteuses pour le budget du client en raison de leur complexité. Nous sommes là pour changer cette tendance ! Merci d'avoir lu cet article et n'hésitez pas à faire une simulation pour calculer ce que Logpoint vous coûterait réellement.
