Entretien avec Pierre-Olivier Kaplan : Ingénieur sécurité réseau chez Nomios et intégrateur en solutions de sécurité et d'optimisation.
Depuis 2003, la solution Splunk collecte, indexe et met en corrélation en temps réel n'importe quel type de données ; avec à la clé la possibilité de générer des graphiques, des tableaux de bord, des alertes, des rapports établis en fonction des besoins de pilotage de l’entreprise. En d’autres termes, Splunk transforme les données machines en réponse.
Vous l'aurez certainement compris, Splunk est un outil s'inscrivant parfaitement dans la tendance du Big Data (pour rappel, plus de 90% des données disponibles aujourd’hui ont été produites durant les deux dernières années).
Les grandes entreprises ont rapidement saisi les avantages de Splunk. Tout d'abord en matière de sécurité informatique, pour traiter les importantes quantités de données provenant notamment des pare-feux : Avons-nous été piratés ? Mon entreprise recèle-t-elle des menaces en interne ? Comment détecter, bloquer ou arrêter une attaque ? mais aussi en matière d’infrastructure, de performance commerciale ou marketing, d’Internet des objets. La technologie Splunk est très ambitieuse.
A ce titre, de plus en plus d'acteurs découvrent le potentiel de cet outil révolutionnaire, capable d’analyser et de proposer des solutions en matière de sécurité, mais également dans des domaines tels que l'intelligence artificielle, le machine-learning, l’automatisation, pour n’importe quel type de données (applications, serveurs, réseaux, capteurs, objets connectés, appareils mobiles, machines). C'est aussi la raison pour laquelle le développement de Splunk pourrait se faire davantage au sein des PME et des start-up dans les années à venir.
Pour ces dernières, il est temps de capitaliser, elles aussi, sur leurs données (le marché du big data devrait atteindre 67 milliards de dollars en 2021) grâce à cet outil complexe mais également accessible et facile à prendre en main. Rencontre avec Pierre-Olivier Kaplan, Ingénieur sécurité réseau chez Nomios, intégrateur en solutions de sécurité et d'optimisation
Pourquoi avoir choisi Splunk et pas une autre solution ?
Personnellement, j'ai apprécié Splunk dès le début car il couvre un spectre de domaines très larges. En ce qui nous concerne, celui-ci s'oriente notamment sur quatre points, à commencer par le niveau infrastructure. En effet, après avoir qualifié les besoins du client et défini le volume de logs attendus, Splunk nous invite à constituer nous-mêmes les serveurs, ainsi que les architectures adéquates. Le deuxième point concerne le traitement de ces données, puisque Splunk va les recevoir en provenance de différents types de sources.
De facto, étant donné que chaque source est dotée de sa propre structure, cela demande un travail d’investigation important mais également très passionnant, car l'objectif finalement est d'extraire de ces données uniquement ce qui va intéresser le client. Le troisième point, lui, tient dans le fait que Splunk requiert tout un travail de développement, davantage orienté système. Ayant moi-même une formation de développeur à la base, je dois dire que j'adore cet aspect. Encore une fois, l’approche proposée par Splunk est très intéressante car nous devons développer des applications, des visualisations et même créer des scripts qui vont permettre au client de collecter des données nécessaires à l’obtention de réponses pertinentes.
Enfin, le dernier point concerne la communauté Splunk. Il faut savoir que cette technologie, du fait de son large périmètre, demande impérativement de maîtriser ou d’être familier avec beaucoup d’aspects différents des métiers de l’informatique. L‘avantage principal de Splunk à ce niveau, est qu'il dispose d'une importante communauté d'entraide. Il est donc facile de trouver des informations et de se faire épauler-ce qui est crucial de mon point de vue surtout pour un programme aussi complexe que Splunk.
L'interface de Splunk est très complète et pourtant, elle reste vraiment intuitive et facile à prendre en main. Les autres solutions sont généralement proposées en « black box », donc le client envoie des données, qui permettent de générer des dashboards, mais il ne sait jamais vraiment comment cela se passe et comment mieux affiner à son besoin les représentations des données qu’il collecte. Avec Splunk, c'est l'inverse.
Tout est absolument personnalisable et du coup, cela permet de n’être jamais bloqué quoi qu'il arrive. Ce point est fondamental ! À cela, il faut ajouter qu'avec le déploiement massif de Splunk, énormément de constructeurs officiels fournissent désormais des API efficaces et prêtes à l'emploi, avec tout ce qu'il faut pour traiter les données et afficher ce dont les entreprises ont besoin.
À quel type d’entreprise s’adresse la solution Splunk ?
En ce qui concerne les secteurs d'activité, Splunk est très prisé par la banque, l'assurance et les grandes entreprises d'une manière générale, ainsi que par les industriels. Ce qui est intéressant, c'est que Splunk permet par exemple de sécuriser une infrastructure complexe et de recevoir un large volume de logs, mais en même temps, étant donné le fonctionnement de sa licence, il permet un déploiement sur des petites structures telles que des PME, avec évidemment moins de données à traiter, mais finalement un usage identique. Par exemple, je pense que certains acteurs notamment les start-ups, devraient s'intéresser à
Splunk et aux possibilités du Big Data ; leurs données inutilisées pourraient en être largement valorisées. En outre, Splunk est en mesure de répondre à des besoins spécifiques en matière de business, en fournissant par exemple des rapports d'activité, des données de vente, des données marketing, etc. Avec Splunk, une fois que vous avez des données, tout est possible.
Comment accompagnez-vous vos clients dans l’intégration de la solution Splunk ?
La première chose à voir en détail, c'est ce que le client veut faire avec Splunk. Il s'agit en effet d'une solution exigeante et qu'il faut faire vivre. Les entreprises, quelle que soit leur taille, doivent garder cela en tête. C'est une priorité. Les questions à se poser concernent les besoins en interne, le volume de logs attendus, les données à suivre exactement (évènements issus de pare-feu avec beaucoup de logs, applications…).
Cela va donner une vision du volume de data à collecter et à traiter. Il s'agit d'une démarche fondamentale pour que nous puissions dimensionner au mieux et construire notre infrastructure (nombre de serveurs à installer, largeur de la bande passante, quantité de licences appliquées...). Ensuite, nous commençons généralement par mettre en œuvre un POC (Proof Of Concept), afin de faire un test avec un premier serveur installé sur site. Cela permet au client de collecter ses premières données. De notre côté après réception, nous traitons celles-ci afin de créer les premières applications de visualisation. Si cela convient au client, nous déployons un peu plus largement l'infrastructure, avec d'autres serveurs et tout un cluster pour répliquer les données.
À ce moment de l'opération, il est nécessaire de se poser d'autres questions : faut-il stocker les données ? Faut-il gérer une rétention de logs ? Quid des contraintes d'archivage… Une fois l'infrastructure en place, nous continuons de travailler sur les données et la création de nouvelles applications pour que le client récupère toutes les informations dont il a besoin. Ensuite, vient tout ce qui concerne la documentation et la formation pour que les équipes internes puissent prendre la main sur Splunk.
Le business model de Nomios, c'est que les clients soient totalement autonomes en termes d'usage, mais pour des choses plus complexes, qu'ils disposent d'un véritable accompagnement technique personnalisé. C'est l'une des plus-values fondamentales de Nomios. Il faut noter que dans certains cas, nous sommes appelés par les entreprises en raison d'un simple manque de temps ou de ressources disponibles. Pour le reste, nous sommes force de proposition, y compris pour faire évoluer la solution en fonction des attentes métiers.
Quel est votre niveau d'expertise sur les solutions Splunk et avez-vous quelques exemples d’installation ?
En matière d'expertise, Nomios est partenaire focus de Splunk. Cela signifie que nous avons un accès direct à la plateforme et à ses évolutions. Il nous arrive d'ailleurs de travailler en étroite collaboration avec les ingénieurs Splunk et d'organiser des sessions de formation pour nos clients. Nous disposons également en interne de 12 certifications techniques Splunk. En ce qui concerne notre activité, le spectre de nos missions est assez large : intégration, audit, développement d'applications, traitement de données, formation et installation complète de solutions.
Nous avons ainsi déployé Splunk au sein de 35 entreprises différentes en 2017, avec près de 300 jours d'intervention à notre actif ; et nous constatons une augmentation régulière de la demande. Les entreprises s’intéressent de plus en plus à cette technologie et au Big Data. Dans les salons professionnels, nous le voyons bien : Splunk monopolise l'attention, notamment grâce à ses possibilités qui dépassent largement la sécurité informatique. D'ailleurs, certains de nos clients ont découvert Splunk via le volet sécuritaire, mais ils se sont rapidement rendu compte du potentiel Big Data, ce qui les a incités à développer leurs propres applications métiers par la suite.
Par exemple, l'un de nos clients, un grand groupe hôtelier français, a découvert Splunk et désormais il est capable de visualiser sur des cartes géographiques, en temps réel, le taux d’occupation réel des chambres via les logs de connexion qui ont été collectés!
Avec Splunk, il est devenu très simple pour les entreprises d'intégrer des données très diverses afin de créer des outils métiers. En interne, nous utilisons ainsi Splunk à deux niveaux. D'une part, cela nous permet de suivre le nombre de tickets de support ainsi que leur durée et de contrôler les SLA ainsi que d’autres métriques inhérentes au service. D'autre part, Splunk nous permet de faire du reporting sur tout ce qui est flux sur les réseaux sociaux. Pour une entreprise, c'est un outil valorisant et fantastique à exploiter.