Dans un marché du SIEM occupé par des acteurs comme Splunk, Palo Alto Networks (qui a racheté Qradar d'IBM en 2024) ou Crowdstrike, il faudra compter sur un autre société : Databricks. Le fournisseur vient en effet de lancer Lakewatch, un gestionnaire des informations et des événements de sécurité à base d'agents IA. L'offre « regroupe les données de sécurité, informatiques et opérationnelles au sein d'un environnement unique et réglementé, permettant la détection et la réaction par l'IA », explique le spécialiste en data store. Cet outil inclut aussi du contrôle d'accès étendu au niveau des tables, des lignes, des colonnes et des attributs pour assurer une traçabilité complète des data à des fins de gouvernance sachant qu'il est possible d'exécuter des requêtes sur les data provenant de sources différentes (e-mail, pare-feux, IAM, applications, DNS...) depuis n'importe quel environnement cloud.

Lancée en bêta privée, cette solution adopte des standards ouverts (open cybersecurity schema framework, OCSF), à savoir Delta Lake, Iceberg et Parquet. Deux agents IA assurent des fonctions de détection, tri, analyse et compréhension des plans d'action. Il y a Code, un agent qui automatise l'ingestion, crée et modifie les règles de détection pour réduire les faux positifs et traduire des questions en langage naturel en requêtes SQL à des fins d'investigation. Le second se nomme Spaces pour mener des opérations complexes de recherche de menaces en plusieurs étapes, en interrogeant ses données sans nécessiter d'utiliser des prompts complexes. 

Des acquisitions orientées sécurité

Plusieurs fonctions de Lakewatch s'appuient sur la série de modèles Claude d'Anthropic. En mars dernier, Databricks avait conclu un accord de cinq ans avec cet éditeur pour intégrer les LLM à sa plateforme de données cloud. Par ailleurs cet outil dispose aussi de fonctions de detection as code pour définir des règles de détection en YAML à l'aide de requêtes SQL ou de notebooks Python, et effectuer des tests rétroactifs sur des données historiques déployables via des pipelines CI/CD.

En parallèle de ce lancement, Databricks a annoncé le rachat des start-ups Antimatter et SiftD. La première, fondée en 2022, a conçu une solution de chiffrement de données dans des enclaves sécurisées adossées à Kubernetes. Elle a levé 12 M$ (serie A) cette même année dans un tour de table mené par NEA, avec la participation de General Catalyst et d'Union Labs, et auquel ont participé des dirigeants de Snowflake, Okta, Dropbox, VMware, Segment et Databricks. Quant à SiftD, créée en 2024, elle a notamment conçu Spin, un assistant IA pour exécuter des opérations IT complexes sans avoir à écrire de code et de façon sûre et sécurisée.