Coup sur coup, deux géants de la sécurité IT s’offrent « leur » éditeur de solutions de gestion des risques et de mise en conformité (GRC) : Symantec avec Gideon Technologies et EMC avec Archer Technologies .

Un tel doublé d’acquisitions, et notamment lorsque Symantec est impliqué dans l’affaire, pourrait laisser envisager une nouvelle mode du marché. Ce ne serait en effet pas la première fois que de tels géants jouent au « premier qui bouge » et se ruent ensuite sur de petits spécialistes dans un domaine ou un autre (le DLP, les HIPS, etc…)

Dans ce cas particulier, la cible est toutefois mouvante et les objectifs certainement très différents d’un rachat à l’autre. La GRC (Gouvernance, Risk and Compliance en anglais) est en effet un acronyme un peu flou dans lequel « on pourrait inclure le sandwich au jambon si l’on disposait d’un budget marketing suffisant », explique Todd Graham, un évangéliste en la matière chez RSA.

Il y a peu de doute sur le fait que le rachat de Gideon par Symantec est essentiellement motivé par le désir de satisfaire des exigences gouvernementales américaines : Gideon offre des outils GRC s’appuyant sur SCAP (Security Content Automation Protocol), dont le support est exigé par le gouvernement fédéral. Pour le reste, Symantec avait déjà une solution de GRC au catalogue avec la Symantec Control Compliance Suite. La solution consolide différents contrôles et les applique aux masques des principales réglementations, notamment américaines (SOX, HIPAA, etc). Cette acquisition demeure toutefois intéressante ne serait-ce par le message qu’elle envoie : la GRC mérite un tel investissement même s’il ne s’agit que de s’ouvrir les portes du marché fédéral américain.

Pour EMC, en revanche, la stratégie semble plus articulée. Déjà parce que contrairement à Symantec, ni EMC ni sa filiale RSA n’étaient présents sur ce créneau. L’objectif était certainement avant tout d’acquérir une couche supérieure entièrement nouvelle, un « liant » entre les différentes solutions actuelles qui contrôlent, auditent, manipulent et remontent déjà de nombreux éléments et événements de sécurité. RSA fournissait en effet déjà un point d’observation intermédiaire sur la sécurité via ses solutions de DLP et son SIEM (enVision). Mais le lien avec les métiers et ses contrôles nécessaires, et avec les « cases à cocher » des auditeurs, n’était pas encore au catalogue : ce sera donc probablement le premier rôle d’Archer au sein de RSA.

Mais le géant aurait bien tort d’en rester là. La technologie d’Archer pourrait bien devenir à terme la pierre angulaire qui lui permettra d’associer à la vision sécuritaire existante d’autres contrôles non-sécurité de la IT (service managmenent ou records management, gestion du contenu et des documents, voire dans le stockage par exemple), et même purement métiers via des partenaires.

En ce sens, les pure-players de la GRC peuvent aider les grands généralistes de la sécurité à franchir un cap en allant vers une plus grande proximité avec les métiers, la conformité ou la IT en général (pensez ITIL). Ce sont jusqu’à présent autant de domaines qui leur sont difficilement ouverts depuis leur ghetto sécuritaire.