La rumeur courait, mais c’est désormais officiel : HP s’apprête à acquérir l’éditeur ArcSight, un spécialiste de l’analyse des logs et de la gestion des événements de sécurité (SIEM, pour Security Information Management System). Le géant mettra 1,5 milliards de dollars sur la table pour cette opération, ce qui en fait le dernier en date des méga-rachats du moment.

Difficile bien sûr d’évoquer un tel rachat sans citer la très récente acquisition de McAfee par Intel pour un montant de 7,68 milliards de dollars : dans les deux cas ce sont des géants ultra-généralistes qui s’offrent un expert de la sécurité (et de niche de surcroit en ce qui concerne ArcSight).

Mais c’est probablement tout ce que ces deux opérations ont en commun. Car autant l’acquisition de McAfee s’appuie sur un projet dont le moins qu’on puisse dire est qu’il est flou (ou ambitieux, selon votre degré d’optimisme), autant l’opération menée par HP trouve immédiatement du sens.

Pour Intel comme pour HP l’objectif est en effet « d’injecter » la sécurité de manière transversale au coeur de leurs solutions. Mais autant on imagine combien il sera difficile d’infuser aux produits Intel les technologies hétéroclites d’un acteur protéiforme tel McAfee, autant vouloir mieux gérer les logs et les événements de sécurité lorsque l’on en produit déjà des tonnes, cela semble naturel. Car après tout les solutions réseau de HP génèrent déjà leur flot de lignes de logs, et HP OpenView traite déjà son lot d’événements. Ajouter à l’édifice une brique de SIEM apparaît donc finalement très logique.

Si logique, d’ailleurs, que le monde du SIEM n’est pas un inconnu pour HP : le géant est (ou « était« , certainement) un partenaire majeur de netForensics, un éditeur réputé du domaine. Il semble probable que celui-ci a été approché par HP avant ArcSight. Trop cher ou simplement pas à vendre ? En tout cas pas de regret pour HP car ArcSight est (aussi) un très bon choix. Depuis presque une décennie le produit figure sur le podium des comparatifs de SIEM, toujours à un mouchoir de poche de netForensics et généralement même devant.

Et puis ce n’est pas comme s’il restait beaucoup d’éditeurs de SIEM à attraper : une solide phase de consolidation a déjà eu lieu sur ce marché entre 2004 et 2006. Cisco a ainsi ouvert le bal en 2004 en s’offrant Protego, et IBM a suivi un an plus tard avec l’acquisition de MicroMuse (on attendait alors déjà la réponse de HP, que l’on croyait prêt à s’offrir netIQ). Puis l’année suivante a été marquée par une déferlante : Novell a acheté e-Security, EMC a mis la main sur Network Intelligence (devenu entre temps le enVision de RSA) et IBM s’est offert Consul Risk Management. Enfin en 2010, dans une réplique de l’activité tectonique de 2006, TrustWave achetait Intellitactics.

Bref, il ne restait donc à HP plus grand monde à s’offrir : netForensics, LogLogic ou ArcSight. Ce sera donc ce dernier, tandis que les deux premiers voient au passage leur côte sérieusement grimper.

Un autre aspect intéressant de cette acquisition apparaît également si l’on s’intéresse au dernier rachat en date du géant : à la mi-août HP s’offrait un spécialiste de stockage (3PAR) pour 2,4 milliards de dollars. Serait-ce là une résurgence de la vieille tentation d’unifier sécurité et stockage ? C’est Symantec – avec son rachat de Veritas pour plus de treize milliards de dollars – qui doit être content ! Sauf qu’ici, une fois encore, le contexte est différent : la convergence du stockage et de la sécurité a effectivement du sens dans le domaine de la supervision et de la gestion des journaux. Attention donc à ne pas rapprocher trop vite les opérations d’autres géants tels Intel ou Symantec à celle de HP, même si le parallèle est tentant : cette dernière acquisition semble bien plus pragmatique et opérationnelle que les deux autres.

Et puis il y les services professionnels. Une solution de SIEM n’est pas un antivirus : le succès d’un tel projet dépend en grande partie de la qualité (et de la quantité !) des services d’accompagnement fournis par l’éditeur. ArcSight avait d’ailleurs sa propre division de Professional Services, mais il est évident que HP est largement mieux placé que lui dans ce domaine. Racheter un SIEM sans une solide brique de services aurait été suicidaire, tandis qu’ici HP va plus loin : il va certainement faire bénéficier la solution d’ArcSight de prestations d’accompagnement de meilleure qualité que l’original.

En définitive, autant nous pouvions être sceptiques quant au rachat de McAfee par Intel (ou du moins quant aux synergies à court terme), autant l’acquisition d’ArcSight par HP semble parfaitement logique. Seul le tarif, peut-être, pourra donner matière à réflexion : bulle, ou pas bulle ?