Nouveau : Candidatures pour rentrée décalée en janvier 2025 ouvertes !

Candidater

Boite à outils

Qu’est-ce que Splunk ?

Dans un monde où les systèmes d’information et la technologie semblent s’étendre et se complexifier à l’infini, il devient de plus en plus difficile de détecter les problèmes rapidement. Emerge donc un vrai besoin de canaliser et centraliser les données issues d’un système donné : c’est la condition de base de l’efficacité, notamment pour les équipes en charge de la cyberdéfense. Une entreprise californienne a décelé ce besoin relativement tôt et a développé une plateforme spécifique qui apporte des éléments de réponse forts. Baptisée Splunk, elle est devenue la référence en la matière.

Romain Charbonnier
Par Romain Charbonnier
Journaliste indépendant
Contenu mis à jour le
QU’EST-CE QUE SPLUNK ?
NB : Contenu en cours de réécriture.

Les contours d’une super-plateforme de gestion des données

La raison d’être principale de Splunk est de faire le tri dans un océan de données. Mais à quelles informations devons-nous justement nous intéresser en premier lieu, pour donner une image fidèle de ce qu’est concrètement Splunk ? Le mieux est peut-être de commencer par un retour rapide sur la création de la plateforme.

Un peu d’Histoire

L’entreprise – et la marque – Splunk ont été créées en 2003 en Californie. C’est à San Francisco que se trouve son siège. Forte de son succès, la structure a cependant ouvert des bureaux aux quatre coins du globe : en Europe, en Asie, en Afrique, au Moyen-Orient, en Asie et en Australie. À ses premières heures, l’entreprise s’est elle-même présentée comme le « Google de l’IT ». De fait, elle reste aujourd’hui la référence sur le segment du traitement et de l’analyse de données. Erik Swan, CTO et co-fondateur de l’entreprise, continue d’ailleurs à présenter cette dernière comme « le Google des données machine ». La barre des 10 000 clients à travers le monde a été passée dès le début de l’année 2016.

À l’origine de cette nouvelle référence du monde informatique, on trouve trois spécialistes du secteur : Michael Baum, Rob Das et Erik Swan. De manière générale, et depuis ses débuts, la multinationale américaine se spécialise dans le développement de logiciels de recherche, de suivi et d’analyse de données dites « machines » – c’est-à-dire des données de type big data générées de manière automatique par des machines – par le biais d’une interface de type web.

Ce qu’il faut bien retenir, c’est que Splunk est d’abord née comme un « simple » moteur de recherche axé sur les données machine (celles issues des appareils mobiles, des ordinateurs, des baies de stockage, des équipements réseau et des objets connectés, sans oublier les applications mobiles). Aujourd’hui, la diversité des usages de la plateforme est clairement reconnue et elle apparaît comme un outil bien plus évolué, avec une forte dimension analytique.

Un slogan qui dit tout

Turn Data Into Doing : tel est l’esprit porté par Splunk. Le message est clair : il s’agit de ne pas se perdre dans le trop-plein de données qui se multiplient de manière exponentielle, mais bien au contraire d’assurer un usage intelligent, pertinent et productif des trésors d’information à disposition.

L’idée de la plateforme Splunk, c’est aussi et surtout de permettre aux entreprises de passer moins de temps à gérer leurs données et d’avoir plus de temps pour les exploiter

Le concept du « Data-to-Everything »

Le slogan de Splunk s’inscrit pleinement dans l’approche « Data-to-Everything ». Son principe ? Faire le pari d’offrir des investissements technologiques moins nombreux mais plus intelligents. On cherche dès lors à réduire le niveau de complexité et la quantité d’obstacles entre les données et l’action. Par ailleurs, lorsqu’une plateforme de type Data-to-Everything est mise à niveau, ces principes de simplicité et d’intelligence sont une assurance supplémentaire que tout est mis en œuvre afin que la plateforme reste compatible avec un maximum d’interfaces.

Splunk : comment ça fonctionne ?

Au fil des années et de son développement, Splunk a développé plusieurs outils et fonctions dans le champ du traitement des données. L’objectif reste le même pour chaque produit : exploiter toute la puissance du machine learning, de l’automatisation et de l’orchestration. Les équipes de Splunk se penchent de plus en plus sur des technologies comme la mobilité, la réalité augmentée et le traitement du langage naturel pour permettre à un nombre croissant d’utilisateurs d’accéder à un nombre croissant de données. Dans tous les cas de figure, il s’agit, encore et toujours, d’aider les entreprises à identifier des informations précieuses à partir de sources de données innombrables. Splunk constitue la colonne vertébrale de ce grand système de tri optimisé des données.

Splunk, pour quoi faire ?

La mission que s’est donnée Splunk est de rendre les données générées par des machines compréhensibles par le plus grand nombre au sein d’une entreprise donnée. Il y a une finalité de visualisation après l’analyse. La plateforme ne se contente pas de mettre en rapport, en temps réel, des données collectées au sein de sources permettant la recherche : elle produit des graphiques, des alertes, des tableaux de rapport, des rapports et des infographies diverses, en fonction des besoins et des souhaits de l’entreprise.

Les clients de Splunk obtiennent ainsi des outils de mesure qui serviront à identifier des problèmes potentiels. La technologie horizontale qui est utilisée est particulièrement adaptée pour aborder toutes les questions d’observabilité (notamment sur des sujets de suivi commercial), de sécurité des données, de conformité ou encore d’analyse du cycle de vie des logiciels (l’ALM ou Application life management). De même, la plateforme apporte des réponses pour l’optimisation de tous les outils web classiques.

« Il est important de souligner à quel point l’outil est utile pour des équipes très variées : les équipes Sécurité, les équipes Conformité, mais aussi des équipes métier très variées. Les entreprises ont très vite pris la mesure de ces usages possibles. »

Splunk, pour qui ?

Pendant longtemps, Splunk a été principalement perçu comme un outil de « Business Intelligence », destiné aux équipes informatiques et pensé pour informer sur l’état du système d’information d’une entreprise. « Il est important de souligner à quel point l’outil est utile pour des équipes très variées : les équipes Sécurité, les équipes Conformité, mais aussi des équipes métier très variées. Les entreprises ont très vite pris la mesure de ces usages possibles », explique Rémi M., Directeur DSI pour une grande référence du commerce en ligne. En quoi Splunk peut accompagner les équipes métier ? « La puissance d’analyse de la plateforme va servir pour analyser les données des consommateurs, pour comprendre leurs comportements sur les services en ligne et ajuster la stratégie marketing. On va pouvoir aussi mesurer l’impact des changements apportés à l’expérience utilisateur. On détectera plus rapidement les défaillances techniques. Il y a, à mon sens, un consensus pour dire que l’utilisation de Splunk est une carte maîtresse pour toutes les entreprises qui traitent de l’informatique, oui, mais aussi pour les entreprises qui existent et font des affaires à travers les outils informatiques. »

Dans la pratique : comment utiliser Splunk ?

Adapté au contexte cyber Splunk est une solution SIEM (Security Information and Event Management), c’est-à-dire un outil qui permet de surveiller et d’analyser les événements en temps réel sur le réseau. Cela permet d’aider les administrateurs et la blueteam à surveiller et à repérer les menaces potentielles avant qu’elles ne causent des dommages à l’organisation.

Vous faites partie de l’équipe informatique et vous vous demandez comment procéder lorsque vous vous trouvez face à la plateforme ? Pour utiliser Splunk, rien de plus simple. Trois options se présentent à vous. Vous pouvez :

  • Connecter la plateforme à une base de données en passant par un connecteur
  • Charger un fichier plat en entrée (un fichier de la suite Microsoft ou de toute autre suite de traitement de texte, par exemple, ou un fichier CSV, parmi de nombreuses autres possibilités) ;
  • Récupérer les données existantes sur une connexion donnée (via TCP/IP, par exemple) afin d’en extraire les événements à ajouter au moteur de Splunk.

Comment ça marche ?

Splunk repose sur l’utilisation d’un langage propre, le SPL. Ce langage est mis en relation avec deux autres éléments « basiques » : une interface en ligne de commande (CLI) et une interface web particulièrement intuitive. Ce triptyque constitue la structure de base de la plateforme dans sa version la plus simplifiée, en dehors des ajouts de fonctionnalités complémentaires.
L’interface web est écrite en Python et Ajax. C’est un daemon en C++ qui opère la collecte de données, ainsi que l’indexation et la recherche. C’est aussi lui qui fournit des API accessibles en REST pour permettre l’intégration avec tous les types de framework web existants.

Enfin, on note l’intégration d’un data store inspiré, pour ses premières versions, par le « Google File System ».

C’est sur cette base que Splunk réussit son pari d’être utile à tous les types d’entreprises, quel que soit la structure informatique sur laquelle elles s’appuient.

Notons que, grâce à l’implémentation distribuée de Splunk, certaines entreprises réussissent à brasser et indexer pas moins de 1,2 Peta-octets de logs par jour

Les mécanismes d’extension

Splunk propose deux types de mécanismes d’extension :

  • Les Splunk Add-Ons permettent d’enrichir les fonctionnalités de base du logiciel. Les buts peuvent être variés : collecter des données, les analyser, enrichir le moteur de recherche, fournir des recherches pré-définies ou des macros. Dropbox, McAfee, Linux, Azure ou Microsoft sont des exemples d’utilisateurs de Splunk ayant largement recours aux Add-Ons.
  • Les Splunk Apps : il s’agit d’applications à part entière, dont la spécificité est de disposer d’une interface utilisateur évoluée, qui s’appuie sur les mécanismes propres à Splunk. Dans la grande majorité des cas, les Splunk Apps sont livrées avec des Add-Ons dans le but de faciliter la collecte et la mise en corrélation des données.

Une application bien particulière permet aux clients de créer leurs propres Add-Ons : Splunk Add-On Builder.

Gratuit
Téléchargez Le Grand Livre de la cybersécurité
Plus de 180 pages d’articles indispensables rédigés par des experts pour vous aider à mieux comprendre le secteur de la cybersécurité.
Téléchargez gratuitement le Grand Livre DE LA CYBERSÉCURITÉ

Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49

Les raisons d’un immense succès

Le traitement et l’analyse de données restent des sujets relativement vastes et théoriques. Quelle est l’utilité réelle de la plateforme Data-to-Everything de Splunk pour les constructeurs automobiles, les spécialistes du service informatique et toutes les entreprises sensibles à la sécurité cyber ? Voici quelques exemples d’applications concrètes qui mettent en lumière la force de Splunk.

Customer success stories

Parmi les clients très en vue de la galaxie Splunk, on note la présence de Honda. En s’appuyant sur la base de Splunk, les équipes informatiques du constructeur automobile japonais ont réussi à réduire le délai de réparation des véhicules : ils ont atteint un gain de temps de 70 %. Les défauts sont plus rapidement détectés, voire anticipés, grâce au croisement plus efficace des données.

Sur un autre terrain de vitesse, le spécialiste des bolides de Formule 1 McLaren a réussi à optimiser la prise de décision sur le terrain. Pour ce faire, plus de 300 capteurs ont été installés ou ajustés sur les bolides. Ce qu’a apporté Splunk, c’est une exploitation plus rapide et plus efficace des données ainsi récoltées avec, à la clé, plus de victoires potentielles sur les pistes de course ! 

Le Groupe Carrefour, pour sa part, a annoncé avoir multiplié par 3 sa rapidité de réponse aux alertes de sécurité en s’appuyant sur la plateforme et ses services cloud.

On peut enfin citer Heineken, à qui Splunk permet de passer en revue plus de 25 millions de messages et commentaires de consommateurs par mois, en se connectant à quelque 5 000 applications différentes. Les informations à forte valeur ajoutée sont repérées plus efficacement et permettent à la marque d’améliorer son produit et ses opérations marketing, avec un ciblage géographique précis.

Un réseau solide

Splunk met à disposition de ses clients plus de 1 800 experts techniques dont la tâche est de les guider à structurer leurs besoins et leur approche de la plateforme. Par ailleurs, 2 200 partenaires issus des secteurs les plus divers sont mobilisés pour signaler les améliorations nécessaires. De manière plus globale, 13 000 utilisateurs réguliers de l’outil sont mobilisés pour partager leur expérience de la plateforme et guider les nouveaux utilisateurs en répondant à leurs questions.

En résumé : pourquoi ça marche

On l’aura sans aucun doute compris : l’ouverture de Splunk constitue la principale différence avec les plateformes concurrentes. C’est sur cette base que n’importe quel type de client peut venir bâtir, directement sur la plateforme, ses propres applications et ses propres extensions. La finalité est d’obtenir des outils de lecture – tableaux de bord et autres graphes – personnalisés : en un mot, des outils de suivi réellement utiles.

C’est bien grâce aux API REST présentes sur le daemon de Splunk que chaque développeur peut facilement déployer ses propres logiques et apporter des ajouts fonctionnels qui font sens pour sa mission.

01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110

Qui utilise Splunk ?

La plateforme est destinée à toutes les organisations disposant d’une grande infrastructure informatique ou dont l’activité principale est liée à l’informatique. Toutes ces structures étant confrontées à un flux important de données, elles trouvent une utilité directe dans la plateforme, qui les aident à analyser aussi bien les données issues de sites Web que celles provenant d’applications, de capteurs et d’autres appareils.

Quelle est la différence entre une plateforme de données et une plateforme de big data ?

Il n’existe pas de différence essentielle entre une plateforme de données et une plateforme dite « big data ». Dans les deux cas, l’objectif est de traiter des données à grande échelle. Le terme de « big data » apparaît de plus en plus depuis une quinzaine d’années : ce choix de vocabulaire va de pair avec une grande tendance mondiale visant une meilleure exploitation des données disponibles.

Combien de salariés emploie Splunk ?

La multinationale Splunk est présente à la fois aux États-Unis, en Europe, en Asie, en Afrique, au Moyen-Orient et en Australie. Fin 2022, l’entreprise employait plus de 7 500 collaborateurs à l’échelle mondiale.

Qu’est-ce que Splunk en chiffres ?

Fin 2022, Splunk avait à son actif environ 1 100 brevets et plus de 2 400 applications spécialisées pour le traitement des données de clients extrêmement variés.