Databricks a décidé de s’engager pleinement sur le marché de la cybersécurité avec le lancement de Lakewatch, une nouvelle plateforme que l’entreprise définit comme un SIEM ouvert et agentique, conçue pour répondre à une réalité qui inquiète déjà de nombreuses organisations : les acteurs malveillants utilisent également des agents d’intelligence artificielle pour scanner les systèmes, détecter les vulnérabilités et automatiser leurs campagnes offensives à une vitesse quasi instantanée. Le produit a été annoncé le 24 mars 2026 et, pour l’instant, est en Private Preview.

La proposition de Databricks part d’une critique directe du SIEM traditionnel. Selon l’entreprise, de nombreux équipes de sécurité continuent de fonctionner avec des architectures fragmentées, des coûts d’ingestion élevés et une visibilité incomplète sur leurs propres données. Databricks affirme que ces limites conduisent certaines organisations à laisser de côté jusqu’à 75 % de leur télémétrie, par souci de coûts, à un moment où les attaquants peuvent opérer avec davantage d’automatisation, de persistance et de rapidité.

Un SIEM construit sur le concept de « security lakehouse »

Lakewatch ne se limite pas à une simple console de sécurité, mais s’inscrit comme une extension de l’approche lakehouse que Databricks promeut depuis plusieurs années dans l’analyse et l’IA. L’idée est d’unifier dans un environnement unique et gouverné les données issues de sécurité, IT et métier, sans avoir à les déplacer ou à les dupliquer en permanence, tout en conservant leur format en formats ouverts pour éviter toute dépendance vis-à-vis d’un fournisseur. Databricks soutient que cette approche permet de conserver et d’analyser des volumes inédits d’informations, même sur plusieurs années, avec un TCO jusqu’à 80 % inférieur à celui des SIEM traditionnels. Cependant, cette estimation demeure une promesse commerciale et n’est pas encore accompagnée d’une méthodologie publique détaillée.

La société insiste également sur le fait que Lakewatch est pensé pour des données multimodales, et pas seulement les journaux et événements classiques. Sa communication évoque explicitement la capacité d’analyser audio et vidéo pour détecter des tentatives de social engineering, des menaces internes ou des anomalies. Ce point est particulièrement marquant, car il étend la définition de SIEM au-delà de la simple collecte d’événements infrastructurels, visant une plateforme de sécurité capable d’ingérer quasi toute type de signal disponible en entreprise.

Agents pour contrer les agents

Le cœur du discours autour de Lakewatch repose sur son caractère agentique. Databricks explique que si les attaquants commencent à utiliser des agents autonomes, les défenseurs devront répondre avec un autre type d’automatisation. C’est pourquoi Lakewatch s’appuie sur Agent Bricks pour créer, optimiser et déployer des agents de sécurité capables de gérer des flux complexes de détection, de triage et d’investigation, de bout en bout. Il intègre également Genie pour automatiser une partie de l’analyse, réduire la fatigue générée par les alertes et planifier des réponses en plusieurs étapes.

Cette approche s’inscrit dans la stratégie globale de Databricks, qui a récemment présenté Genie Code et renforcé sa narration autour de l’automatisation avancée via des agents d’entreprise. En matière de sécurité, cependant, la promesse exige une vigilance accrue : toute automatisation doit cohabiter avec une gouvernance, une traçabilité et un contrôle des dommages, afin qu’une erreur opérationnelle n’affecte pas uniquement la productivité, mais aussi la capacité de réponse d’un SOC réel. Databricks tente de rassurer sur ce point en insistant sur la gouvernance et sur le fait que les agents évolueront dans un environnement déjà régulé.

Écosystème ouvert, détection en tant que code et conformité

Un autre aspect important de l’annonce est la création d’un Open Security Lakehouse Ecosystem, un réseau de partenaires et fabricants incluant des acteurs comme Akamai, Arctic Wolf, Cribl, Okta, Palo Alto Networks, 1Password, Panther, Proofpoint, Slack, Wiz— désormais partie de Google Cloud— et Zscaler. Databricks souhaite transmettre l’idée que Lakewatch n’est pas fermé sur lui-même, mais qu’il peut s’intégrer avec des outils existants et fonctionner dans une architecture cloud-agnostic, reposant sur des standards ouverts.

La plateforme intègre également une couche de Detection-as-Code, avec gestion versionnée des règles et déploiements automatisés, et s’appuie sur Unity Catalog pour la gouvernance et la conformité. La société cite explicitement des cadres réglementaires tels que NIS2 et DORA, de plus en plus adoptés par les grands acteurs européens et fortement réglementés. L’objectif est clair : rivaliser non seulement sur la capacité analytique, mais aussi sur le contrôle, la conservation à long terme et la traçabilité dans des environnements soumis à une forte conformité réglementaire.

Anthropic et deux acquisitions pour renforcer l’offensive

Le lancement de Lakewatch s’accompagne aussi de trois mouvements stratégiques. Le premier consiste en un approfondissement du partenariat avec Anthropic : Databricks confirme que les modèles Claude de cette dernière contribuent à cette nouvelle plateforme, en utilisant leur capacité de raisonnement pour faire correler signaux issus de la sécurité, de l’IT et du métier. L’entreprise précise également que Anthropic se sert de Databricks pour son propre lakehouse de sécurité interne, dans le cadre d’un accord préalable annoncé en mars 2025 pour intégrer Claude à la plateforme de Databricks.

Les deux autres mouvements sont l’acquisition de Antimatter et de SiftD.ai. Selon Databricks, Antimatter apporte une expertise en authentification et autorisation vérifiables pour les agents d’IA, tandis que SiftD.ai intègre une connaissance approfondie en analyse de menaces à grande échelle et en moteurs de recherche inspirés par l’héritage technique de Splunk, étant fondée par l’un des créateurs de SPL et les architectes de la stack de recherche de Splunk. Les montants de ces acquisitions n’ont pas été révélés publiquement.

Une stratégie ambitieuse visant le cœur du SOC moderne

L’entrée de Databricks sur le marché du SIEM repose sur une logique stratégique. L’entreprise, déjà présente dans la gestion de données, l’IA et l’automatisation avec ses agents, envisage la sécurité comme une extension naturelle : si toutes ces composantes résident dans le lakehouse, le déploiement de détection et de réponse y est la suite logique. La société affirme que des clients comme Adobe et Dropbox utilisent déjà Lakewatch pour unifier leurs données et accélérer la détection des menaces, bien que la disponibilité officielle soit actuellement limitée à la preview privée.

Le vrai défi sera désormais de démontrer que cette ambition peut se traduire en opérations concrètes de sécurité. Le marché du SIEM est concurrentiel et exige plus que des messages séduisants autour de l’IA agentique : il nécessitera des intégrations solides, une précision analytique irréprochable, des coûts réellement inférieurs et une fiabilité opérationnelle suffisante pour que, dans un SOC, une partie du triage soit confiée à des agents automatisés. Databricks a lancé son message : la sécurité veut aussi être lakehouse, ouverte et nativement adaptée à l’ère des agents. La prochaine étape sera pour elle de prouver que cette vision fonctionne au-delà du seul cadre publicitaire.

Questions fréquentes

Qu’est-ce que Lakewatch de Databricks ?
Lakewatch est une nouvelle solution SIEM ouverte et agentique annoncée par Databricks, destinée à unifier les données de sécurité, IT et métier dans un environnement gouverné, pour améliorer la détection et la réponse via l’IA.

Lakewatch est-elle déjà disponible pour tous les clients ?
Non. Databricks indique que Lakewatch est en Private Preview, donc son déploiement n’est pas encore général.

Quel rôle jouent Anthropic et Claude dans Lakewatch ?
Databricks affirme que les modèles Claude d’Anthropic aident à corréler les signaux issus de la sécurité, de l’IT et du métier afin d’accélérer la détection des menaces.

Quelles acquisitions Databricks a-t-elle annoncées avec Lakewatch ?
La société a annoncé l’acquisition de Antimatter et SiftD.ai pour renforcer son approche de SIEM agentique et ouverte.

via : databricks