S’adapter à une cybercriminalité en mutation

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Benoît GRUNEMWALD

ESET est une socié­té de cyber­sé­cu­ri­té fon­dée en 1992. Pion­nière dans la lutte contre les logi­ciels mal­veillants, elle a dû sans cesse trou­ver de nou­velles réponses aux attaques de plus en plus com­plexes et variées, tout en se déve­lop­pant for­te­ment à l’international. Expert en cyber­sé­cu­ri­té et asso­cié de la socié­té, Benoît Gru­nem­wald nous explique les enjeux d’un monde sans cesse en mouvement.

Pouvez-vous nous présenter vos activités ?

Nous sommes une entre­prise qui édite des logi­ciels de cyber­sé­cu­ri­té. ESET existe depuis trente ans et elle a été créée au cœur de l’Europe, en Slo­va­quie, à Bra­ti­sla­va. Notre acti­vi­té a beau­coup évo­lué dans cette période. Au début, notre tra­vail consis­tait essen­tiel­le­ment à stop­per des logi­ciels mal­veillants. Aujourd’hui, les cyber­cri­mi­nels se sont pro­fes­sion­na­li­sés : ils ont évo­lué dans leurs méthodes et nous devons détec­ter bien au-delà des phé­no­mènes mal­veillants et sur des péri­mètres beau­coup plus larges qu’ils ne l’étaient auparavant.

Glo­ba­le­ment, ESET est une socié­té tour­née vers la tech­nique. Nous trai­tons envi­ron 500 000 menaces par jour : les êtres humains seuls ne peuvent pas gérer autant de menaces. Nous avons donc de nom­breux métiers liés à l’intelligence arti­fi­cielle. Nos ingé­nieurs vont éga­le­ment se char­ger de la rétro-ingé­nie­rie logi­cielle pour pou­voir décom­pi­ler, ana­ly­ser du code mal­veillant. Enfin, nous avons des ingé­nieurs qui vont s’occuper de l’analyse des groupes d’attaquants, sur un aspect tech­nique mais aus­si un peu plus géné­ral, tou­chant à la vic­ti­mo­lo­gie : qui a été atta­qué, pour­quoi ? C’est notam­ment le cas en ce moment, où ont lieu beau­coup d’opérations de cyber espionnage.

La connaissance de la menace est importante pour vous dans ce cadre ?

La connais­sance de la menace est fon­da­men­tale, notam­ment quand nous par­ti­ci­pons à des opé­ra­tions avec des forces de l’ordre. La télé­mé­trie, la connais­sance des infor­ma­tions qui nous arrivent depuis dif­fé­rents points, repré­sente 110 mil­lions de points à tra­vers le monde, ain­si que de nom­breuses autres sources que l’on agrège : il faut donc des moyens impor­tants pour trai­ter l’ensemble. Dans notre mode de fonc­tion­ne­ment avec les forces de l’ordre, l’un des objec­tifs est de car­to­gra­phier et de com­prendre la menace, au sens large, c’est-à-dire celui qui l’opère et les outils qui servent à opé­rer cette menace. Nous dres­sons donc une car­to­gra­phie qui ser­vi­ra aux forces de l’ordre de plu­sieurs pays, les attaques émanent sou­vent de dif­fé­rents pays et ciblent dif­fé­rents pays. Cette car­to­gra­phie leur per­met­tra de remon­ter jusqu’aux vic­times, jusqu’aux atta­quants. Les don­nées que nous leur four­nis­sons sont uniques car nous avons une vision mon­diale : notre logi­ciel est ins­tal­lé sur un grand nombre de machines.

“Nos challenges sont plus complexes qu’avant – et cela se répercute sur les compétences que l’on doit réunir.”

Nous avons éga­le­ment un double par­te­na­riat avec Google : sur Google play store, et sur un outil qui s’appelle Google tool clean up, per­met­tant d’analyser chaque fichier télé­char­gé avant qu’il ne soit exé­cu­té. Nos tech­no­lo­gies sont embar­quées dans les pro­duits Google sans que les uti­li­sa­teurs le sachent, on peut donc dire que l’on pro­tège plus d’un mil­liard d’internautes à tra­vers le monde.

Quel regard portez-vous sur la place de votre entreprise dans son environnement concurrentiel ?

Nous avons des concur­rents plus connus que nous ; pour­tant, nous sommes le pre­mier édi­teur euro­péen, selon l’analyste Gart­ner. Devant nous, les édi­teurs sont amé­ri­cains ou d’autres natio­na­li­tés extra-euro­péennes. C’est un para­mètre impor­tant dans un monde où le RGPD, où la pro­tec­tion des don­nées de manière géné­rale, importe de plus en plus. Par­ta­ger ces valeurs est une grande force pour nous. Par ailleurs, nous tra­vaillons depuis trente ans aux bases de don­nées, aux algo­rithmes et au machine lear­ning : c’est un temps d’avance, une expé­rience dif­fi­cile à rattraper.

Notre empreinte de consom­ma­tion au poste de tra­vail est très légère, cal­cu­lée au plus juste. Nous sommes connus dans les milieux indus­triels, ou dans les milieux où les machines n’ont pas beau­coup de res­sources (l’administration, les écoles), mais éga­le­ment chez les gamers, qui ont besoin de beau­coup de res­sources et qui ont conscience des enjeux de sécurité.

Enfin, un point impor­tant : toutes nos solu­tions sont déve­lop­pées en interne. Nous en sommes pro­prié­taires. Par ailleurs, la socié­té est déte­nue par ceux qui l’ont créée. C’est ce qui nous per­met de nous concen­trer sur deux objec­tifs seule­ment : être ren­tables et pro­té­ger les utilisateurs.

Pouvez-vous nous présenter une problématique concrète à laquelle vous êtes confrontés ?

Nous pro­té­geons la Gen­dar­me­rie natio­nale : chaque poste est équi­pé avec nos solu­tions. Le déploie­ment a été très bien géré par la gen­dar­me­rie, avec des périodes de test enri­chis­santes pour nous aus­si. Avant de nous choi­sir, ils devaient s’assurer de la bonne com­pa­ti­bi­li­té de leurs sys­tèmes d’informations, mais aus­si de la pro­bi­té de l’entreprise. Il a fal­lu ensuite les accom­pa­gner pour super­vi­ser et mettre en place des rap­ports pour savoir s’il y a une ten­ta­tive d’intrusion sur leur parc. Nous tra­vaillons autant sur la pla­te­forme linux que sur win­dows, avec une très grande sou­plesse dans le para­mé­trage pour s’adapter aux contraintes opé­ra­tion­nelles qui sont les leurs. Cette expé­rience a été une preuve de notre capa­ci­té d’adaptation.

Quels sont pour vous les grands défis actuels dans votre secteur d’activité ?

Il y a une muta­tion de la cyber­cri­mi­na­li­té, et elle conduit à des chan­ge­ments struc­tu­rels : c’est-à-dire sur la façon dont les cri­mi­nels s’organisent, se ras­semblent en mafias, et donc sont de plus en plus outillés, puis­sants, finan­cés ; mais aus­si sur la manière dont ils agissent : aupa­ra­vant, l’outillage des cyber­cri­mi­nels consis­tait en des virus ; aujourd’hui, ils exploitent les failles zero day, les failles qu’eux seuls connaissent, les vul­né­ra­bi­li­tés que per­sonne ne pro­tège ou ne cherche à pro­té­ger. On voit bien que l’utilisation de ces failles va per­mettre d’écouter, d’espionner, de se ren­sei­gner sur des cibles éta­tiques ou proches des États et ce à tra­vers tous les conti­nents. Nous consta­tons aus­si une modi­fi­ca­tion des cibles : on voit que cer­tains groupes d’attaquants étendent leur zone d’action en Afrique par exemple – où nous sommes d’ailleurs très présents.

En consé­quence, notre entre­prise est en évo­lu­tion depuis trente ans : nous nous adap­tons et nous essayons d’anticiper, grâce à la cyber threat intel­li­gence. Nos défis sont mul­tiples, notam­ment dans la pour­suite d’éléments d’intelligence arti­fi­cielle pour être effi­caces dans la clas­si­fi­ca­tion des menaces, mais aus­si dans la pour­suite des signaux faibles, ceux qui ne relèvent pas de cam­pagnes de masse, et qui sont des mar­queurs faibles.

Le défi est de pou­voir appor­ter les ser­vices d’intelligence sur la menace, et d’apporter un accom­pa­gne­ment préa­lable. Nous uti­li­sons quatre termes pour défi­nir nos objec­tifs : pré­dire, pré­ve­nir, détec­ter, répondre. Dans le pas­sé, l’antivirus suf­fi­sait à ces impé­ra­tifs ; mais main­te­nant il faut y ajou­ter des ser­vices et de l’intelligence humaine, au-delà du logiciel.

Cette évolution correspond-elle donc à de nouveaux besoins en terme de recrutement ?

Nos chal­lenges sont plus com­plexes qu’avant – et cela se réper­cute sur les com­pé­tences que l’on doit réunir : des ingé­nieurs sur l’intelligence arti­fi­cielle, des ingé­nieurs sur la menace, sur les logi­ciels. Nos logi­ciels se sont com­plexi­fiés pour pou­voir cou­vrir plus de péri­mètres, je pense notam­ment à la mes­sa­ge­rie Micro­soft 365. Il y a clai­re­ment une pénu­rie de talents dans le monde, et c’est pour­quoi nos postes sont ouverts à des per­sonnes qui viennent de sec­teurs dif­fé­rents : nous pré­fé­rons for­mer des per­sonnes moti­vées plu­tôt que de se pri­ver de talents. Le sec­teur a un bel ave­nir en terme de recru­te­ment. D’autant plus que la cyber­sé­cu­ri­té est un domaine où l’on ne s’ennuie pas : chaque jour est dif­fé­rent. Les cyber­cri­mi­nels nous amènent vers de la nou­veau­té en per­ma­nence, et nous sommes pous­sés à inno­ver : il faut anti­ci­per constam­ment les nou­velles menaces !


En bref

ESET emploie 3000 per­sonnes dans le monde, et dis­pose de 13 labo­ra­toires de recherche. Elle apporte des solu­tions à des entre­prises et des par­ti­cu­liers dans 200 pays différents.


Poster un commentaire