Maîtriser toute la chaîne de protection, un vrai plus dans le marché de la cybersécurité

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Éric FRIES

Allen­tis est une entre­prise française en forte crois­sance dans le domaine de la cyber­sécu­rité. Elle déploie ses activ­ités sur plusieurs secteurs, hard­ware et soft­ware, et four­nit des ser­vices var­iés sur toute la chaîne des flux de don­nées. Son prési­dent et fon­da­teur, Éric Fries, nous explique son approche.

Pouvez-vous nous présenter vos activités ?

Nous sommes une PME française qui existe depuis dix ans main­tenant, basée sur trois sites, Paris, Tours et Nîmes. Nous avons trois métiers, en fait trois savoir faire : la fab­ri­ca­tion de sys­tèmes de répli­ca­tion de traf­ic, c’est-à-dire un hard­ware qui per­met d’extraire du traf­ic pour l’envoyer à des sys­tèmes d’analyse. Le deux­ième, dans le logi­ciel, con­cerne les solu­tions de détec­tion de men­aces cyber en ligne. Notre troisième méti­er cor­re­spond aux sys­tèmes d’analyse de la per­for­mance des flux de don­nées (voix, images, data), la volumétrie, les com­porte­ments, etc. Ces trois domaines se com­plè­tent. Nos clients sont en général des grandes entre­pris­es qui dis­posent de leur data cen­ter ou bien qui con­fient tout ou par­tie de leur sys­tème infor­ma­tique à des sous-trai­tants divers.

Vous avez développé vous-même vos propres solutions ?

Nous avons entière­ment dévelop­pé nous-mêmes nos sys­tèmes logi­ciels de détec­tion. Sur l’aspect matériel égale­ment, nous avons dévelop­pé de l’électronique et de l’optique pour pou­voir fab­ri­quer des sys­tèmes de répli­ca­tion de trafic.

Quelles sont les compétences demandées par l’expertise qui est la vôtre ? 

Faire des logi­ciels de détec­tion de men­ace demande des com­pé­tences var­iées. En dehors de savoir dévelop­per des logi­ciels, il est néces­saire d’avoir une con­nais­sance très pointue du décodage pro­to­co­laire. Ensuite, il faut avoir une con­nais­sance éten­due des archi­tec­tures réseau, c’est-à-dire com­ment vont et vien­nent les don­nées dans un data cen­ter et sur les réseaux éten­dus, et il faut com­pren­dre le com­porte­ment nor­mal des util­isa­teurs. En résumé, nous avons des com­pé­tences pour décoder, analyser les data, com­pren­dre la cir­cu­la­tion nor­male des flux, mais aus­si com­pren­dre le com­porte­ment type d’un util­isa­teur. Notre méti­er a aus­si une autre exi­gence : pour faire des sys­tèmes robustes, il faut avoir des com­pé­tences en archi­tec­ture logi­cielle, faire les bons choix, ce qui n’est pas tou­jours le cas dans ce secteur où finale­ment les clients ne voient pas « ce qu’il y a sous le capot ».

L’ANSSI effectue un travail extraordinaire depuis dix ans pour dynamiser l’écosystème cyber français.”

Nos sys­tèmes sont des serveurs dans lesquels sont injec­tés du traf­ic en temps réel. Il faut donc faire de la pro­gram­ma­tion sur des sys­tèmes qui fonc­tion­nent en temps réel : cela demande des com­pé­tences qui s’acquièrent progressivement.

Il y a des pièges dans la con­struc­tion de ces sys­tèmes, et l’expérience R&D est donc un point important.

Notre car­ac­téris­tique, c’est que tech­nologique­ment nous maîtrisons l’ensemble du proces­sus ; comme nous pro­duisons des sys­tèmes de répli­ca­tion, nous pou­vons fournir au client toute la chaîne de pro­tec­tion périmétrique, y com­pris les équipements qui vont lui per­me­t­tre d’extraire les don­nées de son réseau et les envoy­er à des sys­tèmes d’analyse que nous aurons aus­si four­nis. Nos con­frères générale­ment ne s’occupent que de détec­tion. Nos sys­tèmes de détec­tion sont aus­si par­ti­c­ulière­ment per­for­mants : et il faut soulign­er que tous ne se valent pas, surtout dans la capac­ité à présen­ter les don­nées de manière sim­ple et rapi­de­ment exploitable. Le risque numéro un du client et de son SOC (Secu­ri­ty oper­a­tion cen­ter), c’est la noy­ade dans une masse de don­nées com­plex­es à traiter. C’est juste­ment ici que nous faisons la différence. 

Qu’est-ce qui, pour vous, dynamise le marché aujourd’hui ?

Aujourd’hui, très claire­ment, c’est la mise en con­for­mité des organ­i­sa­tions avec le volet cyber de la loi de pro­gram­ma­tion mil­i­taire. Dans la dernière loi, il y a un volet cyber très impor­tant dont l’exécution, en ter­mes régle­men­taires, est portée par l’ANSSI. Et ce volet cyber oblige les opéra­teurs d’importance vitale (OIV) à s’équiper de sys­tèmes de défense dans un cer­tain délai. Les opéra­teurs de ser­vices essen­tiels (OSE) doivent quant à eux ini­ti­er une démarche de cyber-pro­tec­tion. C’est ce marché que nous visons, sur la par­tie détec­tion de menaces.

À plus long terme, comment voyez-vous l’évolution du marché ?

Je prendrais la ques­tion d’un peu plus loin. Dans la cyber­sécu­rité telle que nous l’abordons, il y a deux prob­lé­ma­tiques. En pre­mier lieu, la pro­tec­tion périmétrique : par exem­ple con­stru­ire une ligne de défense qui sur­veille ce qui entre et ce qui sort d’un data cen­ter ou d’une par­tie d’un sys­tème d’information.

Il y a un deux­ième besoin : la pro­tec­tion des end points (ordi­na­teur portable, smart­phone, tablette, serveur, com­posant IOT, etc.), c’est-à-dire des équipements aux mains des util­isa­teurs ou accédés par eux. Ce sont les deux grands lieux de pro­tec­tion. Allen­tis s’intéresse à la pre­mière prob­lé­ma­tique : la pro­tec­tion périmétrique, au tra­vers des équipements de type NDR (Net­works detec­tion and response) qui sont branchés au niveau des réseaux et non dans les end points. 

L’évolution du marché, c’est peut-être une inté­gra­tion et une automa­ti­sa­tion de ces deux types d’équipements, même si cela est com­plexe à réalis­er. Nos sys­tèmes de détec­tion peu­vent repér­er un com­porte­ment anor­mal en périphérie ou dans le data cen­ter. À l’autre extrémité, les logi­ciels EDR auront pu détecter des événe­ments anor­maux ou agres­sifs sur les end points. 

L’objectif, c’est se pro­téger de cette men­ace ; par de bonnes pra­tiques d’urbanisme et de con­fig­u­ra­tion, puis en met­tant en place des règles dans les équipements de con­trôle d’accès et de flux (comme les pare-feu) afin de dimin­uer la sur­face d’attaque, ce qui revient à ôter aux attaquants des pos­si­bil­ités d’entrer dans le périmètre, et en troisième lieu par l’éducation des util­isa­teurs et la restric­tion des usages. Les équipements tels que nous les fab­riquons, et ceux que pro­duisent ceux de nos con­frères qui font des logi­ciels de pro­tec­tion des end point, peu­vent – cela se pra­tique déjà mais de manière lim­itée – pilot­er des équipements de type pare-feu pour mod­i­fi­er, enrichir leurs règles et ain­si opti­miser en qua­si temps réel les niveaux de pro­tec­tion. C’est une évo­lu­tion pos­si­ble, même si elle met en jeu des automa­ti­sa­tions dont on peut crain­dre les effets de bord.

À quels types d’attaques est-on confronté le plus souvent aujourd’hui et comment y répondre ?

Toute organ­i­sa­tion présente une sur­face d’attaque : elle laisse ouvertes des oppor­tu­nités d’être attaquée. Un des objec­tifs de la pro­tec­tion cyber, c’est évidem­ment de détecter les ten­ta­tives d’attaque, et de les par­er, mais au-delà de cet aspect, c’est aus­si de réfléchir à ce qui a per­mis à l’assaillant de ren­tr­er chez vous et de pren­dre des mesures pour réduire la sur­face d’attaque, en somme fer­mer des portes. Aujourd’hui la très grande majorité des attaques arrivent par les mails avec deux straté­gies : le phish­ing, l’objectif étant de chiffr­er ou de soutir­er vos don­nées, soit directe­ment sur votre poste, soit en se propageant dans votre organ­i­sa­tion. La deux­ième famille d’attaques, c’est le social engi­neer­ing, plus ori­en­té vers l’extraction d’informations.

Quelle est votre projection à l’international ? Est-ce que le marché français est dynamique ?

Nous tra­vail­lons au niveau inter­na­tion­al, à petite échelle. Nous avons 250 clients, et 10 % de notre chiffre d’affaires se fait à l’étranger. Mais le marché français est très por­teur, pour deux raisons. D’abord, grâce à l’ANSSI qui effectue un tra­vail extra­or­di­naire depuis dix ans pour dynamiser l’écosystème cyber français. Pour par­ler claire­ment, nous avons triplé de taille sur les qua­tre dernières années grâce à l’impulsion de l’ANSSI, grâce à la label­li­sa­tion, et à la dynami­sa­tion du marché qu’ils ont provo­quée. Le deux­ième point, c’est le prob­lème de la men­ace cyber en tant que telle, qui est un phénomène mas­sif et très médiatisé.

Les tech­niques d’attaque ne sont pas vrai­ment nou­velles, mais l’extension du numérique au niveau de la société, et donc des entre­pris­es et organ­i­sa­tions, aug­mente forte­ment la sur­face d’attaque glob­ale, qui devient colos­sale : tout le monde com­mu­nique par mails, et sou­vent de façon impru­dente. Cette sur­face d’attaque ayant con­sid­érable­ment aug­men­té, la crim­i­nal­ité organ­isée y a vu une opportunité.


En bref

Société fondée en 2011 four­nissant des solu­tions de sécu­rité et de per­for­mance des systèmes

19 employés répar­tis sur trois sites : Paris, Tours et Nîmes. ALLENTIS four­nit aux grandes entre­pris­es et admin­is­tra­tions des solu­tions d’analyse des flux de don­nées à des fins de sécu­rité, d’activité ou de performance.


Poster un commentaire