Rechercher
Rechercher

Mieux investiguer la menace cyber pour mieux la détecter et y répondre

Vie des Entreprises
Dossier : Vie des entreprisesMagazine N°795 Mai 2024Par François KHOURBIGA (E19)

Après avoir évo­lué pen­dant plus de 20 ans dans le monde de la cyber­sé­cu­ri­té, notam­ment au sein de l’ANSSI, Fran­çois Khour­bi­ga (E19) a créé la start-up Defants. Avec sa pla­te­forme de Threat Inves­ti­ga­tion, Defants, recon­nue comme Cool Ven­dor pour les Modern SoC par le pres­ti­gieux Gart­ner, contri­bue à opti­mi­ser la détec­tion et la réponse à la menace. Explications.

Au cours des dernières années, la cybersécurité est devenue un enjeu stratégique pour les entreprises. Qu’avez-vous pu observer à votre niveau ?

Au cours des 20 der­nières années, nous avons pu obser­ver une amé­lio­ra­tion notable des outils et des pro­ces­sus liés à la détec­tion et la réponse aux menaces. Néan­moins, dans les pro­ces­sus de défense ou d’anticipation de la menace, nous avons aus­si eu ten­dance à occul­ter l’étape d’investigation. À par­tir du moment où une menace connue est détec­tée, la chaîne d’automatisation de réponse va s’enclencher pour avoir une réac­tion immé­diate. Or toute détec­tion néces­site ou implique une phase d’investigation afin de mieux cer­ner la menace et d’apporter la meilleure réponse à un inci­dent de sécu­ri­té, quel que soit son niveau de cri­ti­ci­té. Pour gérer ce risque cyber, les entre­prises doivent non seule­ment détec­ter les menaces, mais éga­le­ment mener un tra­vail d’investigation pour y répondre de la manière la plus effi­cace possible.

Sur la chaîne de valeur de la cybersécurité, où se situe Defants ?

Pour pro­té­ger les orga­ni­sa­tions, la chaîne de valeur de la cyber­sé­cu­ri­té couvre plu­sieurs dimen­sions : la pré­ven­tion, la détec­tion, l’investigation, la réponse et la remé­dia­tion. Aucune détec­tion ne peut être réa­li­sée s’il n’y a pas eu une phase d’investigation et aucune réponse à une menace émer­gente ne peut être opti­male sans un tra­vail d’investigation. Dans cette chaîne de valeur, Defants, acteur de la Threat Inves­ti­ga­tion, se posi­tionne entre la phase de détec­tion et celle de la réponse. Concrè­te­ment, nous appor­tons l’investigation qui est néces­saire après une détec­tion et indis­pen­sable à la réponse.

Plus par­ti­cu­liè­re­ment, Defants est un édi­teur de logi­ciel dédié à la cyber­sé­cu­ri­té qui a vu le jour en 2021. En juin 2022, nous avons inté­gré l’incubateur dédié à la cyber­sé­cu­ri­té ? Cyber Boos­ter. À l’issue de cette incu­ba­tion, nous avons fina­li­sé un pre­mier tour de table en pré-seed qui nous a per­mis de lever 2 mil­lions d’euros pour déve­lop­per notre acti­vi­té com­mer­ciale. Aujourd’hui, l’équipe de Defants est com­po­sée d’une ving­taine de per­sonnes, dont la majo­ri­té a un pro­fil d’ingénieurs.

Concrè­te­ment, Defants pro­pose une pla­te­forme de Threat Inves­ti­ga­tion qui a été conçue en col­la­bo­ra­tion avec les équipes SoC et les experts de la réponse inci­dent. Avec notre solu­tion, nous nous adres­sons aux SoC, les Centres Opé­ra­tion­nels de Sécu­ri­té, qu’on retrouve au sein des grandes entre­prises et qui ont un cer­tain niveau de matu­ri­té en termes de cyber­sé­cu­ri­té, et aux Com­pu­ter Emer­gen­cy Res­ponse Team (CERT) des pres­ta­taires de cyber­sé­cu­ri­té. Ces orga­ni­sa­tions regroupent des équipes, des pro­cess et des outils afin de pou­voir réa­li­ser la détec­tion et la réponse.

Defants leur apporte la com­po­sante inves­ti­ga­tion aus­si bien sur un plan tech­no­lo­gique que métho­do­lo­gique pour amé­lio­rer leur effi­ca­ci­té et garan­tir un plus haut niveau de pro­tec­tion à leur entre­prise ou client.
Gart­ner a, par ailleurs, recon­nu Defants comme un « Cool Ven­dor 2023 » et je suis convain­cu que cette recon­nais­sance est une marque de qua­li­té pour notre pla­te­forme envers les Modern SoC.

Le caractère innovant de votre proposition de valeur repose sur votre technologie propriétaire qui vous permet de proposer un outil d’investigation sémantique. En quoi cette approche est-elle différenciante ?

Aujourd’hui, un atta­quant dis­pose d’un avan­tage stra­té­gique : il lui suf­fit de trou­ver une vul­né­ra­bi­li­té pour mener son opé­ra­tion. À par­tir de là, les entre­prises doivent mul­ti­plier leurs efforts, leurs res­sources, et dis­po­ser des bons indi­ca­teurs de com­pro­mis­sion au bon moment pour espé­rer détec­ter et réagir à ces attaques.
Selon l’état de l’art actuel, les entre­prises ont prin­ci­pa­le­ment deux façons de faire. Tout d’abord, la recherche de signa­tures qui a voca­tion à iden­ti­fier des outils poten­tiels de l’attaquant ou des recherches sta­tis­tiques pour iden­ti­fier des ano­ma­lies. Cela implique d’avoir connais­sance ou d’avoir trou­vé un outil de l’attaquant. Cette démarche devient tota­le­ment obso­lète quand un atta­quant change ses outils et donc de signa­ture. La seconde démarche consiste, quant à elle, à détec­ter les ano­ma­lies et, à par­tir de là, de pou­voir déter­mi­ner avec finesse s’il s’agit d’une acti­vi­té légi­time ou d’une acti­vi­té suspecte.

Defants a choi­si de construire sa tech­no­lo­gie autour de l’investigation séman­tique. En effet, les atta­quants emploient des tac­tiques, des tech­niques et des pro­cé­dures qui reposent sur la même approche séman­tique. Notre tech­no­lo­gie per­met d’ingérer auto­ma­ti­que­ment les don­nées brutes pré­le­vées sur des ordi­na­teurs pour les tra­duire en un graphe séman­tique qui va racon­ter l’histoire des sys­tèmes d’information, où chaque élé­ment tech­nique de l’investigation est repré­sen­té par des nœuds (des sujets ou des com­plé­ments d’objet) qui sont reliés par un lien (un verbe).

Cette sim­pli­fi­ca­tion nous per­met d’appliquer des modèles mathé­ma­tiques, notam­ment issus de la théo­rie des graphes, mais aus­si des méthodes de Natu­ral Lan­guage Pro­ces­sing, pour géné­rer des cha­pitres de rap­port, et à terme des rap­ports com­plets, ou encore, tra­duire des ques­tions humaines en requêtes com­plexes pour aider les ana­lystes à iden­ti­fier les constantes séman­tiques des attaquants.
L’investigation séman­tique per­met ain­si d’identifier faci­le­ment des constantes séman­tiques et per­met aux défen­seurs d’obtenir un avan­tage asy­mé­trique. Notre solu­tion intègre déjà des ensembles de règles séman­tiques pour iden­ti­fier cer­taines de ces constantes, en se basant sur le Fra­me­work MITRE®. Au-delà, cette approche d’investigation séman­tique réduit consi­dé­ra­ble­ment la charge de tra­vail des défen­seurs et aug­mente en retour la charge des acteurs de la menace, qui doivent modi­fier chaque élé­ment séman­tique de leurs tactiques.

Concrètement, comment fonctionne votre solution ? Quelles en sont les principales fonctionnalités ?

Notre pla­te­forme a prin­ci­pa­le­ment trois atouts majeurs. D’abord, l’automatisation. Notre pla­te­forme per­met ain­si à un SoC de faire de l’investigation sur les menaces détec­tées pour y appor­ter une réponse effi­cace. Dans cette démarche, nous met­tons à leur dis­po­si­tion de nou­velles don­nées que les SoC n’exploitaient pas, des don­nées d’investigation numé­rique dites Digi­tal Foren­sic Data. Ces don­nées, col­lec­tées via des agents de détec­tion et de réponse (End­point Detec­tion and Res­ponse – EDR) déjà en place, vont être auto­ma­ti­que­ment trai­tées par la pla­te­forme pour construire visuel­le­ment un graphe de l’activité qui est liée à l’alerte en cours de traitement.

Notre pla­te­forme apporte aus­si une dimen­sion col­la­bo­ra­tive très inté­res­sante dans un contexte où il y a une réelle pénu­rie des talents dans le domaine de la cyber­sé­cu­ri­té et où les équipes de SOC et CERT peuvent être dis­so­ciées. Afin de per­mettre une meilleure ratio­na­li­sa­tion des res­sources, notre pla­te­forme faci­lite la col­la­bo­ra­tion entre les équipes en temps réel. Il va ain­si être pos­sible d’éditer à plu­sieurs une inves­ti­ga­tion, de l’annoter, de par­ta­ger de l’information afin d’optimiser la réponse qui sera appor­tée à une menace.

Le der­nier avan­tage de la pla­te­forme concerne sa capa­ci­té à s’intégrer et à s’interconnecter avec l’écosystème exis­tant. Dans ce cadre, nous tra­vaillons avec des start-up qui sont en pointe en matière de cyber­sé­cu­ri­té, comme Glimps ou Har­fan­gLab, et plus récem­ment Sekoia.io, afin de com­bi­ner les capa­ci­tés de l’investigation numé­rique à de l’analyse de fichier, de la col­lecte auto­ma­ti­sée de don­nées ou de l’enrichissement des bases de Threat Intelligence.

Comment résumeriez-vous ses forces et sa valeur ajoutée ?

Notre pla­te­forme d’investigation est le fruit d’un tra­vail col­la­bo­ra­tif avec des équipes spé­cia­li­sées dans la réponse aux inci­dents ce qui lui per­met de faire le lien entre les enjeux de détec­tion et de réponse afin d’en maxi­mi­ser le poten­tiel. Au-delà, elle peut très faci­le­ment être déployée, ce qui per­met d’aller encore plus loin en termes de détec­tion et de réponse. En com­pa­rai­son aux autres solu­tions sur le mar­ché, nous sommes en mesure d’onboarder des pro­fils, notam­ment juniors, jusqu’à cinq fois plus vite, car nous rédui­sons le nombre d’outils qu’ils doivent uti­li­ser et maî­tri­ser tout au long de leur formation.

Nous avons éga­le­ment pu mesu­rer des gains signi­fi­ca­tifs en matière d’efficacité d’investigation avec nos clients. Par rap­port à des pro­cess tra­di­tion­nels, notre pla­te­forme per­met d’aller jusqu’à trois fois plus vite dans l’investigation de menaces. C’est une métrique par­ti­cu­liè­re­ment impor­tante pour des équipes de SoC qui sont ame­nées à trai­ter des volumes très impor­tants de don­nées et rapi­de­ment. Nous avons aus­si mesu­ré un gain de pro­duc­ti­vi­té pou­vant atteindre jusqu’à 30 % grâce à la dimen­sion col­la­bo­ra­tive. En effet, en matière de ges­tion du risque, les entre­prises doivent pou­voir contex­tua­li­ser une menace. Le fait de pou­voir faire col­la­bo­rer à la fois les équipes tech­niques et le client en leur per­met­tant de contex­tua­li­ser, d’enrichir l’investigation au tra­vers de son acti­vi­té éco­no­mique per­met d’améliorer la pro­duc­ti­vi­té sur les inves­ti­ga­tions et d’apporter d’une réponse beau­coup plus per­ti­nente lors de la détec­tion de ces menaces.

Et aujourd’hui, sur ce marché, comment vous projetez-vous ?

Alors que la menace cyber est en constante aug­men­ta­tion, l’enjeu est de mettre à dis­po­si­tion des entre­prises et de leurs par­te­naires des outils faciles et adap­ter à tous pour détec­ter, inves­ti­guer et répondre à des inci­dents. Dans cet uni­vers, Defants ambi­tionne d’apporter une capa­ci­té d’investigation de la menace plus proac­tive, inté­grée dans les SoC, et qui s’aligne avec les com­po­santes de détec­tion et de réponse, afin de don­ner aux défen­deurs et aux entre­prises les moyens d’être plus rési­lients face à la cyber­me­nace. Nous sommes fiers d’être par­mi les pre­miers à offrir une solu­tion concrète aux entre­prises pour adop­ter cette approche, décrite par Gart­ner comme TDIR (Threat Detec­tion Inves­ti­ga­tion and Response).



Articles similaires :

Default Thumbnail« La cyber­sé­cu­ri­té est un enjeu stra­té­gique, mais ne doit pas être un frein à la trans­for­ma­tion digitale » Sto­cker, fia­bi­li­ser, sécu­ri­ser et valo­ri­ser vos don­nées !dat ANSSI : « La cyber­sé­cu­ri­té est un éco­sys­tème en pleine expansion » EsetUn expert euro­péen de la cyber­sé­cu­ri­té au rayon­ne­ment international SAP accom­pagne et sécu­rise le déploie­ment des nou­velles tech­no­lo­gies au ser­vice de ses clients

Poster un commentaire