Anticiper les cybermenaces avec SEKOIA.IO intégrée dans la plateforme ThreatQ
/Yann Leborgne, Directeur Technique Europe chez ThreatQuotient et David Bizeul, CTO de Sekoia,
ont bien voulu répondre aux questions d’Alain Establier, rédacteur en chef de SDBR News
SDBR News : L’accord signé entre ThreatQuotient et Sekoia a révélé une entreprise que je ne connaissais pas. Pouvez-vous donc nous présenter Sekoia ?
David Bizeul : Créée en 2008, Sekoia a deux facettes. De 2008 à 2015, l’entreprise était uniquement orientée services et conseils : gestion de crise, accompagnement de grands comptes, réponses à incidents, etc. En 2016, nous avons pris un virage et nous sommes devenus une «deeptech*» française spécialiste de l’anticipation des menaces cyber et éditeur de logiciel. Pendant quatre ans, nous avons développé en R&D une solution baptisée SEKOIA.IO avec une threat intelligence embarquée pour devenir une plateforme moderne de cybersécurité. Grace à cette threat intelligence embarquée, la solution SEKOIA.IO anticipe et détecte les menaces cyber et automatise des réponses ajustées, que peuvent récupérer ensuite sous forme de flux des grands comptes (en direct) ou bien des partenaires technologiques comme ThreatQuotient.
SDBR News : Quand avez-vous commencé à commercialiser votre solution ?
David Bizeul : Nous avons commencé à commercialiser SEKOIA.IO en mode SaaS en janvier 2020. La solution s’adapte à tous les environnements technologiques et détecte et analyse chaque mois environ un milliard d'événements. Nous sommes un acteur nouveau sur ce segment mais nous avons des éléments différenciateurs par rapport à d’autres acteurs de cette technologie. Nous nous appuyons à la fois sur des experts de la threat intelligence - pour confirmer, analyser et donner des pistes - et sur la technologie pour accélérer au maximum la collecte et le traitement de l’information. Cette approche combinée va créer de la matière qui va être délivrée sous plusieurs angles : du technique au stratégique, du code malveillant à la cible industrielle ou autre. Nous disposons d’une équipe interne d’une dizaine d’analystes en charge d’investigations manuelles, d’analyse du contexte et de la création de nouveaux trackers. La relation contextuelle amène une meilleure protection du système d’information. Nous produisons pour les responsables de la chaine Cyber des graphes de données qui superposent des objets reliés ensemble qui forment une base de connaissance pour une meilleure protection et anticipation de nos clients et partenaires.
SDBR News : Mais je pensais que ThreatQuotient faisait déjà tout cela ?
Yann Leborgne : ThreatQuotient fait en effet cela chez nos clients, à partir de plusieurs sources d’information, dans un but d’opérationnalisation. La mission de ThreatQuotient est d’améliorer l’efficacité et l’efficience des opérations de sécurité grâce à une plateforme centrée sur la menace. En intégrant les processus et technologies existants d’une organisation dans une architecture de sécurité unique, ThreatQuotient accélère et simplifie les investigations et la collaboration au sein des équipes et des outils entre eux, en supportant la réponse aux incidents, le Threat hunting et en servant de plateforme de renseignement sur les menaces. Grâce à l’automatisation, la priorisation et la visualisation, les solutions ThreatQuotient réduisent le bruit et mettent en évidence les menaces prioritaires afin de mieux cibler les ressources limitées et de confirmer les décisions.
SDBR News : Alors pourquoi ce partenariat avec Sekoia ?
Yann Leborgne : Il s’agit d’une intégration technologique avec la disponibilité du connecteur SEKOIA.IO sur la plateforme ThreatQ. Ce partenariat a pour but d’intégrer une source supplémentaire de threat intelligence, car nous sommes agnostiques en termes de sources de threat Intelligence. Nous ne sommes pas juges de qui est le meilleur sur le marché dans ce domaine, car notre objectif est de donner à nos clients, chez eux, la meilleure pratique possible de la threat intelligence. Pour faire cela ils ont besoin de sources de données diversifiées. Nous nous sommes rapprochés de Sekoia car leur solution représente pour notre plateforme des données extrêmement bien structurées et un flux facilement mis en place chez nos clients pour se mélanger avec leurs autres flux de données. En outre, Sekoia nous apporte un focus européen sur le renseignement de la menace cyber hautement qualifié pour les infrastructures critiques, les OIVs (opérateur d’importance vitale) et les SOCs européens auxquels s’adressent ThreatQuotient : Sekoia apporte des informations françaises ce qui est attractif pour nos clients OIVs. En outre, la structure et la qualité de l’information apportée permettent un traitement, une analyse et une modélisation plus faciles dans le système du client. Notre objectif commun est d’aider les entreprises dans leur stratégie de cyber threat intelligence (CTI) pour leur permettre d’exploiter un renseignement contextualisé. Ce qui nous a beaucoup intéressés chez Sekoia, c'est le travail effectué sur le renseignement et la forte valeur ajoutée apportée par le travail de contextualisation, notamment au travers des rapports stratégiques FLINT (Intelligence Flash Report). La force de Sekoia réside également dans le fait que le renseignement sur la menace est créé à mesure que les hackers avancent et qu’il est distribué dans le flux avant même qu’une menace ne soit repérée.
SDBR News : Comment pouvez-vous informer d’une menace non encore repérée ?
David Bizeul : Nous avons conçu la threat intelligence Sekoia pour être à la fois exhaustive et hyper spécifique. Exhaustive, car nous modélisons une très grosse partie de l’actualité cyber que nous structurons en graphes de données et nous y rajoutons nos propres analyses. Spécifique, car nos trackers collectent des indicateurs associés aux outils d’avant-garde des attaquants. Une représentation simplifiée de la force du « feed » SEKOIA.IO résiderait dans une image, celle d’un tracker GPS placé sous une voiture : les équipes de Sekoia suivent les moindres mouvements des groupes d’attaquants à mesure qu’ils avancent et qu’ils créent leurs empreintes sur internet, ce qui permet une capture en temps réel de leurs mouvements. Cette information récoltée est ensuite distribuée dans le flux accessible pour les clients de ThreatQuotient, qui devient un outil tout-en-un répertoriant à la fois des indicateurs techniques et opérationnels. La particularité de ce flux est qu’il permet à des profils analystes comme managériaux de pouvoir consommer la threat intelligence avec leurs objectifs propres. Si les acteurs savent opérationnaliser leurs renseignements, ils peuvent aller jusqu’à se protéger avant même que ces points d’indicateurs ne deviennent des concrétisations de menaces.
Yann Leborgne : La structure de données de Sekoia présente les activités des groupes cybercriminels sous de multiples facettes. Cela offre à la fois la capacité d’anticiper et d’opérationnaliser la chaîne cyber dans ThreatQ aux responsables de SOCs ou directeurs de CERTs et de disposer de renseignements stratégiques pour aider les équipes de management dans la prise de décisions.
SDBR News : L’accord signé en février 2021 précède t-il un accord capitalistique entre ThreatQuotient et Sekoia ?
Yann Leborgne : Non pas du tout. Il s’agit d’un partenariat technologique qui dit que ThreatQuotient est capable d’ingérer le flux de données Sekoia en conservant la qualité de leur information pour nos clients. Le partenariat technologique n’est pas limité à certains pays ; il est utilisable partout dans le monde. Nous sommes agnostiques sur les flux d’informations et nous ne sommes pas revendeur de flux de données, nos clients restant libres de choisir les flux qu’ils souhaitent. Pour ThreatQuotient France, il est intéressant de pouvoir intégrer des flux français et européens, car ce sont souvent ceux qui intéressent les clients qui souhaitent pouvoir échapper aux grands acteurs américains de ce marché. Notre partenariat est déjà opérationnel chez des clients de secteurs d’infrastructures critiques.
SEKOIA et ThreatQuotient organisent un webinar le 9 mars 2021 à 10h pour une démonstration sur les enseignements tirés des récentes attaques de ransomware telles que Ryuk, Maze et Egregor:
* deeptech : D’après BPI France, le terme désigne toujours les startups qui proposent des produits ou des services sur la base d’innovations de rupture.
https://threatquotient.com https://www.sekoia.io/fr
Crédits photos: ThreatQuotient, Sekoia