Interview de Claire Loffler, Sr Security Engineer @ Vectra
L’interview de Claire Loffler a été réalisée lors du FIC 2022 qui s’est tenu à Lille du 07 au 09 juin 2022
SDBR News : Quel est le métier de Vectra*?
Claire Loffler: Vectra est une entreprise américaine qui a été créée il y a 10 ans pour aider les entreprises à identifier des mouvements d’attaquants dans leurs réseaux. Les fondateurs de Vectra avaient identifié qu’il existait beaucoup de solutions pour éviter que des attaquants entrent sur un réseau (firewall, proxy, etc.) mais qu’il y avait assez peu de solutions pour aider à observer ce qui se passe une fois que l’intrusion a eu lieu, d’où la mise en place de Vectra. Vectra fonctionne un peu comme une caméra de surveillance dans une maison : observer les intrus et leur comportement une fois qu’ils ont réussi à entrer dans la maison et qu’ils se sentent en confiance. Avec le développement de la digitalisation et du télétravail, de plus en plus de personnes travaillent hors de l’entreprise, Vectra a donc également développé des outils de protection basés sur l’IA autour d’Office 365, en particulier autour des bases de connexion ou d’accès à des fichiers déportés au travers de « OneDrive » par exemple. Donc Vectra a maintenant la double casquette de supervision du réseau et de supervision dans le Cloud (IaaS, SaaS, PaaS...).
SDBR News : S’agit-il uniquement de produits soft?
Claire Loffler: Non, pas seulement. Les sondes de Vectra peuvent être virtuelles, Cloud ou bien physiques. Nos clients sont très diversifiés : nous avons des grands groupes avec plus de 500.000 IP et des PME de 500 IP. La prévention est absolument nécessaire car, selon IDC**, 57 % des organisations européennes ont subi une attaque par ransomware qui a bloqué l'accès à leurs systèmes en 2021. Une raison suffisante pour que la détection et l'arrêt des cyber-attaques deviennent une priorité essentielle pour tous. Le centre de sécurité traditionnellement axé sur l'héritage (SIEM et IDS) devient obsolète pour répondre aux cybermenaces modernes. L'analyste doit donc être équipé de fonctionnalités d'IA et de Machine Learning qui identifient le comportement associé à un risque, tandis que d'autres systèmes d'IA automatisent la plupart des tâches traditionnelles confiées au centre de sécurité. La transformation des SOC est essentielle à la cybersécurité actuelle et future, et Vectra AI offre les meilleures analyses de sa catégorie, conçues spécifiquement pour soutenir la transition, en détectant les adversaires sur n'importe quelle surface d'attaque et en neutralisant leurs attaques.
SDBR News : Quelle est votre actualité ?
Claire Loffler: Vectra a acquis la société Siriux Security Technologies, l'un des principaux fournisseurs de gestion automatisée de la posture de sécurité SaaS. Cette acquisition permet aux clients de Vectra de configurer de façon sécurisée et de détecter les risques existants dans les configurations des applications d'identité Cloud et SaaS, y compris Microsoft AzureAD et Microsoft 365. Siriux est un outil de scanning qui permet au client de déployer ce software sur le poste de travail et de lui donner des droits d’application. Notre outil, combiné à celui de Siriux, permet de minimiser la surface d’attaque sur M365 tout en gardant un œil sur le comportement des applications mises en place et des comptes utilisés par le client dans ses systèmes. Nous ne courrons pas après les vulnérabilités, comme certains autres acteurs du marché, car il y aura toujours des vulnérabilités « zero day » et, en faisant cela, vous êtes toujours en train de courir derrière la nouvelle porte dérobée. Nous partons du principe qu’il y aura toujours des portes dérobées nouvelles et nous sommes là pour agir sur les comportements suspects, y compris les déplacements latéraux, et réagir à cela.
SDBR News : Le produit Vectra n’est-il pas très intrusif ?
Claire Loffler: Non pas tellement. Contrairement à des solutions qui scannent tous les emails et tous les fichiers pour mettre en place une protection, Vectra regarde les actions mises en place sans descendre au niveau de la charge utile, sans regarder dans un paquet l’intérieur de chaque charge utile, contrairement à des solutions qui vont plus loin dans l’analyse. Et surtout Vectra ne fait pas de déchiffrement SSL, ce qui est essentiel en matière de protection de la vie privée. Nous analysons le profil de communication des flux chiffrés, mais sans procéder au déchiffrement.
SDBR News : L’actualité récente des cyber-menaces est-elle en train de donner raison à la stratégie de Vectra ?
Claire Loffler: La capacité à détecter rapidement et de manière fiable les mouvements latéraux qui s’opèrent au sein du réseau est l’un des enjeux les plus importants en matière de sécurité de l'information. Le mouvement latéral désigne les diverses techniques utilisées par les cyberattaquants pour se propager progressivement dans un système informatique à la recherche d'actifs et de données clés. L'attaque de Colonial Pipeline*** a impliqué de manière significative le mouvement latéral, démontrant l'importance de la question (avec des mouvements latéraux pour avoir accès au contrôleur de domaine, avec l’utilisation des partages réseaux pour déployer des ransomwares aux machines connectées... en utilisant du RDP, PSExec etc). Cette attaque n'était pas un incident isolé : presque toutes les violations majeures impliquent désormais l'utilisation d'une telle tactique et sa prévention et détection devraient être une priorité absolue pour les entreprises. Il semble clair qu’à l’avenir les mouvements latéraux continueront de revêtir une importance stratégique pour le succès global des cyberattaques. Et comme les attaquants s'améliorent dans des intrusions à la fois lentes et discrètes, leurs compétences en matière de mouvements latéraux évolueront et s'amélioreront avec le temps. Vectra est donc là pour relever ces défis.
** International Data Corporation IDC : https://www.idc.fr
*** https://fr.wikipedia.org/wiki/Cyberattaque_de_Colonial_Pipeline
A lire également: https://www.sdbrnews.com/sdbr-news-blog-fr/fic-2022nbsp-ldition-du-renouveau