Security Defense Business Review

View Original

Interview de Pierre-Antoine Failly-Crawford - Varonis

Alain Establier

L’Interview de Pierre-Antoine Failly-Crawford a été réalisée lors des dernières Assises de la Cybersécurité.

SDBR News : Quelle est votre mission* chez Varonis ?

Pierre-Antoine Failly-Crawford : Après un passage chez Sopra Steria, Capgemini puis chez Orange Cyberdéfense, où je faisais des tests d’intrusion et du cyber offensif, j’ai décidé il y a 5 ans de passer du côté défensif en organisant l’équipe de réponse à incident chez Varonis. Le but est d’offrir à tous les clients de Varonis la possibilité d’identifier les risques et les menaces, et de les aider à y répondre. De manière générale, nous constatons un déficit, soit de connaissances soit d’outils, chez les prospects, qui ont du mal à détecter efficacement des anomalies ou à gérer un incident de sécurité. Nous les aidons donc proactivement à construire et dérouler leurs procédures de levée de doute pour qu’ils puissent protéger efficacement leurs données.

SDBR News : Qu’est-ce qu’une équipe de réponse à incidents ?

Pierre-Antoine Failly-Crawford : Nous mettons à disposition une ressource dédiée pour chaque client, dans l’optique de l’aider à augmenter sa résilience en matière de sécurité, construire et partager les procédures de levée de doute lors d’une investigation, afin que les différentes équipes de la sécurité opérationnelle puissent être autonomes lors de la gestion d’un incident de sécurité. Dès qu’un incident avéré se produit, notre équipe se joint aux forces en présence du côté de celle du client, afin d’analyser la profondeur de compromission, les différentes identités et machines compromises, les techniques et outils utilisés, le patient zéro et la cause première de l’incident. Cela permet d’aider efficacement à contenir l’incident, le maitriser pour ensuite faire une analyse post-mortem des écarts constatés. Nous avons 4000 clients dans le monde entier, dans des secteurs d’activités différents, aussi bien publics que privés, et nous avons donc de nombreuses ressources réparties dans plusieurs pays pour pouvoir délivrer cet accompagnement. Vu le succès de notre soutien, Varonis a décidé début 2024 de le commercialiser au travers d’une offre de service managé : https://www.varonis.com/products/mddr

SDBR News : Quel est le métier de base de Varonis?

Pierre-Antoine Failly-Crawford : Varonis permet de protéger les données d’une société, quel que soit l’endroit où celles-ci se situent (localement, chez un prestataire cloud ou en SaaS) et la manière dont elles sont stockées (non-structurée, semi-structurée, structurée). Pour y arriver, nous analysons la typologie de chaque donnée afin d’identifier si celle-ci est sensible ou non. Disposer d’un inventaire des données sensibles d’une organisation est important, mais n’est utile que s’il est exploitable. Varonis analyse donc les permissions effectives sur chacune de ces données afin d’en extraire un risque de surexposition. Cet inventaire alliant sensibilité d’un fichier et risque, permet désormais de mettre un lumière la surface d’attaque et de la corriger automatiquement. En parallèle, toutes les actions sur ces entrepôts de données et sur le référentiel d’identité (Active Directory, Entra Id, etc.) sont conservées afin de nourrir notre moteur de détection comportemental : c’est ainsi que peuvent être identifiées des anomalies provenant de menaces internes ou externes. Dans le service managé que nous proposons, nous avons entrainé une IA qui s’occupe du triage automatique des alertes, tout comme le ferait un analyste à plein temps.

SDBR News : Quel est le ratio entre les faux positifs (fausses alertes) et les vraies menaces?

Pierre-Antoine Failly-Crawford : En moyenne, nous constatons une centaine de millions d’évènements quotidiens par société. Grâce à notre moteur de machine learning, qui dresse un profil comportemental par identité, nous obtenons par semaine entre 50 et 100 alertes à traiter. Après le triage automatique, il en restera environ 25% à investiguer manuellement. Cela est possible car, pendant 5 ans, nous avons appris empiriquement à la machine, sur un certain nombre d’exemples, toutes les investigations effectuées et les résultats de levées de doutes obtenus, permettant au moteur de faire une différence claire entre du bruit et un réel incident de sécurité. Moteur que nous continuons inlassablement à faire évoluer : nouveaux environnements, évolutions des technologies et des infrastructures, etc. Nous sommes donc dans un processus d’amélioration continue de cet agent.

SDBR News : Quel constat faites-vous sur la Menace cyber en 2024 ?

Pierre-Antoine Failly-Crawford : Nous avons, d’une manière générale, une tendance à la décroissance des attaques, particulièrement des ransomwares, par rapport à ce que nous avons vécu sur les dernières années. Je pense que plusieurs facteurs entrent en jeu sur cette observation :

  • Les autorités et les forces de l’ordre arrivent, grâce à une action internationale coordonnée, à mieux appréhender les groupes, dans des délais plus courts et dans des zones plus reculées du globe : on l’a vu avec l’opérateur Emotet en 2021, ou plus récemment en 2024 avec LockBit. Même si démanteler un opérateur n’empêche pas sa réincarnation ultérieure, cela porte un coup d’arrêt éphémère aux opérations, comme on l’a constaté avec LockBit par exemple, qui s’est réactivé quelques mois plus tard…

  • Des conflits comme l’Ukraine ou le Moyen-Orient qui accaparent certains acteurs…

  • Et des événements comme les JO de Paris qui ont mobilisé beaucoup de cyberdéfense.

Concernant nos clients se reposant sur notre plateforme en SaaS pour sécuriser leurs données, nous pouvons dire que, depuis le début de 2024, nous n’avons relevé aucune attaque de type ransomware.

 * Pierre-Antoine Failly-Crawford est responsable de l’équipe CSIRT chez Varonis