Interview de Samuel Hassine, Director Security Strategy & Operations @ Tanium
L’interview de Samuel Hassine, Director Security Strategy & Operations @ Tanium, a été réalisée lors des 20èmes Assises de la Cybersécurité qui se sont déroulées du 14 au 16 octobre 2020 à Monaco
SDBR News : Pour les néophytes, Tanium est une société méconnue. Pouvez-vous nous raconter son histoire ?
Samuel Hassine : Tanium est née en 2007. Les fondateurs, un père et son fils, David et Orion Hindawi, se sont donnés pour mission de fournir aux plus grandes organisations du monde les moyens de gérer et protéger leurs réseaux informatiques. C'est ce point très précis qui a conduit en 2010 à la création de la plateforme Tanium, plateforme de visibilité et sécurisation des « endpoints » de l’entreprise. Le but est de pouvoir avoir une visibilité en temps réel du parc de postes de travail et serveurs et pouvoir y appliquer les basiques (est-ce que tous les postes ont été patches, y a-t-il du «shadow IT» sur mon réseau, etc.) mais aussi des cas d’usage avancés (Forensics, détection, etc.). La particularité de la plateforme Tanium est d’être extensible, ce qui donne beaucoup de flexibilité à nos clients qui ont des réseaux d’information extrêmement complexes, étendus et hétérogènes.
SDBR News : Considérez-vous qu’il y a eu en 2020 une recrudescence des menaces informatiques ?
Samuel Hassine : Je ne parlerais pas de recrudescence mais plutôt de concentration et d’organisation des attaques. On entend beaucoup parler de ransomware, mais ce n’est pas une menace nouvelle. Par contre, nous avons affaire à des attaques hyper-ciblées et à un cybercrime qui globalement s’organise et rationalise ses activités. Nous voyons apparaître des groupes de cybercriminels qui sont au niveau de maturité de certains états ou d’initiateurs d’APT qu’on voyait auparavant, parce qu’ils sont préparés, formés, structurés et financés. Là est le problème. Prenez l’exemple de l’attaque subie par Asco en 2019 : les cybercriminels l’ont lancé deux mois après le feu vert donné par la Commission Européenne concernant son acquisition par Spirit Aerosystems, ce qui a largement retardé les opérations financières de cette fusion. Les premiers systèmes ciblés dans cette attaque étaient la partie « métier et comptabilité » : cela dénote un bon niveau d’organisation et surtout une phase de reconnaissance préalable non négligeable de la part des attaquants.
SDBR News : A propos de financement des groupes criminels, le ciblage demande des moyens importants. Pensez-vous qu’on puisse parler de croissance organique des organisations criminelles ?
Samuel Hassine : Absolument ! Malheureusement beaucoup d’entreprises (via leur assurance principalement) paient les rançons demandées, donc les criminels peuvent faire de la croissance et autofinancer leurs opérations ciblées. Comme leurs opérations sont profitables, ils n’ont aucune raison de s’arrêter… L’ANSSI a toujours recommandé de ne pas céder au chantage, mais certaines entreprises victimes qui paient écoutent leurs assureurs. Les assureurs ont tendance à encourager les entreprises à payer la rançon plutôt que d’avoir à indemniser la reconstruction du système informatique : ils font un arbitrage risque/coût. Il se dit que, sur les réseaux sociaux, des cybercriminels se considèreraient comme des collègues d’un même business avec les experts des assureurs…
SDBR News : Si les victimes cèdent au chantage, n’est-ce pas aussi parce qu’elles peinent à être protégées ?
Samuel Hassine : Payer est une solution de facilité et on parle souvent des attaquants, mais cela ne veut pas dire que l’écosystème de défense ne s’organise pas en face des attaquants : cela a été le cas notamment face au malware Emotet, né en 2014 mais considéré comme le plus actif en 2019. L’ANSSI partage des éléments de connaissance, la communauté s’organise et des entreprises s’organisent entre elles, avec des forums d’échanges ou des consortiums de partage des indicateurs de compromission. C’est une tendance nouvelle car auparavant les entreprises ne disaient pas qu’elles avaient été attaquées; aujourd’hui, à l’intérieur de certains secteurs d’activité bien organisés (par exemple le secteur bancaire ou l’énergie), le partage d’information est automatique. Dans le même sens, l’ANSSI a encouragé la création du groupe InterCERT-FR qui réunit un ensemble d’organismes ayant des activités d’IRT (Incident Response Team) sur le territoire français. L’objectif premier du groupe est de renforcer la capacité de chaque membre à détecter et à traiter les incidents de sécurité impactant sa communauté. L’échange d’expérience et le partage d’informations pertinentes sont les deux principales missions concourant à la réalisation de cet objectif. https://www.cert.ssi.gouv.fr/csirt/intercert-fr
SDBR News : Vous êtes le co-créateur du projet Open CTI. De quoi est-il question ?
Samuel Hassine : Lorsque je travaillais à l’ANSSI, j’ai en effet démarré un projet open source dans lequel je continue de m’investir depuis que j’ai rejoint Tanium. Il s’agit d’une plateforme que les organisations peuvent déployer on-premise ou dans le cloud et qui permet de gérer l’ensemble des données relatives aux cybermenaces : les indicateurs de compromission, les observables, les groupes d’attaquants, etc. OpenCTI (Open Cyber Threat Intelligence) permet d’analyser et de comprendre la menace : https://www.opencti.io. Les éditeurs de threat intelligence vendent du flux, pas réellement une plateforme. OpenCTI est une plateforme qui est vide de base et dans laquelle vous versez des données qui viennent des éditeurs ou des fournisseurs de votre choix ; la plateforme agrège tout. Autour de ce projet commencent à se greffer des acteurs publics et privés pour développer cette plateforme et créer des synergies entre différents acteurs. On ne fait jamais rien tout seul ; c’est ce qui m’a inspiré pour lancer cette plateforme.
SDBR News : Et c’est ce qui vous a fait entrer chez Tanium ?
Samuel Hassine : Oui car Tanium permet à la fois de suivre en temps réel les questions de sécurité du parc et de pouvoir rechercher dans le passé d’éventuelles anomalies que les systèmes de protection auraient laissé passer par manque d’information. Exemple : rechercher dans le parc si le malware Emotet n’est pas caché quelque part dans le parc (threat hunting). Tanium est un excellent outil pour obtenir une visibilité complète et temps réel de l’environnement informatique d’une entreprise. Dans les prochaines années, on peut imaginer que Tanium rende cette image de l’environnement utilisable à tous les niveaux de l’entreprise pour donner une évaluation globale du risque. Passer d’une utilisation très technique de la plateforme à une utilisation d’évaluation des vulnérabilités critiques pour aller vers une visibilité globale du risque de l’entreprise.
Crédit photo: Tanium