"Les groupes de cyber-attaquants sont plus nombreux et plus actifs que jamais" nous dit David Grout de FireEye
/SDBRNews: Début 2020, sur le FIC à Lille, vous nous parliez du marché de la validation de sécurité. Pouvez-vous nous en dire plus ?
David Grout* : Ce marché a plusieurs noms ; c’est ce que le Gartner appelle le marché SIP (Security Instrumentation Platform). L’idée est d’avoir des technologies qui permettent de valider l’efficacité des outils de sécurité déployés dans un parc informatique. C’est un peu un système de système, permettant de répondre aux questions basiques auxquelles nous avons toujours du mal à répondre : suis-je couvert contre telle ou telle attaque ? Les outils que j’ai déployés font-ils le travail pour lequel je les ai achetés ? Ai-je investi aux bons endroits ? Etc. Nous nous sommes aperçus que les patrons des sociétés clientes de FireEye nous posaient régulièrement ces questions et, pour y répondre, que nous étions obligés de leur proposer des exercices de « Red Team » tous les 6 à 9 mois. Nous avons constaté que personne ne disposait d’un tableau de bord en continu permettant de valider ces questions.
SDBRNews : D’ailleurs, il semble que le sujet intéresse certaines start-up aujourd’hui…
David Grout : Sans doute mais, de part notre métier, nous allons être capables à travers notre logiciel et au-delà de la technologie en tant que telle de fournir les schémas d’attaques réels vus sur le terrain. Nous suivons des groupes de type APT** avec, par exemple, une surveillance de niveau 3 sur les groupes iraniens du fait de la géopolitique et du contexte récent ; je reçois une alerte mondiale demandant d’avoir une surveillance élargie sur ces groupes iraniens ; si je suis une entreprise travaillant de près ou de loin, géographiquement ou technologiquement, avec des intérêts iraniens (exemple le pétrole, le gaz ou l’aviation), je dois me poser la question suivante : est-ce que des groupes connus comme étant sponsorisés par l’Etat iranien (APT 33, 34, 35, 39), au travers des techniques qu’ils utilisent, sont capables d’entrer sur mon réseau ? La plateforme technologique « Verodin Security Instrumentation Platform» a comme objectif de jouer les scenarii d’attaques utilisés par ces groupes, en réel sur le réseau du client, pour valider l’efficacité de la protection.
SDBRNews : Vous simulez donc une attaque ?
David Grout : Non, nous ne simulons pas. Ce qui nous différencie du reste du marché c’est que nous jouons réellement l’attaque. Nous déployons chez le client une machine « victime » et une machine « attaquant », et nous jouons l’ensemble des scenarii évoqués entre l’attaquant et la victime. Notre objectif n’est pas de dire au client « ça a marché » ou bien « ça n’a pas marché ». L’objectif est d’établir une cartographie complète de la façon dont ont réagi chacune des technologies déployées chez le client : cela permet de valider l’efficacité de chacun des produits de sécurité et de guider le client dans l’amélioration de la configuration des outils dont il dispose déjà, en fonction de son contexte propre. Cette plateforme « Verodin Security Instrumentation Platform» permet d’acquérir, en continu, la certitude de son efficacité de sécurité. Nous pensons que le marché attendait cette évolution que nous offrons aujourd’hui (suite au rachat de Verodin en juillet 2019) et que c’est la réponse à l’empilement de technologies, sans certitude, que nous observons. Avec le test en continu que FireEye propose, le responsable de sécurité peut acquérir de la visibilité sur son organisation, en étant capable de se mesurer et d’évaluer l’efficacité de ses outils et de son architecture de sécurité.
SDBRNews : FireEye a racheté Cloud Visory le 17 janvier 2020. Dans quel but ?
David Grout : Nous avons racheté cette pépite technologique pour l’intégrer dans nos technologies existantes. Elle permet d’acquérir de la visibilité, de définir de la conformité et d’implémenter de la sécurité dans un environnement multi-Cloud. L’outil est Cloud agnostique, capable de travailler aussi bien sur les Clouds publics que sur les Clouds privés : par exemple, les entreprises du secteur de la Défense qui installent un Cloud privé pourront implémenter la technologie « in situ », sans être obligées de relayer sur une technologie Cloud. Avec cette technologie, le RSSI pourra avoir une visibilité complète sur tout ce qui se passe sur les Clouds : récupération des communications réseaux, des types d’utilisateurs, des configurations, etc. pour comprendre si le Cloud est bien sécurisé. Nous y appliquons toutes les règles de conformité pour savoir si notre système est conforme et, en cas de non-conformité, l’isolation est immédiate pour éviter une pandémie d’infection virale. Nous allons intégrer cette technologie dans notre plateforme Helix.
SDBRNews : Quel est l’état de la Menace ?
David Grout : La Menace est en constante croissance d’années en années : 2019 n’a pas dérogé à la règle et 2020 semble suivre cette tendance. En effet, les groupes d’attaque APT et FIN** sont plus nombreux et plus actifs que jamais. Ils combinent des techniques d’intrusion sur mesure à des outils du domaine public, généralement au cours de la même phase du cycle d’attaque. Si les secteurs ciblés et les motivations des attaquants ont peu changé, ces derniers ont considérablement diversifié leurs activités, notamment par l'introduction de nouvelles méthodes de monétisation des intrusions. Les équipes d’intervention doivent donc se préparer à affronter un plus grand nombre de cas de figure, connus et inconnus. La bonne nouvelle, c'est que les entreprises détectent et neutralisent plus rapidement les attaques. En 2019, la durée médiane d’implantation au niveau mondial a été de 56 jours, soit moins de deux mois, au lieu de 416 jours en 2011 ! Notons également que la plupart des victimes ont été alertées par une entité externe, après quatre années au cours desquelles les détections internes avaient été plus nombreuses.
David Grout est CTO EMEA @ FireEye
APT : Advanced Persistent Threat : https://www.fireeye.fr/current-threats/apt-groups.html
FIN : Financial Motivated Group