A l'occasion du FIC 2020, Cyrille Badeau de Threat Quotient et Julien Menissez d'Airbus CyberSecurity ont accepté de nous parler de leur actualité commune
SDBRNews : Threat Quotient a noué un partenariat avec Airbus CyberSecurity. De quoi s’agit-il ?
Cyrille Badeau : Il s’agit d’un partenariat gagnant-gagnant qui est l’aboutissement des conversations que nous avons ensemble depuis quelques années. Au début de l’aventure ThreatQuotient, nous avons expliqué aux équipes d’Airbus CyberSecurity ce que nous voulions faire. Le produit avait de l’intérêt pour leurs usages mais il n’était pas assez robuste pour qu’il soit adopté. Cependant ils ont observé avec attention nos progrès dans une communication très ouverte sur notre tableau de marche. Il y a eu plusieurs étapes pendant 4 ans et, aujourd’hui, il s’agit bien d’un partenariat technologique et commercial. Airbus CyberSecurity a une présence en France, en Espagne, en Angleterre et en Allemagne ce qui nous donnera la possibilité de rayonner dans ces pays avec le même ADN. Nous sommes extrêmement fiers de ce partenariat avec Airbus.
Julien Menissez * : Depuis 2011, notre service de renseignement sur la Menace travaille de manière très étroite avec nos équipes de « réponse à incidents », nos clients nous demandant souvent de dépêcher chez eux des experts en cas d’attaques pour tenter de déterminer à qui attribuer telle ou telle attaque. Nous avions besoin d’indicateurs techniques, d’indicateurs de comportements, de bases de connaissances et de références. Nous avons donc rapidement commencé à faire de la « Threat Intelligence » et de la modélisation des attaquants, pour proposer à nos clients un rapport leur permettant de situer les attaques : en provenance probable de telle ou telle zone, avec des groupes d’attaquants de tels ou tels types, etc. A cette époque, certains de nos clients avaient leur propre SOC et nous leur proposions des prestations de services ou d’intégration. Comme nous n’avions pas de produit spécifique, nous avons commencé à travailler en threat intelligence au profit de leur SOC et non plus au profit de la réponse à incidents.
SDBRNews : Quelle différence faite vous entre la réponse à incidents et le SOC ?
Julien Menissez : Lorsqu’on intervient en « réponse à incident », c’est qu’il y a le feu quelque part et nous intervenons plutôt comme enquêteurs, alors que lorsqu’on arrive sur un SOC c‘est pour intervenir en anticipation, pour pouvoir gérer les incidents : c’est l’« incident management ». Au début nous avons travaillé avec des fichiers à plat, puis nous avons déployé des interfaces MISP (Malware Information Sharing Platform) chez nos clients. MISP facilite le partage d’indicateurs de compromissions (IoC) entre chercheurs mais, autant la plateforme MISP était bonne pour la diffusion, autant elle marquait ses limites pour l’ingestion. Il nous fallait utiliser beaucoup d’outils open source parallèlement, ajouter beaucoup de « scripting » et passer beaucoup d’opérations manuelles avant de livrer l’information à nos clients dans les temps impartis : c’est vite devenu ingérable. L’équipe d’Airbus CyberSecurity a donc cherché sur le marché un outil capable de gérer nativement des notions telles que la fraicheur de l’information, sa fiabilité, son contexte et les données connexes.
SDBRNews : C’est là que vous avez découvert ThreatQuotient ?
Julien Menissez : Absolument ! Nous avons rapidement vu que ThreatQuotient était le mieux adapté à notre besoin et qu’en outre ses équipes avaient un vocabulaire commun avec nous, car elles étaient aussi issues du milieu de la défense. Donc en 2019 nous avons monté un POC avec eux, pour aboutir au choix du logiciel ThreatQ comme « back-office de cyber-renseignement » au profit de tous nos clients en SOC partagé. Le déploiement de ThreatQ permet à Airbus CyberSecurity de livrer les mêmes services et les mêmes connaissances à ses clients, avec la même qualité qu’avant, mais bien plus rapidement et avec beaucoup moins de manipulations techniques. Nous sommes passés d’une livraison d’information hebdomadaire à des livraisons d’information en continue, pour le plus grand bénéfice des clients d’Airbus CyberSecurity. Nous avons même pu réduire nos engagements en matière de temps de réponse lorsque la solution de ThreatQuotient est intégrée à un SIEM.
SDBRNews : Avez-vous un exemple concret à nous donner ?
Julien Menissez : Nous pouvons évoquer les comités de pilotage, les comités opérationnels ou les comités stratégiques évoquant la fonction sécurité, nombreux dans les grandes entreprises. Souvent, d’une réunion à l’autre, il n’y a pas eu d’incident ce qui aboutit à répéter les mêmes choses lors de ces réunions. Depuis que nous avons pris en main la Threat Intelligence et que tout le back office est bien managé, ces comités deviennent plu riches en information et permettent à nos clients de constater la valeur ajoutée que nous leur apportons. D’ailleurs, cette valeur ajoutée est bien perçue par le marché puisque nous faisons 30% de croissance dans nos activités et nous avons gagné récemment cinq grands clients. Nous avons une charge de travail très importante dans le domaine du service Cyber.
Julien Menissez est Product manager, Managed Security Services at Airbus CyberSecurity