Warakorn - Fotolia
L'essentiel sur Keenaï, le SIEM développé en interne par Gfi Informatique
Mettant à profit Logstash et ElasticSearch, ce système de gestion des informations et des événements de sécurité se présente comme une alternative aux grands noms du domaine, pour les organisations de toutes tailles.
GFI Informatique a profité de l’édition 2018 du Forum International de la Cybersécurité (FIC) pour annoncer un partenariat avec Cybelius. Dans le cadre de celui-ci, Gfi a dévoilé Keenaï, son système de gestion des informations et des événements de sécurité (SIEM) développé en interne sur la base de quatre solutions visant à détecter les attaques, identifier les menaces en temps réel, et réduire les risques.
Ce SIEM ne figure pas dans le quadrant magique de Gartner, la faute peut-être à une présence, sur le marché, moindre que celle des grands acteurs du domaine. Cela ne signifie pas qu’il ne présente pas d’intérêt, loin s’en faut.
En fait, Keenaï est en développement au sein du pôle cybersécurité de Gfi Informatique de longue date. Les premières mises en œuvre commerciales remontent à 2011, explique Yannick Derrien, ingénieur d’affaire au sein ce pôle rattaché à la branche édition logiciels de Gfi. Fabien Corrard, directeur du pôle, précise que les développements ont commencé en 2009, pour répondre aux besoins de quelques clients. Un appel à projets de l’Etat, en 2013, a donné par la suite un coup d’accélérateur au projet.
Le socle technologique a naturellement évolué avec le temps. Aujourd’hui, Keenaï, proposé sous la forme d’un conteneur Docker, s’appuie sur Logstash pour le parsing des journaux d’activité, et sur une grappe ElasticSearch pour leur stockage. Le moteur de corrélation et les outils de reporting reposent en revanche sur des développements internes. Ces derniers n’exploitent donc pas Kibana.
Le moteur de corrélation peut mettre à profit des données contextuelles tierces, y compris externes. Dans ses laboratoires, Gfi travaille à l’exploitation de l’apprentissage machine, en combinant algorithmes supervisés et non supervisés.
A cela s’ajoutent sans surprise des fonctions dédiées à l’investigation ainsi qu’un moteur interne de gestion de workflows qu’il est possible d’interfacer avec des outils de gestion de tickets du marché.
Gfi Informatique propose bien sûr plusieurs services autour de Keenaï, depuis l’accompagnement à sa mise en œuvre, jusqu’à la « co-gestion » du SIEM, pour les organisations aux équipes de sécurité réduites, dans une perspective de production de rapports, voire même d’investigation à froid.
Pas question toutefois pour cette offre de se placer en concurrence frontale d’un prestataire de services de sécurité managés (MSSP).
Dans tous les cas, l’instance de Keenaï est déployée chez le client. Les équipes de Gfi s’y connectent à distance via un lien sécurisé.