Kzenon - stock.adobe.com
Cybersécurité IT/OT : Cybelius et Sesame IT invitent Gfi au bal, avec son SIEM
Les deux premiers ont récemment annoncé le développement conjoint d’une sonde réseau durcie capable de couvrir IT et OT. Gfi les rejoint et apporte son SIEM Keenaï composer une offre complète.
Jean-Michel Orosco, vice-président sénior de Naval Group en charge de la cybersécurité, l’expliquait lors d’un atelier organisé lors de l’édition 2018 du Forum International de la Cybersécurité (FIC) : des groupes comme le sien ont besoin qu’on leur présente des solutions qui s’intègrent de manière cohérente avec leurs architectures, pas de produits isolés. Il semble avoir été entendu.
Ironie du calendrier, c’est lors de cette même édition 2018 du FIC que Cybelius et Gfi annonçaient un partenariat. Dans le cadre de celui-ci, le premier apportait sa sonde de détection des attaques et des dérives des processus Cypres, ainsi que Cyfence, sa DMZ de sécurisation des échanges entre environnements IT et OT. De son côté, GFI Informatique avançait Keenaï, son système de gestion des informations et des événements de sécurité (SIEM) développé en interne sur la base de quatre solutions visant à détecter les attaques, identifier les menaces en temps réel, et réduire les risques.
Keenaï, proposé sous la forme d’un conteneur Docker, s’appuie sur Logstash pour le parsing des journaux d’activité, et sur une grappe ElasticSearch pour leur stockage. Le moteur de corrélation et les outils de reporting reposent en revanche sur des développements internes. Le moteur de corrélation peut mettre à profit des données contextuelles tierces, y compris externes. Il y a deux ans, Fabien Corrard, directeur cyberdéfense Keenaï chez Gfi, expliquait que l’entreprise travaillait à l’exploitation de l’apprentissage machine, en combinant algorithmes supervisés et non supervisés.
Mais depuis, Cybelius a noué un partenariat avec Sesame IT, pour développer ensemble une sonde réseau durcie susceptible de couvrir aussi bien les domaines IT qu’OT – et donc le monde des systèmes industriels (ICS/Scada). Le socle matériel sera la sonde Jizô développée par Sesame IT et en cours de certification par l’Agence nationale pour la sécurité des systèmes d’information (Anssi).
Celle-ci est basée sur le système de détection d’intrusion (IDS) Suricata – à l’instar des deux sondes déjà qualifiées, Cybels Sensor de Thales, et les produits Gatewatcher. Les capacités analytiques – et notamment comportementales – développées pour Cypres par Cybelius, avec toute la connaissance protocolaire spécifique au monde des ICS/Scada que cela implique, vont être embarquées comme un traitement ad hoc sur Jizô.
Aujourd’hui, fermant la boucle, c’est Gfi qui se joint à la nouvelle aventure de Cyberlius et Sesame IT, en apportant Keenaï. Dans un billet de blog, Dominique Mouillier, directeur des activités Cybersécurité chez Gfi, explique que « cette offre permettra de traiter toute la chaîne de détection depuis la sonde jusqu’au SIEM afin de réaliser le traitement des flux, l’analyse, la génération d’alertes, l’archivage et l’expertise détaillée sans jamais rompre le niveau de confiance ni perdre d’information ».
Et de souligner au passage que « tous les composants de cette chaîne ont été durcis et suivent les référentiels de l’ANSSI, afin de pouvoir être déployés par les OIV [opérateurs d’importance vitale] et OSE [opérateurs de services essentiels] ».