Andrei Merkulov - stock.adobe.co
Gatewatcher se lance dans le renseignement sur les menaces
L’équipementier français vient d’annoncer le rachat de LastInfoSec, une jeune pousse elle aussi Hexagonale, spécialisée dans la production automatique d’alertes avancées sur les menaces émergentes.
Gatewatcher s’offre un jeune spécialiste du renseignement sur les menaces, LastInfoSec. Cette start-up a été créée par des connaisseurs du domaine, François Normand, Paul Dozancuk et Rémy Dewailly, fin 2018.
Le premier est passé par l’équipe de réponse aux incidents de BNP Paribas, mais également par le Cert de Lexsi. Racheté par Orange en 2016, celui-ci était à l’époque le plus important du secteur privé en Europe.
Paul Dozancuk est également passé par l’équipe de réponse aux incidents de BNP Paribas. Mais avant cela, il était chez Atheos, spécialiste de la gestion des identités et des accès (IAM), racheté par Orange en 2014. Une opération qui propulsera Michel Van Den Berghe, le président fondateur d’Atheos, à la tête d’Orange Cyberdefense.
Rémy Dewailly, en charge de la recherche et du développement de LastInfoSec, affiche quant à lui le parcours d’un développeur chevronné.
La jeune pousse française a été récemment remarquée par Wavestone, à l’occasion de l’édition 2020 de son radar des startups en cybersécurité. Elle a développé une plateforme composée de cinq modules assurant chacun une fonction précise : collecte, évaluation, corrélation, exportation et amélioration continue de la collecte.
Concrètement, la plateforme de LastInfoSec mise sur la collecte de données accessibles sur Internet, avant de les évaluer pour quantifier un niveau de risque, tant par rapport à des indicateurs externes qu’internes. Le module de corrélation se charge quant à lui d’enrichir et contextualiser les renseignements obtenus. A charge ensuite d’assurer l’exportation de ces données, aux formats JSON, CSV, ou STIX (v1 et v2). La plateforme de LastInfoSec peut d’ailleurs être sollicitée par TheHive, comme analyseur Cortex. La jeune pousse assure que sa plateforme permet « de rendre accessibles les données en moyenne 24 heures avant la concurrence ».
LastInfoSec propose également un flux de données visant à aider la validation des solutions de détection d’intrusion et de menaces, face aux activités malicieuses connues « récentes ou en cours d’activité ». Et cela qu’il s’agisse de fichiers malveillants ou de flux réseaux.
L’apport potentiel de LastInfoSec pour Gatewatcher et ses clients apparaît là évident, à trois niveaux : aider à valider les configurations face à la réalité de la menace ; évaluer des indicateurs de compromission ; et améliorer la détection des activités malicieuses. Dans un communiqué de presse, Jacques de La Rivière, PDG de l’équipementier, ne semble pas dire autre chose : « l’objectif est d’optimiser les équipements de sécurité pour garder toujours un coup d’avance dans l’innovation et la protection des actifs de nos clients ».
Dans un échange téléphonique avec la rédaction, Jacques de La Rivière est plus précis, expliquant qu’il y a plus : « les algorithmes utilisés par LastInfoSec pour générer du renseignement sur les menaces sont très puissants et permettent d’automatiser un grand nombre de traitements manuels ». Et de souligner que ce renseignement est aussi alimenté par l’observation des activités malicieuses sur le terrain, à partir d’un vaste réseau de pots de miel (en anglais « honeypot »).
Dès lors, l’équipementier voit aussi là l’opportunité d’étendre son activité, car « la threat intelligence peut être intégrée à de nombreux niveaux, jusqu’au système de gestion des informations et des événements de sécurité (SIEM) ». Et justement, pas question pour Gatewatcher de garder pour lui les flux de renseignements sur les menaces, produits par la plateforme de LastInfoSec : ceux-ci ont vocation à continuer d’être commercialisés de manière autonome.
Reste que la démarche consistant à intégrer le renseignement sur la menace à la stratégie de protection du système d’information est loin d’être isolée. Mais dans le domaine spécifique des opérateurs d’importance vitale (OIV), Gatewatcher apparaît là viser clairement Cisco et Thales qui avaient noué un partenariat en 2016 autour d’une solution dite souveraine destinée aux OIV.
Dans le cadre de celle-ci, Thales devait proposer ses services de supervision opérationnelle de la sécurité, en s’appuyant notamment sur son SOC d’Élancourt, en banlieue ouest de Paris. Mais les clients de la solution devaient en outre profiter du renseignement sur les menaces, produit par les équipes Talos de Cisco, ainsi que d’autres sources propres à Thales.
Et justement, Thales et Gatewatcher proposent des sondes réseau qualifiées, pouvant donc être déployées dans les systèmes d’information d’importance vitale (SIIV) des OIV, basée sur l’incontournable moteur IDS Suricata, à l’instar de la sonde durcie Jizô de Sesame IT.
Jacques de La Rivière ne se cache pas d’apporter, avec ce rachat, une forme de réponse à la concurrence, en se positionnant « comme un acteur industriel multiproduit qui renforce sa capacité de détection ». Il replace en outre le rachat de LastInfoSec dans la perspective du partenariat d’intégration annoncé avec Nozomi en début d’année, pour l’ajout d’une couche de renseignement sur les menaces qui viendra encore renforcer l’attractivité de son offre, dans une démarche de gestion unifiée de la sécurité des environnements IT et OT.