Réponse à incidents : la version 5 pour les 5 ans de TheHive
Cette nouvelle itération de cette plateforme de réponse à incident est attendue d’ici la fin de l’année. Elle sera marquée par de nouvelles fonctionnalités liées à l’expérience utilisateur, mais surtout, un nouveau modèle de licences.
C’est en 2016 qu’est sortie la première version de TheHive, ce projet né de la volonté d’une petite équipe d’analystes cherchant à automatiser au maximum les tâches pouvant l’être… alors qu’elle gérait les listes d’incidents de sécurité dans des feuilles de calcul Excel et se contentait d’outils d’investigation « éparpillés et par forcément bien documentés », nous expliquait Saâd Kadhi au printemps 2018. À l’époque, il avait encore la responsabilité du Cert de la Banque de France. Depuis, il a pris la tête du Cert-EU.
En cinq ans, TheHive a considérablement gagné en renom. C’est StrangeBee qui en assure désormais le développement et le support. La jeune pousse propose également des services de conseil, mais aussi de déploiement, d’intégration, et de formation. Nabil Adouani, co-fondateur et PDG de StrangeBee, revendique désormais plus de 5 000 instances TheHive à travers le monde, utilisées par plus de 10 000 analystes, dans des secteurs d’activité très variés. Le Français iTrust, par exemple, le met à profit pour son offre de SOC managé.
Le succès de TheHive tient notamment à son architecture souple et modulaire, articulée autour d’un moteur central, assurant notamment le suivi en temps réel des tâches réalisées par les analystes, via un flux pouvant rappeler une « timeline » de réseau social – le « live stream » –, un entrepôt de données Elastic Search et une ou plusieurs instances du moteur d’analyse Cortex. Pour la collecte des incidents à traiter, TheHive s’appuie sur des « alerts feeders externes », avec lesquels la communication est assurée via une API Rest, pour laquelle a été développée une librairie Python.
La nouvelle mouture de TheHive est aujourd’hui sur la rampe de lancement. Elle sera disponible dans le courant du quatrième trimestre. D’importantes nouveautés sont à en attendre dans l’expérience utilisateur et l’investigation.
Mais le plus important tient au modèle de licence. Si TheHive 4 était sous AGPL v3, le code de la version 5 sera fermé. Nabil Adouani explique simplement ce choix par le manque de contributions à un projet en définitive porté essentiellement par StrangeBee, même si sa valeur est largement reconnue. Et pas question de faire seulement supporter les coûts de développement à une poignée de clients payants, alors qu’ils pourraient payer en définitive moins cher si un plus grand nombre participait à l’effort. D’autant plus que StrangeBee et le projet TheHive ne sont pas soutenus par des financements ou des investissements extérieurs.
TheHive 5 sera donc proposé avec 4 licences. La première, l’édition communautaire, sera gratuite, mais limitée à une seule de Cortex, de MISP, et à une organisation avec un maximum de 2 utilisateurs. Les éditions Gold et Platinum permettront d’aller plus loin, notamment en faisant disparaître la limite du nombre d’utilisateurs ou en permettant l’intégration tierce pour l’authentification, et le multitenant, ou encore les WebHooks.
La dernière licence sera spécifique aux prestataires de services de sécurité managés (MSSP), levant toute limite de déploiement et incluant support client et de migration. Des fonctionnalités exclusives sont également prévues.