NexDefense protège les Scada en surveillant le trafic réseau
Sa solution Sofia est née au ministère américain de l’énergie. Elle se distingue par son approche passive de la détection d’anomalies sur les réseaux de contrôle industriel.
NexDefense compte parmi ces petites perles mises en exergue à l’occasion de l’Innovation Sandbox de RSA Conference. Cette jeune pousse a été fondée en 2012 par Mike Assante, Derek Harp et Mike Sayre. Le premier occupe le poste de directeur en charge de la stratégie, et dirige la practice ICS (systèmes de contrôle industriel) et Scada de l’Institut Sans. Un institut dont Derek Harp, directeur exécutif de NexDefense, est également proche : il en pilote l’activité Cybersécurité ICS. Il est en partie à l’origine du service de gestion des alertes de sécurité IntelliShield, désormais proposé par Cisco, mais initialement développé par LogiKeep. Et justement, Mike Sayre a été directeur financier et vice-président exécutif de LogiKeep.
Mais l’ADN de NexDefense est à chercher du côté de Michael Assante : il fut responsable de la sécurité informatique de la North American Electric Reliability Corporation (Nerc) et d’American Electric Power. Surtout, c’est en passant par les Idaho National Labs (INL) qu’il a été impliqué dans le développement de Sophia, le système de détection d’anomalies sur les réseaux informatiques industriels qui est au cœur de l’offre de NexDefense.
Comme le rappelle Doug Wylie, récemment nommé vice-président marketing de NexDefense, Sophia a été développé par le ministère américain de l’énergie, la Battelle Energy Alliance et l’INL, en réponse à un besoin plus vaste de l’industrie : les systèmes de contrôle industriel se caractérisent notamment par « beaucoup de zones sur lesquels il n’y a pas de visibilité » et par une exigence de fiabilité pour un fonctionnement sans interruption.
D’où la nécessite d’observer les équipements connectés et leurs échanges, de manière passive. Et c’est là que Sophia se différencie : « notre solution n’a aucun impact sur la manière dont fonctionne le système », souligne Doug Wylie. Ce qui la rend qualifiée pour des environnements de production industrielle. En l’espace de quelques jours, Sophia peut produire « une image très complète des appareils connectés et de leurs interactions, mais aussi des communications qui entrent et sortent », le tout en 3D.
NexDefense commence par « travailler avec le client pour déterminer un état connu sain. Une fois établi, on surveille de près le comportement du système pour détecter d’éventuelles déviations ». On parle d’anomalies qui sont alors remontées.
Une approche qui rappelle celles de DarkTrace ou de Vectra Networks pour les systèmes informatiques classiques. Mais comme pour un Check Point, qui a récemment annoncé un produit dédié aux systèmes Scada, Doug Wylie souligne sa différence : « nous venons du monde l’informatique industriel, un monde qui a une perspective très différente de la connectivité, de la sécurité, et de ses priorités ». Ici, par exemple, la confidentialité des données n’est pas aussi essentielle.
C’est donc fort de son ADN que NexDefense peut s’ouvrir les portes d’opérateurs d’infrastructures industrielles critiques : « il est essentiel de pouvoir démontrer que l’on a zéro impact sur les systèmes, que l’on comprend leurs priorités ». La réputation et la capacité à construire la confiance s’avèrent donc clé.
Mais les entreprises cherchant à sécuriser leurs systèmes opérationnels rencontrent les mêmes difficultés que celles se penchant sur les systèmes d’information, à commencer par celle de la mise en œuvre d’une véritable stratégie de gestion des incidents : « il y a un éventail très large de capacités et de maturités ». Surtout, « ceux qui déploient les systèmes de sécurité pour ICS doivent penser que la priorité est au fonctionnement en continu. S’ils ne prévoient pas comment intervenir et corriger une anomalie à 2h du matin, il y a de fortes chances que les contrôles de sécurité seront désactives ».
Mais recruter les bons profils n’en est pas moins difficile. Conscient de cette situation, NexDefense commercialise donc sa solution à la fois en direct et via des partenaires capables de proposer des services managés.