Sergey Nivens - Fotolia
ThreatQuotient veut industrialiser l’utilisation du renseignement sur les menaces
La jeune pousse veut aider les analystes des centres de sécurité opérationnels à exploiter la threat intelligence, dans leur quotidien.
ThreatQuotient vient de s’installer en France, proposant une plateforme de gestion et de corrélation de sources externes de renseignement sur les menaces, en lien avec les sources internes de l’entreprise. La plateforme a bientôt trois ans et, pour son arrivée dans l’Hexagone, elle est allée chasser dans les rangs d’ancien de Sourcefire passés chez Cisco à l’occasion du rachat du premier par le second.
Une réponse opérationnelle à un problème opérationnel
Parmi eux, Yann Le Borgne explique que la plateforme de ThreatQuotient, baptisée ThreatQ, est en fait née dans le centre de sécurité opérationnel de General Dynamics, sous la houlette de son directeur de l’époque, Ryan Trost, et avec la complicité de l’un de ses analystes, Wayne Chiang : « tout a commencé là, quand ils se sont mis à utiliser du renseignement sur les menaces. Car la question de l’industrialisation de l’utilisation de ces informations s’est rapidement posée. Ils se sont donc lancés dans la création d’un outil dédié ».
Et celui s’est avéré plutôt convaincant, « d’où l’idée d’en faire un produit ». Fin 2014, proximité géographique aidant, Ryan Trost et Wayne Chiang sont allés solliciter John Czupak, ancien vice-président sénior de Sourcefire. Il a commencé à conseiller l’équipe de ThreatQuotient en mai 2014, avant de rapprocher la jeune pousse de NEA, qui avait investi dans Sourcefire en 2003. Ce dernier a versé 10,2 M$ en décembre dernier. Pour la petite histoire, ThreatQuotient compte d’autres transfuges de Cisco/Sourcefire, à commencer par Marty Weber, son vice-président sénior en charge des ventes, ou encore Tom Ashoff, autre vice-président sénior en charge de l’ingénierie.
Rendre l’analyste de sécurité plus efficace
Mais pour Yann Le Borgne, l’important, dans la genèse de ThreatQuotient, est surtout son origine très opérationnelle : « face à un incident, traditionnellement, l’analyste de premier niveau du SOC lance navigateur et regarde s’il n’y pas des informations disponibles, publiées par quelqu’un d’autre qui connaît quelque chose à ce sujet. L’idée est d’aider à industrialiser ce traitement en fournissant une bibliothèque dans laquelle se trouvent de grandes quantités informations qui concernent cet incident, contextualisées, qui peut être organisée et consommée facilement ».
ThreatQ est pour cela capable d’ingérer des sources aussi variées que les flux de renseignements produits par iSight, CrowdStrike, Dell Secureworks, Verisign, Emerging Threats, ou encore ThreatTrack, mais aussi plus de cent flux d’intelligence open source, des flux privés, et ceux produits par les services dédiés aux clients de FireEye et de Palo Alto, avec son cloud Wildfire.
De l’autre côté, ThreatQ s’intègre avec les systèmes de gestion des événements et des informations de sécurité ArcSight, Splunk et QRadar. Mais il peut également exporter ses informations vers RSA Netwitness, les outils de Lancope, de Palo Alto Networks, ou encore de Cisco et de Check Point, notamment. Sans compter les solutions de détection des menaces sur les points de terminaison de Carbon Black et de Tenable, ou encore celles de gestion des tickets d’incidents de Resilient Systems et de CyberSponse, voire celles d’enrichissement des données d’événements de sécurité.
Une plateforme pour organisations matures
Yann Le Borgne explique que ThreatQ s’adresse naturellement aux organisations affichant déjà un niveau de maturité élevé dans leur approche de la gestion de la sécurité. Et cela commence naturellement par celle qui ont un implémente un SOC, en interne voire en externe. Les prestataires de gestion d’événements de sécurité constituent dès lors une autre cible naturelle pour ThreatQuotient.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
CAO-PLM : Renault tire un premier bilan de sa transition vers le SaaS
-
Airbus CyberSecurity : « faire de la détection sans renseignement sur les menaces c’est impossible »
-
Gestion du renseignement sur les menaces : Sogeti mise sur Anomali
-
Att&ck, ce framework incontournable pour analyser les attaques