Petya Petrova - Fotolia
Flashpoint veut aider les entreprises à quantifier le risque
Ce spécialiste du renseignement sur les menaces mise sur la surveillance, aussi directe que possible, des acteurs malveillants pour accompagner les entreprises dans leurs prises de décisions et les aider à se préparer aux menaces qui les concernent directement.
C’est il y a dix que Flashpoint a été fondé, à New York. Maurits Lucas, son directeur en charge des comptes stratégiques, est issu de Fox-IT, et familier de Lexsi, deux autres spécialistes du renseignement sur les menaces.
Dans un échange avec la rédaction, il explique l’approche de Flashpoint : « nous cherchons à savoir ce que préparent les attaquants ». Et contrairement à d’autres, pas par une approche technique du renseignement, basée notamment sur des indicateurs de compromission (IoC) ou sur des échantillons de logiciels malveillants, mais en misant sur le renseignement humain. Et c’est toute la différence que Maurits Lucas met en avant.
Selon lui, « beaucoup de spécialistes de la sécurité ont surtout un historique technologique. Leur collecte du renseignement se base sur l’analyse de flux réseau, d’échantillons, sur la surveillance de noms de domaines, etc. Mais essaient-ils de discuter avec les acteurs malveillants ? Non, parce que ce sont des gens de l’IT ». Mais ce n’est pas la seule raison.
« Les acteurs malicieux ne parlent pas français, ni anglais : ils parlent russe, roumain, ou chinois, entre autres. Ils ont leur propre écosystème dans lequel on n’entre pas comme ça pour commencer à poser des questions. L’exercice est donc difficile ». Mais justement, Flashpoint a été créé et reste dirigé par des spécialistes du renseignement. Laith Alkhouri, son co-fondateur et directeur de recherche pour l’Afrique et le Moyen-Orient, est un ancien analyste du contre-terrorisme dans cette région. Et il maîtrise plusieurs langues qui y sont pratiquées.
Evan Kohlmann, patron de la recherche et du développement chez Flashpoint, a été consultant en contre-terrorisme auprès de l’armée américaine, des ministères de la Défense et de la Justice des Etats-Unis, ou encore du FBI et de Scotland Yard. Josh Lefkowitz, Pdg de Flashpoint, a également œuvré comme consultant pour le FBI.
Flashpoint s’est donc fait une spécialité d’infiltrer les environnements d’échange des cybercriminels pour les suivre, dans plusieurs langues.
Un cyber-renseignement hautement privatisé
Maurits Lucas reconnaît que les capacités développées par l’entreprise sont celles que l’on pourrait attendre de services du renseignement d’états. Mais il avance une explication à la privatisation observée : « le développement de ce genre de capacités est véritable défi. Il est difficile de recruter et de fidéliser les personnes capables de ce genre de surveillance, pour 16 ou 17 langues. Et les forces de l’ordre sont toujours contraintes par des questions de juridictions, par des frontières géographiques qu’ignore le monde cyber. Pour un attaquant, disperser son opération sur un ou deux pays supplémentaires, à l’inverse, c’est un jeu d’enfant. Et il y a beaucoup d’entreprises privées susceptibles de s’intéresser aux profils pertinents ».
Et là, si l’automatisation peut aider, l’humain reste essentiel : « plus on va en profondeur, plus le rapport signal/bruit est élevé, plus l’information a de valeur. Mais moins il est possible de recourir à l’automatisation ». La collecte massive et industrialisée de données à partir de sources ouvertes montre ainsi là ses limites.
Flashpoint est donc amené à travailler pour les forces de l’ordre. Mais sa mission première est d’aider les entreprises à « quantifier le risque » pour accompagner leurs décisions, pour pouvoir se préparer aux menaces qui les concernent vraiment.
Des rapports publics à la valeur limitée
Parce que si les rapports régulièrement rendus publics par les éditeurs et équipementiers du monde de la sécurité peuvent donner l’impression de suffire à se faire une image de la menace, ce n’est qu’une illusion. Pour Maurits Lucas, ceux-ci ne montrent qu’une partie visible de l’iceberg, potentiellement obsolète : « il faut du temps pour l’information sur ce qui se passe véritablement remonte à la surface ». En outre, ces rapports ne sont pas innocents et servent notamment des objectifs marketing : « beaucoup de choses n’y figurent pas parce que cela n’a aucun intérêt commercial ».
Ce qui n’empêche pas tout coopération, plus ou moins formelle : « éditeurs et équipementiers de la sécurité cherchent à disposer d’un maximum d’indicateurs techniques pour alimenter leurs produits et protéger leurs clients. Nous avons surtout besoin de savoir lorsque des nouveautés apparaissent, dans le code d’un acteur malveillant, dans ses pratiques ».
Flashpoint s’adresse tout particulière aux entreprises dont l’activité est fortement exposée à Internet. Et cela recouvre tout naturellement le secteur bancaire, avec lequel l’entreprise collabore outre-Atlantique au sein du FS-ISAC.
Flashpoint travaille également étroitement avec des spécialistes de la gestion du renseignement sur les menaces, avec les plateformes desquelles il peut s’intégrer pour apporter des informations de contexte sur les éléments étudiés – Anomali, Threat Connect, ThreatQuotient, ou encore EclecticIQ et RiskIQ –, sans oublier l’incontournable Maltego pour l’investigation.