sborisov - Fotolia
EclecticIQ, l’ambitieux hollandais de la gestion du renseignement
La jeune pousse européenne se développe agressivement face à ses concurrents du secteur de la gestion du renseignement sur les menaces. Et elle ne manque pas d’atouts.
EclecticIQ a été fondé début 2014 par Joep Gommers et Raymon van der Velde, aux Pays-Bas. Entre 2006 et 2007, Joep Gommers a fait des formations en sécurité et renseignement sur les menaces en indépendant, avant de fonder et diriger ce qui allait devenir iSight Partners Europe. De 2008 à fin 2013, il a occupé plusieurs fonctions à responsabilités chez iSight Partners. Lequel a finalement été racheté par FireEye début 2016. Raymon van der Velde est également passé chez iSight Partners, où il a dirigé l’activité services entre fin 2012 et début 2014. Avant donc de rejoindre l’aventure EclecticIQ, à la demande de Joep Gommers.
Pim Volkers, vice-président en charge des ventes et du marketing, explique qu’EclecticIQ employait une quarantaine de personnes en début d’année ; un chiffre qui devrait presque doubler d’ici la fin 2017. Avec des profils variés, mais « bien sûr, beaucoup ici sont issus de la communauté du renseignement ».
L’entreprise est présente à Londres et s’installe en Amérique du Nord. Jérôme Robert, ancien directeur marketing de Lexsi, a été recruté au printemps comme vice-président en charge du marketing.
Cibler les organisations les plus matures
Pim Volkers explique que la plateforme d’EclecticIQ s’adresse d’abord aux organisations les plus matures, parce qu’elle est conçue pour répondre aux besoins des analystes de menaces, bien plus que pour les équipes des centres opérationnels de sécurité (SOC). Ce qui ne signifie pas qu’elle n’est pas susceptible de les aider : ses flux en sortie sont optimisés pour les systèmes de gestion des informations et des événements de sécurité (SIEM).
Pim Volkers souligne toutefois que la plateforme d’EclecticIQ peut également apporter des bénéfices aux équipes chargées de la gestion des vulnérabilités, ou encore de la réponse à incident, voire aux RSSI pour la génération de rapports.
Un tiers des clients d’EclecticIQ évoluent aujourd’hui dans le secteur des services financiers et de l’assurance.
Le reste du portefeuille est plus disparate, entre agences publiques de cyberdéfense, CERTs nationaux, ou encore opérateurs télécoms.
Dans la plupart des cas, c’est l’une des spécificités d’EcleticIQ qui séduit : la plateforme n’est à ce jour pas disponible sous la forme d’un service Cloud ; elle doit être déployée en local.
De vastes capacités d’intégration et d’automatisation
La plateforme d’EclecticIQ est basée sur STIX et TAXII. Ce qui lui permet de supporter un vaste éventail d’intégrations, notamment côté sources de données : AlienVault OTX, Cyberfeed d’Anubis Networks, BFK, Cisco Threat Grid, CrowdStrike Falcon Intelligence, iSight, Flashpoint, Fox-IT InTell, Group-IB, IBM X-Force Exchange, Intel 471.
Pour l’enrichissement, la plateforme supporte Censys, Cisco OpenDNS/OpenResolve, DomainTools, Farsight Security DNSDB, PhishMe, PassiveTotal de RiskIQ, ou encore VirusTotal.
En sortie, la plateforme d’EclecticIQ s’intègre avec Soltra Edge, ArcSight, QRadar, ou encore Splunk, de manière bi-directionnelle. Sans oublier les connecteurs CSV/JSON, Syslog, les règles Snort et Yara, ou encore les possibilités de transmission par FTP ou email.
Elle propose des API REST, et supporte l’analyse d’échantillons suspects via le bac à sable de Joe Security.
La plateforme peut être déployée sur des serveurs CentOS, RedHat ou Ubuntu.
Elle est écrite en Python et s’appuie sur Elastic, PostgreSQL et Neo4J. Mais elle met également à profit Kibana et offre d’élégantes capacités de visualisation.
Une ouverture à un marché plus large
Ceci dit, tous les consommateurs de renseignement sur les menaces n’ont pas les moyens de s’offrir une plateforme complète assortie des analystes requis pour en tirer pleinement profit. Au printemps, EclecticIQ a donc lancé Fusion Center, en partenariat avec un opérateur télécoms en Belgique et un autre aux Pays-Bas.
L’idée est simple : permettre aux consommateurs – avérés et potentiels – de renseignement sur les menaces de réduire leur facture.
En coulisse de Fusion Center, ce sont des analystes qui assurent la curation et la valorisation de flux achetés directement par EclecticIQ. Plus de trente fournisseurs sont intégrés, dont Group-IB, Intel 471, RedSocks et SensCy.
Les données sont filtrées sectoriellement – énergie, services financiers, infrastructures critiques, gouvernements – et géographiquement.
Le renseignement est dédupliqué, consolidé, enrichi et fournit clés-en-main pour des systèmes tels que des SIEM, voire des plateformes d’orchestration telles que celles de Resilient Systems ou de Phantom Cyber.
Les utilisateurs de plateformes complètes de gestion des renseignements sur les menaces peuvent également en profiter. Et réduire ainsi leurs coûts ou améliorer leur efficacité.