metamorworks - stock.adobe.com
Comment ITrust s’est positionné en fournisseur de plateforme de SOC clés en main
Il y a cinq ans, ITrust levait le voile sur Reveelium, son moteur de détection d’anomalies comportementales. Il n’a cessé d’évoluer depuis, pour se faire moteur de corrélation d’événements de sécurité au sommet d’une pile logicielle proposée clés en main – directement ou en marque blanche pour MSSP.
Jean-Nicolas Piotrowski, PDG d’ITrust, revendique un positionnement : celui de « pure player de l’intelligence artificielle appliquée à la cybersécurité ». Au cœur de ce positionnement, il y a Reveelium. En avril 2015, il nous expliquait déjà miser sur l’analyse comportementale (UEBA), « la recherche de signaux faibles qui trahissent des comportements anormaux, de machines comme d’utilisateurs ». Et cela parce que si les systèmes de gestion des informations et des événements de sécurité (SIEM) peuvent déceler ce type de signaux, ce n’est qu’après que l’attaque s’est produite : « historiquement, les SIEM ne font pas du temps réel ».
À l’époque, Reveelium n’était pas encore né : on parlait encore d’IT-Tude. Mais après d’importants travaux de recherche et développement, il a bien mûri et Jean-Nicolas Piotrowski assure enregistrer de fortes commandes depuis un an et demi. Parmi ses clients, il cite quatre ministères régaliens, le ComCyber, Thales Alenia, Renater, l’Inserm, Volkswagen France, et plus encore. Dont près d’une dizaine d’entreprises du CAC40.
Aujourd’hui, Reveelium se positionne comme moteur de corrélation d’événements de sécurité au-delà de la seule UEBA : certains scénarios sont couverts par l’apprentissage automatique et plus largement l’intelligence artificielle, mais d’autres le sont par règles de détection, arbres de décision, ou encore corrélation probabiliste. Et pas question non plus de se contenter d’un seul module d’IA : ils sont plusieurs. Il faut ainsi compter un module pour l’UEBA, un autre pour l’analyse du trafic DNS (pour le tunneling malicieux), un autre spécifique aux événements remontés par les pare-feu (pour les communications avec les centres de commande et de contrôle), etc. Et le travail est en cours pour améliorer la détection des menaces sur l’environnement Active Directory.
Mais l’offre d’ITrust ne se limite pas à cela. Il faut aussi compter avec le scanner de vulnérabilités IKare et un EDR, Acsia, issu de la start-up irlandaise 4Securitas. Surtout, Jean-Nicolas Piotrowski revendique aujourd’hui une plateforme logicielle complète pour répondre aux besoins d’un centre opérationnel de sécurité (SOC) : « tout a commencé avec une démonstration de Reveelium, montée sur une couche Elastic. Les prospects ont vu et nous ont demandé de leur fournir ça comme un produit. Alors, nous avons commencé à construire l’ensemble ». Et de citer par exemple CGI, comme prestataire de services proposant la pile d’ITrust en marque blanche.
Pour séduire, Jean-Nicolas Piotrowski a une carte supplémentaire dans sa manche, économique : une tarification fixe, très loin des pratiques des acteurs traditionnels du SIEM, par exemple. Fort de cela, il vise d’un côté les fournisseurs de services de sécurité managés, les MSSP, qu’il ne facture qu’à compter de l’activation d’un nouveau client, et les entreprises de taille modeste, avec ses propres services managés de détection et de réponse (MDR).
Que ce soit pour les MSSP ou pour ses services MDR, ITrust utilise la même sauce : une pile logicielle impliquant Logstash, ElasticSearch, IKare, Graylog – pour les recherches d’indicateurs de compromission (IoC) dans les logs –, Grafana, Kibana, Acsia, et bien sûr Reveelium… sans oublier TheHive : c’est là que les alertes sont remontées par le moteur de corrélation. Bien sûr, les MSSP peuvent utiliser leurs propres outils de recherche de vulnérabilités à la place d’IKare, ou encore leur EDR au lieu d’Acsia. Car il y a toujours une phase de build, avec installation, configuration et ateliers pour le transfert de compétences.
Surtout, c’est ITrust qui assure le maintien en conditions de sécurité et conditions opérationnelles. Pas question, donc, de sauter sur la dernière version d’un composant sans avoir conduit des tests complets. Et pour les TPE/PME qui n’entreraient ni dans son périmètre propre, ni dans celui de ses partenaires MSSP, ITRust prépare une « box » clés-en main.