agsandrew - Fotolia
Comment Sekoia veut rendre opérationnel le renseignement sur les menaces
Né comme un cabinet de conseil et d’audit en cybersécurité, Sekoia produit aussi du renseignement sur les menaces. Et de participer d’ailleurs à l’Intercert-FR. Sa plateforme Sekoia.io vise à en faire profiter ses clients pour la détection.
C’est le fruit de longs travaux : Sekoia.io se présente comme un système de gestion des informations et des événements de sécurité (SIEM) en mode service, à la façon d’un Backstory de Google ou d’un Sentinel de Microsoft.
Georges Bossert, qui en est le responsable explique comment est né le projet il y a quelques années : « tout est parti d’un partenaire opérateur qui voulait pouvoir proposer une solution de supervision opérationnelle de la sécurité pour les flottes de bateaux de ses clients. Le besoin de détection est là faramineux », connectivité croissante oblige. Mais il faut compter avec une forte diversité de SI, d’utilisateurs et de risques. Sans oublier la volatilité de ces derniers : « la volatilité de la valeur des biens transportés induit des fluctuations dans le contexte de la menace ». D’où la nécessité d’une grande agilité.
Las, analyse Georges Bossert, « c’est trop compliqué pour les acteurs traditionnels du SOC », où la définition des règles de détection est longue, sinon laborieuse. Et puis « personne ne refait une analyse des risques à chaque fois que l’on déploie un nouveau cluster sur AWS. C’est trop coûteux ». En somme, l’environnement IT évolue trop vite et avec une approche conventionnelle du SOC, « on se démène en continu pour maintenir à flot les règles ». D’où « une frustration largement partagée ».
Ainsi est venue l’idée de ne plus appréhender le sujet sous l’angle de la détection de ce qui n’est pas conforme aux règles et aux politiques en place, ni des anomalies ou des dérives, mais plutôt de celle des menaces, « en s’appuyant sur le renseignement sur les menaces ».
Georges BossertResponsable Sekoia
Car justement, Sekoia ne manque pas d’en produire. L’équipe de Nicolas Caproni, qui dirige son Cert, compte une dizaine d’analystes produisant notamment des rapports quotidiens à l’intention des clients du cabinet, les « FLINT » comme ils sont appelés. Surtout, ces analystes se chargent de normaliser, analyser et contextualiser chaque information collectée : « une adresse IP, en tant que telle, n’a pas grande valeur. Il faut ajouter de l’information autour, la raccrocher à une infrastructure, à des campagnes dans lesquelles elle a été impliquée, à des maliciels, puis à des groupes malveillants et à leurs cibles », explique Georges Bossert. Et de résumer : « l’objectif consiste à remonter les couches pour donner une visibilité sur la menace et pas uniquement l’artefact technique ».
La plateforme Sekoia.io est le fruit d’importants développements internes. Et pour au moins une raison triviale : « nous voulions nous appuyer sur des standards, et en l’occurrence STIX. Et il n’y avait pas de briques disponibles pour cela au moment du lancement du projet ». Le langage STIX Patterning est d’ailleurs mis à profit pour la détection.
Mais sous le capot, on trouve également ElasticSearch, Kafka, une base de données graph pour la contextualisation, du traitement en temps réel et en batch pour la chasse rétrospective aux menaces, et sans surprise Cortex et ses analyseurs pour les enrichissements. Et au menu également, d’importantes capacités d’intégration, avec notamment TheHive et MISP, mais aussi la possibilité de collecter les données de Snort ou Suricata : « nous voulons proposer un maximum de connecteurs ».
En fait, la plateforme a deux façades. L’une, l’Operations Center pour les opérateurs SOC, et l’autre, l’Intelligence Center pour les analystes de Sekoia. De là, ceux-ci peuvent remonter le fil des détections. Tandis que de l’autre côté, les clients peuvent profiter de recommandations de contre-mesures. Et surtout accéder aisément, via une représentation graphique en graph, à un large volume d’informations.
Georges BossertResponsable Sekoia
Pour sa plateforme, Sekoia a misé sur une tarification qui se place également en rupture des modèles traditionnels du SIEM : ici, on parle de facture à la machine couverte, donc au nombre d’hôtes dans l’environnement client. Mais avec une nuance : « nous appliquons une distinction entre la terre et l’or, à savoir entre les actifs critiques et les autres ». De quoi permettre d’ajuster la facturation à la baisse lorsqu’il y a, en définitive, peu d’actifs critiques.
Et tout à sa logique de flexibilité, le cabinet offre une possibilité de faire évoluer temporairement son périmètre : la souscription de base est à l’année, mais il est possible de procéder à des extensions pour des périodes déterminées. Et donc, sans s’engager à faire grossir sa facture de manière durable.