L’essentiel sur PatrOwl, un des précurseurs de la gestion de la surface d'attaque exposée
De solution open source très exigeante techniquement, PatrOwl s’est muée en solution SaaS centrée sur le traitement des faiblesses dans la surface d’attaque exposée par les entreprises, sur Internet. Une mutation en profondeur, sans renier les fondamentaux.
PatrOwl n’est pas sorti de nulle part. En 2018, c’était un projet open source d’automatisation et d’orchestration de recherche de vulnérabilités, PatrOwl Manager. Nicolas Mattiocco, co-fondateur et PDG de PatrOwl, rappelle : « l’idée était d’avoir une seule machine et un seul logiciel qui permette de lancer n’importe quel type de scan et d’avoir tous les résultats en un seul endroit, tant sur le réseau interne que sur les systèmes exposés sur Internet par l’entreprise ».
Des premières implémentations est née une « petite communauté d’utilisateurs », lesquels « ont contribué au projet et à challenger les solutions ». La Banque de France et leboncoin faisaient partie de ces premiers utilisateurs.
Parallèlement, Vladimir Kolla, passé notamment par les équipes sécurité de la Banque de France, réfléchissait à quelque chose de comparable. Tous deux convaincus de l’utilité d’un produit tel que PatrOwl au quotidien, en entreprise, ils ont décidé de s’associer. Florent Montel, ancien d’Almond spécialiste du test d’intrusion, s’est alors joint à l’aventure. Initialement, il s’agissait surtout de vendre des services… en parallèle du développement et de la maintenance de la plateforme : « nous avons décidé d’investir beaucoup plus de temps sur la partie produit et de passer au conseil, autour du produit ».
Contourner le mur des expertises disponibles
Vladimir KollaCofondateur, PatrOwl
Mais voilà, tout ne s’est pas exactement passé comme prévu. Les premiers contacts commerciaux ont été l’occasion, pour l’équipe de PatrOwl, de se rendre compte du manque de ressources véritablement qualifiées pour exploiter un produit aussi exigeant techniquement, rendant indispensable un gros effort de simplification de l’outil. Et c’est sans compter avec la difficulté qu’il peut y avoir à vendre de l’open source : « c’est comme si on essayait de vendre de l’air que l’on respire gratuitement », ironise Vladimir Kolla.
Le Patrowl actuel est donc basé sur la version commerciale, dite « pro » originellement, de PatrOwl Manager : « mais nous l’avons considérablement fait évoluer. Et nous l’utilisons comme backend », explique Vladimir Kolla. « Les résultats de cette solution sont qualifiés et partent dans un portail qui est ultra simplifié pour les clients. Il peut être utilisé sans expertise ».
Et c’est en fait un tableau de bord qu’il est à peine nécessaire de consulter : « en cas de problème, le client est alerté par tous les moyens imaginables, sur Slack, Teams, etc. ». C’est l’alerte qui sert d’invitation à aller consulter le portail. Et là, « on ne présente pas une liste de problèmes, mais une liste de solutions, extraites, hiérarchisées, par des humains. L’utilisateur active ou transfère la solution à sa DSI, par exemple…, puis attend d’être notifié de l’application de la solution. Là, un bouton permet de lancer un test pour vérifier que le problème est pleinement corrigé ».
Recentrage sur la surface exposée
En outre, explique Nicolas Mattiocco, l’équipe de PatrOwl a décidé de restreindre les cas d’usage : ne plus proposer le produit qu’en mode SaaS et se concentrer sur les actifs exposés sur Internet – affectés par des vulnérabilités comme des défauts de configuration. « Des humains sont là pour valider les résultats des sondes, mais on ne donne au client que la partie simple des choses. Ce qui nous permet de répondre à la problématique de l’expertise, mais aussi du suivi des licences, de l’actualité des vulnérabilités et des exploits associés, etc. ». Ce qui s’est avéré, en définitive, beaucoup plus simple à expliquer aux prospects de l’entreprise.
Ce recentrage sur la surface d’attaque exposée se traduit par l’établissement et le rafraîchissement en continu d’une cartographie des actifs accessibles depuis Internet : « on essaie d’identifier tous les hôtes, y compris le Shadow IT, les services exposés, et à partir de cela », explique Nicolas Mattiocco, « nous lançons nos tests offensifs. Il s’agit d’obtenir une vision aussi complète que possible sur les risques exposés ».
Cette approche se distingue radicalement du test d’intrusion. Et ce n’est pas pour rien : « que ce soit en termes de coût comme de couverture du risque, le test d’intrusion traditionnel n’est plus aussi efficace qu’avant, car il ne présente qu’une photographie, avec filtre, d’une partie du périmètre », estime Nicolas Mattiocco.
Et Vladimir Kolla de développer : « aujourd’hui, les attaquants fonctionnent beaucoup par opportunisme, c’est-à-dire qu’ils trouvent une vulnérabilité exploitable via Internet et en profitent. Nous voyons les systèmes vulnérables de nos clients au moins en même temps qu’eux et nous pouvons les protéger ».
Aider à la remédiation
Mais le marché ne manque pas d’outils permettant d’identifier des vulnérabilités sur des actifs, qu’ils soient exposés sur Internet ou pas. D’où l’accent mis par les équipes de PatrOwl sur la hiérarchisation des risques et le conseil à la remédiation : « c’est là que l’on fournit le plus gros effort humain, de recherche et développement », soulignent en cœur Nicolas Mattiocco et Vladimir Kolla. Et cela peut aller, dans certains cas critiques, jusqu’à fournir des indications sur la manière de détecter une potentielle compromission. Car la hiérarchisation des problèmes identifiés tient non seulement compte de la sévérité des vulnérabilités, mais également de la disponibilité de codes d’exploitation.
Tout cela apparaît d’autant plus essentiel que, pour la cartographie, le fondement de l’outil, « on a peut-être tous les mêmes outils. La différence se fait sur la manière de faire les recherches, de pivoter sur les informations, et de présenter ces données à nos analystes pour qu’ils puissent rapidement clarifier les choses auprès de nos clients, afin qu’eux puissent y remédier. […] Nous avons réussi à mettre en place des workflows enchaînés hautement automatisés, et c’est cela qui nous aide à gagner du temps ».
Le temps est là une dimension clé. L’objectif est d’aider les clients de PatrOwl à « limiter autant que possible la fenêtre de tir des attaquants pour, qu’en définitive, il n’y ait que peu de risque de compromission », souligne Vladimir Kolla.