Microsoft
Safe Cyberdefense s’attaque à la sécurité des postes de travail
La jeune pousse française mise en particulier sur des filtres hautement personnalisables pour empêcher l’exécution de codes malicieux. Mais son approche modulaire permet d’aller au-delà avec, notamment, des capacités d’investigation étendues en cas de compromission.
Youness Zougar était en alternance chez Gfi Informatique lorsque l’aventure Safe Cyberdefense était sur le point de commencer. En première année de son master en sécurité informatique à l’ESGI, il a été amené à tester les solutions de protection du poste de travail (EPP) du marché, pour en chercher les limites. Et de développer un maliciel capable alors de passer au travers des mailles des filets.
En seconde année, c’était l’étape suivante : concevoir une solution susceptible de résister aux techniques de furtivité mises en œuvre. C’est là que Gfi Informatique et, surtout, Novidy’s – tout récemment racheté par CS –, se sont montrés intéressés par l’approche et ont suggéré la création d’une entreprise pour industrialiser la solution. Le second est même allé jusqu’à se proposer pour l’incubation. Et c’est donc en 2016 que l’aventure Safe Cyberdefense a commencé, avec Sébastien Guisnet, passé entre temps chez Intrinsec, et Antoine Botte, venu de Novidy's.
Après deux ans de développement, Youness Zougar estime disposer désormais d’une solution commercialisable. Et pour cause : elle a été adoptée par les cinémas Gaumont-Pathé. Après deux semaines de pilote sur une dizaine de postes, en double-commande avec la solution d’EPP de Kaspersky, le groupe a retenu la solution de la jeune pousse.
Celle-ci s’appuie sur un agent à déployer localement sur les postes, ainsi que sur un serveur d’administration – en interne, ou en mode SaaS. Ce dernier permet de définir les règles de filtrage exécutif qu’appliqueront les agents, de manière granulaire – par groupes, par type de fichiers, etc.
D’une certaine façon, le mécanisme renvoie à l’idée de listes blanches – applications autorisées – et de listes noires – applications interdites – mais avec beaucoup plus de finesse. Par exemple, il est possible d’interdire à toute autre application que celles de la suite Office d’ouvrir des fichiers bureautiques. L’exécution de scripts peut également être bloquée, explique Youness Zougar. De même que l’accès au réseau. De quoi, par exemple, empêcher le téléchargement d’une charge utile par un code malveillant. Le co-fondateur de Safe Cyberdefense souligne que les règles peuvent permettre, au passage, de limiter le risque de comportement malicieux des utilisateurs.
Toutes les activités d’exécution, de lecture, d’écriture ou encore de suppression de fichiers sont supervisées. Des traces sont générées en continu et transférées au serveur d’administration. De quoi alimenter un système de gestion des informations et des événements de sécurité (SIEM) ou encore des équipes d’investigation en cas d’incident. Les actions liées au registre de Windows ne sont pas encore journalisées, mais les développements nécessaires sont en cours.
L’architecture modulaire de l’agent permet d’envisager d’autres évolutions. Youness Zougar souligne les moyens limités dont dispose encore la jeune pousse, mais il relève par exemple prévoir un module basé sur des modèles développés par apprentissage automatique pour bloquer les menaces. Celui-ci devra aider à affiner – et pas plus, parce que la technique n’est pas infaillible – la notation des exécutables ne faisant l’objet d’aucune règle, ceux qui relèvent de l’inconnu.
En l’état, ces exécutables sont transmis au serveur pour analyse dynamique en bac à sable. Ce dernier s’appuie sur des machines virtuelles qui peuvent être personnalisées pour leur alignement sur les configurations utilisées en production. Là, c’est l’introspection des machines virtuelles, directement via l’hyperviseur, qui est mise à profit pour identifier les comportements suspects. Avec l’objectif, là, de réduire les capacités de détection de l’environnement virtualisé par les maliciels.
Safe Cyberdefense ambitionne de constituer une alternative aux solutions d’EPP classiques, en intégrant une couche d’EDR (détection et remédiation sur le point de terminaison). Pour asseoir sa crédibilité, la jeune pousse envisage de passer par les fourches caudines d’organismes comme AV-Test ou encore d’être certifiée par l’Agence nationale pour la sécurité des systèmes d’information (Anssi). Mais pour l’heure, les coûts restent rédhibitoires.