Sergey Nivens - Fotolia
Loïc Guézo, Trend Micro : « ne pas aller dans une alliance au prétexte que les autres y sont »
Dans un entretien avec la rédaction, Loïc Guézo, évangéliste sécurité de l’information pour l’Europe du Sud chez Trend Micro, fait le point sur l’approche de l’éditeur en matière de collaboration public/privé et de partage de renseignements sur les menaces.
La collaboration entre secteur public et privé a fait l’objet de nombreux débats au cours des dernières années. Comment l’appréhendez-vous chez Trend Micro ?
Loïc Guézo : Chez Trend, la collaboration s’organise surtout avec les forces de police. Il s’agit d’un effort international qui s’articule autour d’un partenariat central avec Interpol. Nous avons donc une collaboration avec Europol, et aussi une collaboration régulière avec le FBI. Au-delà, nous avons des partenariats point à point dans différents pays.
Nous sommes partenaire stratégique d’Interpol : concrètement, cela veut notamment dire que nous sommes présents aux assemblées générales. Nous assurons une présentation de nos capacités de collaboration lors des expositions techniques qui ont lieu en marge des assemblées générales.
Nous assurons par exemple des sessions de formation régionales, autour de programmes définis en commun avec Interpol, les forces de police locales concernées, et les différents éditeurs impliqués. C’était le cas récemment en Asie et en Amérique du Sud, et probablement prochainement en Afrique – c’est un gros sujet pour Interpol.
La collaboration avec Interpol est renforcée depuis quelques mois, depuis l’ouverture d’un centre technique à Singapour : un collaborateur de Trend Micro est détaché là-bas à temps plein. Il vient de l’équipe FTR de Trend Micro qui est spécialisée dans la recherche avancée sur les modes opératoires cyber.
Cette équipe de Trend collabore avec les forces de police nationales. On y trouve de nombreuses nationalités différentes avec des personnes qui parlent plusieurs langues. Mais les membres de cette équipe ne sont pas forcément physiquement présents dans le pays où ils interviennent, pour des raisons de sécurité. Typiquement, notre collaborateur pour la Russie est installé dans un pays d’Europe centrale.
Ces personnes sont spécialisées dans le suivi de groupes d’APT, notamment. L’un d’entre eux est par exemple spécialisé sur Pawnstorm, aussi connu sous le nom d’APT 28. Dans le cadre de l’attaque de TV5 Monde, nous travaillons avec le parquet [Des sources tierces nous ont déjà confirmé la présence de binaires attribuables à APT28 sur les machines compromises chez TV5 Monde, NDLR].
Les appels au partage de renseignements sur les menaces sont fréquents. Mais n’y a-t-il pas une différence considérable de valeur entre ce qu’un spécialiste privé de la sécurité est capable de mettre sur la table, et ce que, par l’Anssi, est capable de présenter ?
C’est effectivement l’un des éléments d’une réflexion commune entre les opérateurs publics, comme l’Anssi, et les éditeurs. Il y a eu plusieurs débats qui ont clairement établi que le secteur public a bien conscience de la qualité des informations et de la vision que peut avoir un acteur privé comme un éditeur de solutions de sécurité, du niveau de la menace. Et donc de ses capacités de fourniture d’indicateurs de compromission complets.
Tout le monde est d’accord là-dessus. Il ne reste plus qu’à mettre en place des systèmes de partage qui permettent aux éditeurs de ne pas dénaturer leur capital intellectuel en le fournissant à un acteur public qui, de facto, le repartagerait sans le vouloir avec un autre éditeur… L’éditeur serait alors tenté de faire une version light de ses renseignements pour le secteur public, et une version premium pour ses clients.
Mais il y a un second volet à la réflexion, où l’Anssi est incontournable. Lorsque l’on parle d’attaques sur le grand public, de cybercriminalité générale, effectivement, il faut partager immédiatement les indicateurs de compromission et la visibilité sur les modes opératoires, pour protéger tout le monde. Mais si l’on parle d’attaques sur les opérateurs d’importance vitale, les OIV, et la protection des infrastructures sensibles, le sujet est différent. Là, pour l’Anssi, il est par construction hors de question de partager à tout vent des indicateurs de compromission sur des attaques éventuellement en cours avec des modes opératoires qui, s’ils sont rendus publics, risquent d’être changés.
Il y a une asymétrie claire dans le partage d’informations, et l’on ne peut accéder à un partage plus symétrique que sous certaines conditions. Cela se produit aujourd’hui lorsqu’un fournisseur intervient sur un secteur sensible et que l’Anssi ou le client demande que les solutions soient capables de détecter un certain type d’attaques très spécifiques à ce secteur. Cela nécessite de l’éditeur un ensemble d’habilitations, de capacités à préserver des secrets, ce qui n’est pas forcément du tout-venant.
On entre là dans un second type de partenariat public/privé où il faut que l’on ait démontré au préalable que l’on peut faire partie d’un certain cercle de confiance.
Cela peut vouloir dire, par exemple, d’être capable de proposer un outil de chiffrement dont le moteur de chiffrement ne soit pas contrôlé par l’éditeur mais par l’Anssi. Là, on a une meilleure garantie qu’il n’y aura pas de porte dérobée ni d’altération des algorithmes. Ou alors il faut être capable de travailler avec des outils de sécurité qui ont été audités par l’Anssi pour montrer qu’ils n’apportent pas de vulnérabilités, ou de transparences volontaire à certains types d’attaques, ou qu’ils ne renvoient pas trop de données à des tiers.
N’y a-t-il pas une tendance à la dévaluation du renseignement sur les menaces, du fait de phénomènes de marché, alliances ou plateformes ouvertes ? Et je pense notamment à celle récemment lancée par IBM.
Il y a aujourd’hui deux mouvements. Un premier est commercial, qui correspond à ceux auxquels vous faites références et auquel Trend Micro a aujourd’hui la volonté de ne pas participer. Il s’agit justement de ne pas entrer dans une course à l’ouverture vers le bas.
Nous avons une équipe de R&D de 1200 personnes qui travaillent sur notre capital intellectuel, en termes de connaissances des menaces. Il faut se poser la question du sens et de la valeur à mettre tout cela dans la nature, sauf à vouloir simplement dire que l’on fait partie de l’alliance et s’attendre à en dégager un bénéfice en retirant de l’information chez les autres. Notre politique est aujourd’hui de ne pas aller dans n’importe quelle alliance au prétexte que les autres grands noms y sont.
De l’autre côté, il y a des plateformes de partage comme le Nist piloté par l’Otan. Là, le mode de fonctionnement est différent : il y a un organisme régulateur qui travaille avec les différents éditeurs pour piocher une information poussée par les éditeurs qui sera retravaillée et qualifiée avant d’être redescendue vers les clients ; il y a là la volonté de constituer une chaîne de valeur ajoutée et de participer au bien commun en sécurité informatique. On n’est pas là dans une alliance commerciale avec une démarche marketing.
Ce type de partage, on le fait avec Interpol, avec certains grands organismes de police, avec l’Onu, avec UIT. C’est uniquement comme cela que l’on envisage aujourd’hui le partage de renseignement.
Mais ces initiatives auxquelles vous ne voulez pas vous joindre ne contribuent-elles pas déjà à diluer la valeur du renseignement sur les menaces ?
Oui, d’une certaine façon. Dans cette course au renseignement, il y a un effet volume qui est, d’un point de vue marketing, facile à pousser.
Mais ce qui fait la différence, c’est la capacité de réactivité et de découverte/alerte sur la nouveauté. Et cela veut dire savoir traiter rapidement d’importants volumes de données.
N’y a-t-il toutefois pas là une prime à celui qui a la base installée la plus large et la plus diversifiée ?
Il y a de facto une prime à celui qui est le plus vite capable d’apporter de l’information là où elle doit l’être. Le fait de ne pas être un nouvel entrant, d’avoir une grande base installée, et d’avoir une structure de renseignement sur les menaces intégrée depuis plusieurs années, c’est une prime.
Sans citer personne, certains annoncent la construction de capacités de renseignement sur les menaces à coups de rachat, d’interconnexion de systèmes, pour avancer des chiffres élevés. Ce n’est pas ça qui fait la différence : c’est la capacité opérationnelle à automatiser, à fluidifier tous ces échanges d’informations et puis à avoir une forte R&D humaine pour qualifier de façon intelligente le patient zéro de quelque chose de complètement nouveau.
Très souvent, nos systèmes détectent quelque chose que l’on qualifie d’un nom générique, pour pouvoir le bloquer, mais sur lequel on va repasser le temps qu’il faut – quelques minutes, quelques heures, ou même plus – avec de la R&D humaine. Et c’est comme cela que l’on peut découvre que l’on est face à une attaque avancée, et que l’on peut réinterroger notre base de données sur les menaces pour requalifier des événements observés dans le passé afin de réassembler les pièces d’un puzzle beaucoup plus large.
Nous ne sommes pas les seuls à le faire ; tous les gros le font. Mais cela nécessite un outillage, une organisation et surtout une importante R&D.
Quid d’un avantage technologique autour des algorithmes de type machine learning très populaires dans l’analyse comportementale ?
Ces techniques permettent aujourd’hui d’accélérer une partie qui est déjà fortement automatisée. Les capacités d’analyse Big Data et de qualification automatique constituent effectivement un axe de développement très important pour tous les acteurs, et donc aussi pour Trend Micro.
Mais sur les cas les plus avancés d’attaques ciblées, ce qui fait la différence aujourd’hui, c’est la capacité de collaboration entre les experts, et la capacité d’assembler des éléments parfois disparates pour passer un cran au-dessus.