Alors que le cybercrime devrait coûter 3000 milliards de dollars en 2019, les organisations, les opérateurs d’importance vitale et les opérateurs de services essentiels (OSE) challengent l’écosystème pour améliorer leur protection et faire face à une menace en constante évolution.
Au coeur de cet écosystème, les géants du CAC40 voient ainsi leur assise confortable bousculée par des structures plus modestes.
Structurées, disposant d’une vision stratégique d’innovation et de développement précise, ces dernières s’imposent par leurs méthodes agiles qui séduisent, mêlant interopérabilité et efficacité.
Rencontre avec l’un des dirigeants qui agite l’univers de la cybersécurité, Jacques de la Rivière, co-fondateur et CEO de Gatewacher.
Détection multivecteurs en temps réel
Les organisations privées et publiques reconnaissent que leurs systèmes de protection actuels (antivirus, Firewalls, IPS…) répondent à des attaques classiques connues par la communauté de la sécurité, mais sont totalement obsolètes pour faire face aux attaques ciblées dites avancées (APT, Advanced Persistent Threats). Première plateforme de détection multivecteurs, Gatewacher protège alors ces organisations contre les intrusions grâce à des technologies uniques d’analyse des signaux faibles et d’apprentissage automatique. « Gatewatcher est la première solution de détection des intrusions avancées (Breach Detection System) développée en France et répondant aux exigences de durcissement émises par l’ANSSI dans le cadre de la Loi de Programmation Militaire. Notre solution est capable de détecter les attaques avancées ou toute autre menace grâce à notre technologie Trackwatch, mise au point par notre équipe d’experts pluridisciplinaires. Trackwatch cible les comportements anormaux en effectuant une analyse dynamique des signaux faibles à partir des flux réseaux. » détaille Jacques de la Rivière.
Plateforme autonome, la solution Gatewatcher 100 % française, permet la gestion locale des données clients qui fonctionne aussi bien en mode connecté qu’en mode déconnecté pour les réseaux isolés et confidentiels.
Vers un mode agile : la future norme exigée
La cybersécurité est un élément clé et structurant d’une transformation numérique réussie. « Dans notre univers de la cybersécurité, nous devons donc aller dans la même direction et adopter des modes agiles. »
Une agilité qui s’invite dans les méthodes de développement et de management pour être au plus proche des clients. Gatewatcher a ainsi développé un OS sécurisé et durci où toutes les données sont chiffrées. Une analyse de flux réseau s’effectue en temps réel grâce à cette sonde réseau, premier maillon de la chaine à recevoir des alertes. « Notre sonde est ainsi la cible première des attaquants. L’enjeu du durcissement est donc vital. » souligne Jacques de la Rivière et d’ajouter « Les données sensibles sont, elles, enregistrées en mémoire vive. »
Mais l’agilité est aussi une composante essentielle dans les concepts, dans l’architecture des projets. « Il est nécessaire de déployer des produits sécurisés, interopérables avec d’autres produits systèmes et réseaux, tels que l’EDR du poste de travail ou le firewall. Nous entrons alors dans l’industrialisation du produit et du matériel de cyberdéfense, mais aussi des métiers avec la remontée des alertes intelligibles. » précise Jacques de la Rivière.
L’agilité est enfin une exigence du quotidien face à une menace protéiforme et en constante évolution. « Les hackers sont très agiles et innovants. Nous devons les contrer et les affronter grâce à la création d’un socle évolutif favorisant l’adaptation permanente de nos solutions face aux menaces futures.»
Quatre moteurs nouvelle génération de détection
La détection d’une APT se déroule en trois phases couvertes par l’analyse de quatre moteurs nouvelle génération de détection : la reconnaissance (brèche initiale), la persistance (Propagation malveillante : + de 200 jours) et la phase finale avec les dommages : vol de données, destruction, compromission de fichiers, paiement frauduleux.
Lors de la reconnaissance, le premier moteur Sigflow réalise l’analyse protocolaire et statistique, et la détection des anomalies. Vient ensuite Codebreaker, le second moteur de la technologie TRACKWATCH qui constitue le coeur de la R&D de Gatewatcher.
Codebreaker est capable de repérer et reconnaître les APT initiées à partir de Shellcodes encodés / ROP (Return Oriented Programming) et JOP (Jump Oriented Programming). Il repère ainsi les attaques utilisant des éléments de code cachés, des marqueurs visant à exploiter des vulnérabilités.
Viennent ensuite les moteurs Malcore et Retroact. Le premier assure l’analyse statique et heuristique multi moteurs temps réel des malwares. Plus de 6 millions de fichiers sont ainsi analysés en 24 heures.
Retroact permet enfin de ré-analyser les fichiers à potentiel malicieux plusieurs jours après leur passage, avec de nouvelles signatures et méthodes heuristiques.
Vers une cyber-résilience attendue
Face à toutes ces exigences, le mode agile s’impose de lui-même permettant ainsi d’aboutir à des produits complets et efficaces et ce de façon pérenne. En matière d’investigation et d’analyse des alertes, Gatewatcher applique une approche « Network Behaviour » qui induit une visualisation des pics d’activité, des déviations de profils, des statistiques, etc. et la mise à jour quotidienne de la threat intelligence.
La géolocalisation est intégrée avec une carte interactive, et la réduction des faux positifs et des alertes récurrentes est très significative. « La gestion des sévérités et des criticités d’alertes avec réponse sur incidents permettent de converger vers une cyber-résilience attendue de la part des organisations sensibles que nous accompagnons. » souligne Jacques de la Rivière.
Fournir une API interopérable, les capacités de durcissement, l’industrialisation et le niveau de détection des menaces constitue un ensemble cohérent permettant d’aller vers plus de cyber résilience. Un processus dans lequel Gatewatcher tire visiblement son épingle du jeu.
La PME qui compte désormais 40 collaborateurs travaille à présent sur l’implémentation de l’Intelligence artificielle, du machine learning et du Big data au coeur de sa solution. « Nous préparons l’avenir avec des équipes qui fonctionnent en itération agile pour ne jamais s’écarter de la ligne produit. S’adapter continuellement est un maître mot dans notre univers. »
Ambition européenne et internationale
Forte de 200 sondes déployées actuellement dans le monde, Gatewatcher qui compte d’ores et déjà de très belles références dans le domaine bancaire, les industries de Défense, le Spatial ou encore l’industrie cosmétique et certains gouvernements, entend poursuivre son développement à l’international avec en ligne de mire, le Moyen-Orient et l’Asie.
Pour cela, la PME envisage une levée de fonds d’ici à l’année prochaine sans perdre de vue son ambition première : devenir le leader européen de la détection d’intrusion.