Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Frédéric Bénichou : il est urgent de passer à des solutions de nouvelles générations pour protéger le poste de travail

septembre 2018 par Marc Jacob

Lors des Assises de la Sécurité, SentinelOne présentera sa solution SentinelOne EPP & EDR. Elle permet de protéger le poste de travail grâce à l’Intelligence artificielle (EPP, ou Endpoint Protection Platform), mais également de détecter des attaques et de répondre grâce à l’investigation (EDR, ou Endpoint Detection & Response). Pour Frédéric Bénichou, Directeur Régional Europe du Sud de SentinelOne, il est urgent de passer à des solutions de nouvelles générations pour protéger le poste de travail.

GS Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Frédéric Bénichou : Nous ferons des démonstrations de notre solution SentinelOne EPP & EDR. Notre solution de protection du poste de travail grâce à l’Intelligence artificielle (EPP, ou Endpoint Protection Platform), mais également de détection des attaques et de réponse grâce à l’investigation (EDR, ou Endpoint Detection & Response). Notre solution fonctionne avant, pendant et après l’attaque. Avant l’attaque (« pre-execution, en anglais »), nous adressons les attaques qui arrivent sous forme de fichier et pouvons reconnaître ces fichiers malicieux sans signature. C’est du Machine Learning statique. Pendant l’attaque (« on execution », en anglais), nous détectons des séquences de processus malicieuses, c’est-à-dire que nous ne détectons pas un processus en particulier, mais un enchaînement particulier dont nous savons qu’il conduira à un acte malicieux. Nous construisons cet enchaînement sous forme d’arborescence en mémoire et lorsque nous reconnaissons un enchaînement, nous tuons un à un ses processus en remontant dans l’arborescence. C’est du Machine Learning dynamique. Enfin, après l’attaque, chaque agent remonte un rapport d’incident dans notre console d’administration, afin de constituer des indicateurs qui serviront à mener des investigations sur tout le parc informatique.

GS Mag : Quel sera le thème de votre conférence cette année ?

Frédéric Bénichou : Le nom de notre atelier est « De la protection du Endpoint vers la réponse à incident ». Notre outil qui s’est beaucoup enrichi récemment permet de répondre aux menaces mais aussi de répondre aux incidents. Notre outil est pertinent dans un SOC : il permet d’agir à distance sur un poste infecté, par exemple en tuant un process, ou en le déconnectant du réseau tout en le laissant connecté à la console. Nous adressons des entreprises de toutes tailles. Nous avons de plus en plus de succès auprès de très grandes entreprises (projets à plus d’un million de dollars aux USA, chez des entreprises de plusieurs dizaines de milliers de postes). Une centaine de clients en France (dont une banque qui va déployer SentinelOne sur plus de 100.000 postes à terme). Un à deux clients viendront témoigner lors de l’atelier.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2018 ?

Frédéric Bénichou : Les ransomwares subsistent et sont de plus en plus sophistiqués. Nous avons également observé l’augmentation d’attaques sans fichier, notamment via des scripts PowerShell, ainsi que des tactiques d’évasion et de persistance (qui s’auto-réparent) de plus en plus sophistiquées elles aussi ; désormais, les malwares se recopient à plusieurs endroits pour se régénérer. Les hackers commencent à utiliser des robots avec IA pour savoir quelles sont les meilleures méthodes pour attaquer en fonction de l’environnement du poste.

GS Mag : Quid des besoins des entreprises ?

Frédéric Bénichou : Les entreprises sont beaucoup sujettes au manque de main d’œuvre qualifiée. Elles sont en deçà des ressources nécessaires. Nous sommes persuadés que l’automatisation des réponses et de la remédiation pourrait soulager le besoin en compétences. Notre solution qui automatise ces procédures va améliorer la productivité des personnels en charge de la sécurité, ainsi que leur rapidité à répondre aux incidents.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Frédéric Bénichou : Nous avons d’abord une stratégie produits. En octobre, la fonction de réponse à incidents arrive dans la console pour lancer des actions depuis la console vers l’agent. En matière de stratégie de vente, nous allons de plus en plus nous adresser aux SOC et moins aux personnels qui sont en charge des antivirus. Nos partenaires seront de plus en plus des consultants et des intégrateurs sur le marché des SOCs.

GS Mag : Avec l’entrée en vigueur du RGPD, la « security et la privacy by design » deviennent quasi incontournables. Quel sera votre positionnement en ce domaine ?

Frédéric Bénichou : Notre agent autonome ne remonte jamais de payload vers le Cloud. Dans le pire des cas, nous envoyons un hash des informations. Notre console fonctionne depuis le Cloud d’Amazon en Allemagne. Nous suivons une politique très stricte, totalement conforme aux exigences du RGPD.

GS Mag : Quel est votre message aux RSSI ?

Frédéric Bénichou : N’attendez pas qu’une attaque réussisse à vous impacter. Il est urgent de passer à des solutions de nouvelles générations pour protéger le poste de travail, c’est-à-dire qui combinent la sécurité du poste (dite Endpoint Protection Platform, ou EPP) et la visibilité dans un SOC (outil d’EDR, ou Endpoint Detection and Response). Évitez néanmoins d’assembler des solutions différentes, car cela résulterait en un trop grand nombre d’agents à administrer par poste de travail. Préférez une solution unifiée.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants