Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

David Bizeul, SEKOIA : SEKOIA.IO, une alternative aux modèles de SOC actuels

janvier 2020 par Emmanuelle Lamandé

Les SOC utilisent généralement des SIEM à l’heure actuelle pour gérer et corréler les logs. Pour David Bizeul, CTO de SEKOIA, bien que la théorie des SOC soit pertinente en soi, elle rate globalement son objectif aujourd’hui, notamment en raison de la mauvaise qualité des alertes. Face à ce constat, SEKOIA propose un modèle de SOC complètement repensé au travers de sa plateforme de lutte informatique défensive SEKOIA.IO. En mettant une Threat Intelligence contextualisée au cœur du dispositif, les alertes gagnent en pertinence, facilitant ainsi la détection des attaques.

Global Security Mag : Pouvez-vous rappeler aux lecteurs qui ne vous connaîtraient pas encore qui est SEKOIA ?

David Bizeul : SEKOIA est une entreprise créée à Paris en 2008, spécialisée à l’origine dans le consulting en cybersécurité. Très rapidement, la société s’est développée autour d’un pilier stratégique et d’un pilier technique pour pouvoir accompagner les entreprises sur des sujets opérationnels. Le spectre s’est alors élargi autour d’activités offensives et défensives : test d’intrusion, réponse à incident… En 2013, SEKOIA a créé son CERT interne, le CERT-SEKOIA, et renforcé par ce biais son expertise en matière d’analyse de malwares, d’investigation numérique et d’accompagnement à la remédiation. Progressivement, le CERT-SEKOIA a développé ses propres outils à des fins opérationnelles, comme l’outil d’analyse forensic FastIR par exemple. Ces outils sont aujourd’hui à disposition de la communauté, le partage faisant partie de l’ADN de l’entreprise.

GS Mag : Dans quel contexte avez-vous rejoint SEKOIA en 2016 ?

David Bizeul : Avant de rejoindre SEKOIA, j’ai été en charge du CERT de la Société Générale de 2008 à 2012. Ensuite, j’ai rejoint les équipes d’Airbus Cybersecurity, pour notamment développer l’activité de Threat Intelligence (TI). En 2015, j’ai créé la start-up inThreat à Rennes autour d’une solution innovante de TI. Toutefois, lors de la création d’une start-up, les enjeux de financement, d’accès au marché et de réputation sont à considérer rapidement. La vision du marché de la cybersécurité étant partagée, fusionner avec une structure comme SEKOIA avait tout son sens. L’acquisition d’inThreat a également permis à SEKOIA de prendre un nouveau virage en 2016. L’offre du groupe, jusqu’alors orientée services, a pris une nouvelle dynamique orientée produits, via l’intégration du module de Threat Intelligence développé par inThreat. Pendant 3 ans, nos équipes ont travaillé intensément jusqu’au lancement début 2019 de SEKOIA.IO, une plateforme de lutte informatique défensive.

GS Mag : Comment définiriez-vous la Threat Intelligence aujourd’hui ?

David Bizeul : L’objectif de la Threat Intelligence réside dans la connaissance des différents modes opératoires des attaquants, en vue de comprendre comment ils fonctionnent et de pouvoir modéliser les menaces. Les informations recueillies grâce à la TI doivent être traductibles et utilisables pour les entreprises. Une solution de Threat Intelligence doit ainsi être en mesure de délivrer une production stratégique qui parle au management en fournissant des rapports clés en main intelligibles, mais aussi des informations qualifiées et fiabilisées pour les opérationnels. Le but n’est pas d’obtenir en soit une masse d’informations si on ne peut rien en faire ou si on n’est pas sûr de leur fiabilité. Bien évidemment, aucune solution ne peut prétendre à une fiabilité à 100%, mais l’objectif est bien de fournir des informations les plus fiables possible. Il ne faut surtout pas que la solution ait un effet bloquant. En effet, si une URL d’un site de e-commerce par exemple est compromise, cela ne signifie pas forcément que le site est compromis dans son ensemble. L’objectif sera donc d’identifier la zone de compromission sans discriminer pour autant le reste de l’activité de l’entreprise.
Pour ce faire, l’analyse nécessite donc de comprendre comment les systèmes fonctionnent et interagissent les uns avec les autres. La Threat Intelligence repose en grande partie sur une approche empirique de la connaissance des systèmes, des réseaux, des lois de l’Internet. Toutefois, la majorité des solutions de détection n’apporte quasiment aucun contexte.

GS Mag : En quoi SEKOIA.IO se différencie ?

David Bizeul : SEKOIA.IO est le fruit de trois ans de développement. Nous souhaitions, avec cette plateforme de lutte informatique défensive, mettre la Threat Intelligence au cœur du dispositif et la valoriser pour les opérations essentielles de sécurité. L’objectif est d’améliorer la détection et la compréhension des signaux faibles, en apportant toujours un contexte permettant d’appréhender le problème dans son ensemble. Un indicateur n’a aucun sens tout seul. Il n’a de sens que s’il est rattaché à son contexte et à son écosystème. C’est ce à quoi s’évertue SEKOIA.IO. La solution se compose de deux blocs principaux : Intelligence Center, un module de Threat Intelligence, et Operation Center, un module opérationnel de détection/réaction.

GS Mag : Quelles sont les différentes sources d’informations qui alimentent la Threat Intelligence ?

David Bizeul : Notre équipe Threat Intel, composée de 6 analystes, travaille quotidiennement pour modéliser et traduire tout ce qu’elle produit au sein de l’Intelligence Center. Les sources de Threat Intelligence sont multiples et les traitements sont à la fois manuels et automatisés. Les sources OSINT apportent énormément de valeur, l’objectif est alors de vérifier les informations, de les enrichir et de les modéliser dans l’Intelligence Center. D’autres informations sont le fruit de l’initiative d’experts, cherchant par exemple à comprendre pourquoi telle ou telle information ou campagne d’attaque n’est pas mentionnée dans un rapport public. Chaque attaquant a ses caractéristiques et des investigations poussées permettent d’identifier, puis de concevoir des trackers afin de suivre les activités par la suite. Une fois les trackers testés, ils peuvent alors être automatisés. Que la provenance soit automatisée ou manuelle, pour être pertinente, chaque information doit être vérifiée, fiabilisée et contextualisée. Tisser des liens entre chaque information permet de la remettre dans son contexte, de la comprendre et facilite de plus la détection des faux positifs.

Toute cette base de connaissance est mise à profit en temps réel par notre Operation Center pour détecter des attaques. C’est une solution SaaS en mode Cloud qui agrège les données de nos clients et les rapproche de notre base de Threat Intelligence, afin d’identifier des signaux faibles. En cas de problème avéré, le client recevra une alerte et une stratégie de remédiation lui sera proposée. SEKOIA.IO utilise notamment le standard OpenC2 pour assurer l’automatisation du process (blocage, mise en quarantaine, exécution d’action…). Notre plateforme permet d’agréger les données de sécurité du client, qu’elles proviennent d’environnements cloud ou internes. Le service SOC (Security Operation Center) autour de la solution peut se faire soit directement par l’entreprise cliente, ou alors être confiée aux équipes de SEKOIA en mode managé. Elle pourra aussi à terme être utilisée par des acteurs tiers, pour enrichir leurs propres services.

Les SOC utilisent généralement des SIEM à l’heure actuelle pour gérer et corréler les logs. SEKOIA.IO se présente comme challenger de ce type de technologies. En effet, aujourd’hui, bien que la théorie des SOC soit pertinente, elle rate globalement son objectif, notamment à cause de la mauvaise qualité des alertes. C’est un modèle de SOC complètement repensé que nous proposons avec SEKOIA.IO. En mettant une Threat Intelligence contextualisée au cœur du dispositif de détection, les attaques sont détectées en quasi temps réel et les alertes sont pertinentes et actionnables.

GS Mag : Quelles seront les prochaines étapes de votre développement dans les mois à venir ?

David Bizeul : La solution SEKOIA.IO a été mise sur le marché début 2019, mais continue à gagner sans cesse en fonctionnalités. Notre base de Threat Intelligence va s’ouvrir pour permettre au client d’être lui-même contributeur. Les fonctionnalités à venir du module de détection vont permettre de gagner encore plus de temps pour les analystes et d’avoir des alertes encore plus fines. Nous voulons clairement être leader d’une nouvelle forme d’expérience client pour la détection d’incidents de sécurité. Nous devons à la fois gagner en fluidité pour nos clients start-ups et gagner en automatisation pour nos clients grands comptes qui intègrent la solution à leurs propres systèmes.

SEKOIA sera également présent au FIC, fin janvier 2020 à Lille sur le plateau de Thales Innovation, pour mettre en avant notre incubation au sein du Cyber@Program Station-F de Thales.

GS Mag : Enfin, quel message souhaitez-vous faire passer à nos lecteurs ?

David Bizeul : SEKOIA.IO a été pensée pour répondre à une problématique du marché et proposer de manière simple une alternative aux modèles de SOC actuels. Tout acteur qui cherche aujourd’hui à démarrer sur ces sujets ou à repenser cette activité sur une partie de son périmètre devrait jeter un œil sur le site sekoia.io, et même essayer puisque c’est sans condition.




Voir les articles précédents

    

Voir les articles suivants