GSM : Pouvez-vous nous présenter votre entreprise ?

Frederic Benichou : Cymulate se veut leader dans le domaine de la validation en continu de la posture de sécurité, avec une solution très complète couvrant le BAS (Breach & Attack Simulation), le CART (Continuous Automatized Red Teaming), et de multiples autres aspects.

La solution permet de simuler des attaques Cyber (avec n’importe quel vecteur), d’évaluer le niveau de sécurité réel existant, d’identifier les faiblesses, de recommander les actions de remédiation à mettre en œuvre, et de mesurer en continu l’efficacité de celles-ci.

En vérifiant en continu l’efficacité des contrôles de sécurité déployés, elle permet ainsi de répondre de manière factuelle et exhaustive à la question : « quel est mon niveau de risque Cyber ? où en est la sécurité de mon environnement ? Quelles sont les faiblesses et failles à combler en priorité ? »

Cymulate a été fondée en 2016, par une équipe d’experts de la cyber-sécurité venant notamment du monde du pen testing (tests d’intrusion).
Au cours de leurs expériences passées, ils ont réalisé que les experts du pen testing pourraient réaliser des gains de productivité importants en automatisant certaines tâches répétitives, pour se concentrer sur les tâches à plus forte valeur ajoutée.
Par ailleurs, entre deux tests d’intrusion ayant lieu une ou deux fois par an, tout change dans l’environnement du client : l’infrastructure, la configuration des éléments de sécurité, et surtout les nouvelles menaces qui apparaissent chaque jour – rendant le test d’il y a un an quelque peu caduque - d’où le besoin de tester en continu.

La vision des fondateurs a donc consisté à développer une solution complète, une plateforme modulaire, permettant la validation en continu de la posture de sécurité - « eXtended Security Posture Management ».

La société, dont le siège est basé en Israel, connait un succès accéléré au cours des 24 derniers mois, dépassant désormais 200 employés sur 4 continents, et plus de 400 clients, dont plusieurs dizaines de grands entreprises multinationales.

L’année 2022 est celle de l’expansion en Europe - Cymulate étant désormais présent au Royaume Uni, en Allemagne, aux Pays-Bas, en Espagne... et en France, où j’ai pris la direction du bureau ouvert depuis avril.

GSM : quelles sont vos gammes de produit ou service phare pour 2022 ?

Frederic Benichou : Le solution Cymulate de simulation d’attaques est entièrement modulaire, et permet de couvrir l’ensemble de la « kill chain ». En suivant l’ordre de celle-ci :
–  En amont, un module optionnel d’Attack Surface Management recueille de l’information sur l’exposition au risque vu depuis l’extérieur.
–  Puis des modules d’évaluation de la sécurité périmétrique : passerelle Email, passerelle Web, WAF, et Sensibilisation au Phishing
–  Un module End-Point pour tester l’efficacité de l’EDR
–  Module Lateral Movement : il montre les chemins d’attaque qui pourraient permettre la propagation d’une attaque depuis un patient zero vers d’autres ressources sensibles.
–  Un module d’exfiltration de données pour tester le DLP
–  Les modules Full Kill Chain et Advanced Scenarios permettent de chainer des éléments d’attaques sous forme de scenarios complexes, en se référant au MITRE ATT&CK.
–  Attack Based Vulnerability Management : en s’intégrant avec les principaux scanners de vulnérabilité du marché, ce module permet de prioritiser les vulnérabilités, non pas en fonction d’un niveau de dangerosité théorique, mais en fonction de l’impact réel que provoqueraient des attaques exploitant ces CVEs chez le client.
–  Enfin le module Immediate Threats Intelligence permet, quelques heures à peine après l’apparition d’une nouvelle attaque dans le monde, de fournir une version simulée pour tester le niveau de protection que l’entreprise aurait face à cette attaque.

La solution prend la forme d’une souscription logicielle en mode SaaS, avec des mises à jour quotidiennes et hebdomadaires.
Elle est particulièrement facile à déployer et à administrer, car il n’y a qu’un seul agent à déployer sur un poste représentatif (et non pas un sur chaque poste). En particulier, un POC s’effectue en deux séances d’environ une heure 1/2.

En termes de cibles clients, la solution peut convenir à des sociétés de toute taille, mais elle est idéalement adaptée :
–  aux grandes entreprises hétérogènes (avec le support du multi-tenant et de la délégation d’administration).
–  A un niveau de maturité Cyber en plein évolution – Cymulate apportant une aide précieuse dans les choix stratégiques de la roadmap Cyber.

GSM : Comment accompagnez-vous les services de votre entreprise ?

Frederic Benichou : L’équipe avant-vente locale accompagne nos clients dans la phase d’évaluation / POC de la solution, gratuitement.
La mise en place et réalisation du POC se fait typiquement en deux séances d’environ une heure ½.

Une fois que l’entreprise est devenue cliente, la souscription logicielle inclut :
–  Le support technique en langue anglaise
–  L’accès à un Customer Success Manager (CSM) dont le rôle est d’accompagner le client dans la prise en mains de la solution, fournir de l’aide à l’utilisation des modules les plus complexes, et la formation.

GSM : Pour conclure, quel serait votre message à nos lecteurs ?

Frederic Benichou : Le BAS (Breach & Attack Simulation) est désormais devenu une technologie mûre et largement déployée, reconnu comme telle par des analystes comme Gartner. Son adoption rapide est notamment due au fait qu’il y a de nombreux cas d’usage, quel que soit le niveau de maturité en Cyber de l’entreprise.

Ainsi il peut servir à :
a) mesurer l’efficacité de solutions déjà mises en place, ex. passerelle Web
b) cette mesure étant en continu et automatisée, vous êtes alerté si le niveau de risque dévie trop par rapport à une « baseline » (niveau de risque acceptable), ce qui pourrait être causé par un changement de configuration ou d’architecture.
c) évaluer les mérites et limitations respectives de nouvelles solutions de sécurité avant de faire un choix (ex. EDR)
d) « challenger le SOC » en vérifiant qu’il réagit correctement à des scénarios d’attaque
e) prioritiser les vulnérabilités (en fonction des impacts réels d’attaques exploitant les CVEs),
f) internaliser une compétence de pen testing, avec un outil simple d’utilisation, complet, et surtout automatisé et en continu
g) Cymulate permet enfin d’aider dans le processus de décision des axes stratégiques d’une roadmap Cyber, ou dans la justification des priorités budgétaires en sécurité etc...

N’hésitez plus, essayez !