Alors que la pandémie semble reculer, les attaques informatiques, elles, ne ralentissent jamais. La menace et les cyberattaques n'ont jamais été aussi nombreuses et aussi dangereuses, comme le rappelle l'entreprise spécialisée Gatewatcher.
Gatewatcher est une société française créée en 2015 qui œuvre à la détection des menaces sur le réseau et s'intéresse de très près à la « threat intelligence » (l'étude des menaces). Nous avons discuté avec Nicolas Guerin, le directeur commercial de l'entreprise.
L'interview « cybermenaces » de Nicolas Guerin, de Gatewatcher
Clubic - Votre plateforme Aioniq propose une analyse cartographique et comportementale des cybermernaces. Qu'apporte-t-elle concrètement aux entreprises ?
On a fait le constat que la sécurité informatique fonctionnait un peu dans son coin et communiquait moins avec les équipes de production, les équipes réseau. Il y a toujours eu cette dichotomie entre ces mondes. Le but était de les réconcilier en leur fournissant un produit capable de catégoriser la menace par risque cyber, de façon à ce que les analystes puissent intervenir de manière précise et rapide. Tout cela se fait en analysant les flux du réseau d'une entreprise.
"Malheureusement, la menace est de plus en plus présente"
Comment définir simplement la « threat intelligence » ?
La threat intelligence, c'est l'étude de la menace. Cela existe dans de nombreux domaines, dont la cybersécurité. Admettons que j'aille sur Internet, sur les différents réseaux, en faisant des recherches. À partir de ces recherches, je crée des signatures qu'on injecte ensuite dans des équipements de sécurité. C'est le travail de notre pôle intelligence, LastInfoSec. Ses recherches sont automatisées : elle est sur tous les réseaux, sur le deep web, sur le dark web, sur les réseaux sociaux pour comprendre cette menace et en faire des marqueurs, pour opérer ensuite une détection qui soit à jour et précise.
LastInfoSec était initialement une société autonome, qui a été rachetée par Gatewatcher. Que pouvez-vous nous dire cette plateforme ?
Aujourd'hui, LastInfoSec, c'est de l'intelligence que l'on met à disposition des entreprises (parfois même de nos concurrents) pour compléter l'intelligence de leurs produits. C'est aussi de l'intelligence que nous mettons au service de nos produits de détection. Cela prend la forme de signatures, dont nous parlions tout à l'heure. Lorsqu'on fait passer quelque chose sur le réseau, une signature va matcher et créer une alerte.
Globalement, quel est l'état de la menace aujourd'hui ? Assiste-t-on pour autant à une diminution des menaces et des attaques ?
Malheureusement, non : la menace est de plus en plus présente. On fait face à des groupes privés et organisés, parfois même des États, de plus en plus entraînés, qui disposent de fonds et de moyens colossaux. La menace cyber, c'est un moyen de faire la guerre. Il n'y a pas de baisse, bien au contraire. Il y a eu de grandes attaques récemment, avec Sunburst, Colonial Pipeline, l'AP-HP, etc. Et cela va en augmentant, car les entreprises sont de plus en plus numérisées.
"Le but reste d'avoir un cran d'avance sur l'attaquant, sur la menace"
Il est intéressant de parler de l'AP-HP, car justement c'est une exception à ces attaques « étatiques » et organisées. La cyberattaque de l'AP-HP a été orchestrée par un étudiant en informatique de 22 ans, seul dans son coin. La menace est donc multiple ?
Oui, totalement, et surtout on se rend compte aujourd'hui que les experts en cybersécurité sont des passionnés qui ont souvent commencé jeunes, avec des frameworks d'attaque à disposition en libre service sur Internet. Avec de la passion, du temps, de l'entraînement et de petites infrastructures, on est capables d'arriver sur des attaques majeures.
Quelle est la stratégie de Gatewatcher pour les mois et années à venir ?
Le but est d'avoir un cran d'avance sur la menace. C'est primordial, parce qu'on a différentes typologies de menace et qu'elle s'adapte au secteur d'activité qu'elle va toucher, que ce soit dans l'énergie, dans la banque, la finance ou l'assurance. Parfois, ce ne sont pas les mêmes équipements non plus qui vont être touchés : il y a de l'IT, de l'OT, etc. On veut aussi continuer à améliorer notre plateforme, qui fait gagner du temps aux analystes et lève des risques en dépistant les comportements anormaux. L'intérêt est d'affiner cette détection et de réfléchir à la menace de demain, en continuant de développer notre recherche et développement.