Klaus Gheri, Barracuda Networks : « il n’est pas possible de gagner seul dans la durée »

Dans cet entretien avec la rédaction, Klaus Gheri, vice-président produits de Barracuda Networks en Europe, défend les partenariats noués entre spécialistes de la sécurité pour le partage de renseignements sur les menaces. Et s’il reconnaît un intérêt croissant pour les technologies avancées de découverte de comportements anormaux, il estime que celles-ci ne permettront pas encore de totalement résoudre le problème des analyses non conclusives. Des zones grises avec lesquelles il va falloir vivre encore longtemps.

LeMagIT : Vous avez choisi d’utiliser la technologie de sandboxing de Lastline. Pourquoi n’avoir pas cherché à développer une telle technologie en interne ?

Klaud Gheri : C’est un domaine très spécifique. Pour quelqu’un comme nous, spécialisé dans les passerelles sécurisées, il était clair qu’il nous fallait nouer un partenariat avec quelqu’un qui se concentre entièrement sur cette technologie. Nous avons évalué plusieurs produits disponibles sur le marché et nous avons été impressionnés par Lastline. Nous avons implémenté sa technologie, que nous exploitons dans nos centres de calcul, sans souscrire à son service.

Mais cela ne s’arrête pas à cela. Il y a tout une couche d’inspection qui s’exécute sur le boîtier avant cela, avec un important recours à la mise en cache de données. C’est essentiel pour rendre l’ensemble plus économique et plus performant. Si la passerelle ne trouve pas elle-même la menace, elle délègue au service Cloud pour inspection.

Vous avez rejoint la Cyber Threat Alliance en février dernier, aux côtés notamment de Fortinet, Palo Alto Networks, McAfee et Symantec. Quelle valeur y trouvez-vous ?

Il n’est pas optimal – ni très rentable – que chacun, dans l’industrie, fasse ses recherches de manière isolée. D’un point de vue concurrentiel, il est tentant de penser que l’on peut rester en avance sur les autres en travaillant de la sorte.

On peut effectivement prendre de l’avance pour quelques mois, mais c’est juste avant de se faire dépasser par quelqu’un d’autre. Et au final, la valeur que l’on peut apporter individuellement aux entreprises est moindre que si l’on forme une alliance.

Ce qui nous a intéressés dans la Cyber Threat Alliance, c’est l’expérience qu’apportent ses autres membres. De notre côté, nous apportons les ressources de notre plateforme Barracuda Central qui est alimentée par un grand nombre de passerelles de sécurité et de systèmes de filtrage de contenus déployés dans les entreprises.

Cela nous permet de fournir d’importantes quantités de données, ce qui est d’ailleurs l’une des conditions pour faire partir de l’alliance. Les données que nous récoltons en retour nous aident à maintenir à jour des bases de données plus fiables sur les menaces.

Comment appréhendez-vous une initiative comme celle d’IBM, avec sa plateforme ouverte et gratuite de partage de renseignements de sécurité ?

Tout cela est pertinent. Et je pense que, dans un futur pas trop lointain, il y aura encore plus de partage. Parce que la vitesse avec laquelle les exploits sont développés, l’énergie des cybercriminels, nous commandent de coopérer en tant qu’industrie. Je ne crois pas que la propriété intellectuelle, la valeur d’un produit, se résume à petit avantage sur les renseignements. Plus on partagera, plus les produits seront bons et plus cela profitera à l’industrie dans son ensemble. Il n’est pas possible de gagner seul dans la durée face aux cybercriminels. Mais tous ensemble, c’est possible.

Que pensez-vous alors de l’approche de Trend Micro qui, lui, préfère rester à l’écart de ces deux initiatives ?

Tout dépend de là où l’on vient. Je ne pense pas que tout le monde puisse aboutir à la même conclusion en même temps. Trend Micro vient du monde de l’anti-virus. Du fait de cet historique, c’est principalement une base de données de signatures qu’ils proposent. Ça n’a pas une valeur clé pour nous.

Il y a des décalages d’approche en fonction de l’historique de chacun. Mais je crois qu’il y aura, au final, un mouvement plus large en faveur de plus d’ouverture et de partage, parce que c’est la seule chance pour garder le rythme, notamment financièrement.

De fait, on peut acheter des flux de renseignements sur les menaces. Mais un seul n’est pas assez complet, il en faut plusieurs. Et fusionner, nettoyer ces sources demande beaucoup de travail.

Ce travail coûte beaucoup d’argent à tout le monde, des sommes qu’il est possible d’utiliser mieux, autrement, si l’on partage l’information. Les attaques deviennent de plus en plus sophistiquées et les contrer coûte de plus en plus cher. Le partage est la seule voie.

L’analyse comportementale semble s’imposer comme l’une des grandes pistes d’évolution de la lutte contre les menaces. Envisagez-vous d’orienter votre offre dans cette direction ?

Nous avons eu de nombreuses discussions avec des spécialistes du domaine lors de la dernière édition de RSA Conference, au printemps, et nous préférons travailler avec eux. Ceux-ci ont besoin de disposer, en provenance des équipements réseau, de données inspectables sur le trafic, si possible en clair. Certains veulent simplement obtenir les logs, d’autres veulent une copie du trafic en clair.

La difficulté consiste en l’absence de véritable standard pour fournir ces données : je dois leur fournir des interfaces, mais c’est à tout un écosystème, complet, que je dois m’adapter.

Ces systèmes sont pertinents. Ils aident et simplifient le travail de protection. Et c’est nécessaire ! Rendez-vous compte : une évaluation par le moteur d’émulation de Lastline génère un rapport d’environ 80 pages A4. Son analyse demande une expertise certaine.

Mais aucun de ces systèmes ne fonctionne de manière binaire. C’est comme pour une `$sandbox : mettons que l’on récolte une évaluation sur une échelle de 0 à 100. Lorsque quelque chose est identifié à 90 % comme une menace, c’est facile de prendre une décision. La question est de savoir ce que l’on fait lorsque l’on tombe dans le domaine de 60 % : c’est suspect, ce n’est pas connu comme bénin, ça pourrait être quelque chose de sérieux, mais on ne sait pas. Ce genre de cas ne va pas disparaître.

Et si les grandes organisations sont susceptibles d’avoir les moyens de conduire les analyses nécessaires, ce n’est pas forcément le cas des structures plus modestes.