Phantom Cyber entend considérablement accélérer la remédiation d’incidents

C’est le vainqueur de l’Innovation Sandbox de cette édition 2016 de RSA Conference. Phantom Cyber se présente comme l’éditeur d’une plateforme d’orchestration et d’automatisation dédiée à la réponse aux incidents de sécurité. Dans un échange avec la rédaction, son fondateur, Oliver Firedrichs, un ancien d’Immunet, dont Sourcefire a retiré sa technologie FireAMP pour la traçabilité des attaques, et que nous avions rencontré à l’occasion de l’édition 2013 de RSA Conference, reconnaît que le domaine est en pleine ébullition.

Récemment, on a notamment pu oberserver le rachat de Resilient Systems par IBM, ou encore celui d’Invotas par FireEye : « oui, ce domaine est en traint de devenir très actif. Mais je dirais qu’il y a une distinction entre ce que nous faisons et ce que fait Resilient Systems ».

Oliver Friedrichs souligne ainsi la différence entre la simple réponse à incident et l’orchestration, la seconde « permettant une automatisation complète du SOC. Cela vous permet de contrôler l’ensemble de votre environnement de sécurité, et les 40 à 50 briques technologies qui le composent. Resilient Systems était essentiellement centré sur la réponse aux incidents, pas sur l’orchestration. » Il porte un regard comparable sur Cybersponse : « ils sont plus centrés sur la gestion de cas et l’automatisation des workflows que suivent les humaines pour gérer les incidents de sécurité ».

Alors pour Friedrichs, c’est plus avec Invotas qu’il convient de comparer Phantom Cyber : « l’orchestration consiste à contrôler l’environnement dans une grande entreprise afin de se protéger dans une approche très tactique ».

Mais l’intérêt suscité par ces outils trouve selon lui une explication relativement simple : « les grandes entreprises ont besoin de réduire leurs coûts et d’arrêter la croissance de leurs effectifs [de sécurité, NDLR]. La seule façon de le faire est d’automatiser ».

Jeudi 3 mars dernier, Oliver Friedrichs participait à une table ronde avec Philip Quade, assistant Cyber du directeur de la NSA. Et celle-ci fut l’occasion pour ce dernier de souligner l’importance de l’automatisation : « nous nous appuyons très, très lourdement sur l’intégration et l’automatisation […] au lieu de traiter 65 événements par jour, nous avons commencé à en traiter des dizaines de milliers simultanément ».

Et ce phénomène, pour le fondateur de Phantom Cyber, s’inscrit avant tout dans une évolution naturelle : « nous avons construit des produits isolés durant des décennies. Nous construisons des solutions analytiques depuis des années. Maintenant, le goulot d’étranglement, c’est l’humain. Les meilleurs esprits humains ne peuvent pas répondre assez vite et ensuite interagir avec des dizaines de produits isolés pour protéger l’environnement ».

Et c’est son parcours, chez Immunet, puis Sourcefire et Cisco, qui a conduit Oliver Friedrichs à s’apercevoir, à l’occasion de réunions avec la NSA et le ministère de l’Intérieur américain, le DHS, que ce « problème » était important « et n’avait pas encore été résolu dans le domaine de la sécurité ».

Mais les plateformes d’orchestration ont elles plus vocation à être vendues seules ou proposées de manières intégrées, par exemple avec une offre de service ? « Pour le moment, la complexité de l’orchestration de systèmes me conduit à croire qu’il s’agit d’une toute nouvelle catégorie de technologie de sécurité. Sera-t-elle combinée à des produits existants, comme des SIEM ? Le temps le dira ».