FireEye : « En Europe, la sphère gouvernementale est la plus visée »

Richard Turner, VP EMEA de FireEye, et Ashar Aziz, son fondateur, étaient de passage en Europe pour l’ouverture d’un centre de recherche et développement à Dresde, en Allemagne. L’occasion de faire le point sur les spécificités du Vieux Continent.

LeMagIT : Pourquoi ouvrir un centre de recherche et développement à Dresde, en Allemagne ?

Richard Turner : Les problèmes de sécurité sont globaux par nature, mais ont leurs spécificités locales. Nos chiffres pour le premier semestre de l’année montrant que les malicieux visent en priorité la sphère gouvernementale, en Europe. Et il n’est pas possible de seulement développer des technologies de protection en Californie, au Royaume-Uni, ou Asie pour résoudre ces problèmes.

La région EMEA présente un paysage très intéressant. Cinq pays y reçoivent 60 % de toutes les attaques ciblées : le Royaume-Uni, l’Allemagne, l’Arabie Saoudite, la Turquie, et la Suisse. On observe en outre une verticalisation des attaques. Elles ne sont lancées au hasard mais précisément ciblées par des acteurs bien organisés et bien financés. Qu’il s’agisse de cybercriminels ou d’acteurs soutenus par des Etats-Nations.

Quels sont les objectifs principalement poursuivis dans la région par ces acteurs ?

Richard Turner : certains visent le vol de propriété intellectuelle ou le vol de données financières, quand d’autres cherchent à créer un environnement propice à le demande de rançons. C’est très varié.

Ashar Aziz, fondateur de FireEye

Ashar Aziz : Les gouvernements et agences gouvernementales ne sont pas les seules visées. C’est tout leur écosystème qui l’est. Les sous-traitants du secteur de la Défense sont fréquemment visés. En fait, l’éventail de cible est large… tout en restant très précisément défini. Et sur ces cibles, la menace survient de manière presque quotidienne.

Souvent, les attaques visent directement la cible finale. Mais en cas d’obstacle, l’attaque peut se déporter dans la chaîne de valeur. On l’a vu avec l’attaque qui a visé RSA il y a quelques années. Cette stratégie est également mise en œuvre en Europe. Mais l’important est retenir qu’aucune attaque ne survient de manière aléatoire. Toutes suivent un plan exécuté de manière très structurée.

Une présence sur le sol européen est-elle nécessaire pour adresser le Vieux Continent ?

Richard Turner : L’Europe dispose d’un environnement réglementaire spécifique. Mais la réalité est que la plupart des clients, où qu’ils soient, estiment que la sécurité est critique pour leurs activités. Pour autant, la sécurité n’est pas considérée comme une compétence relevant de leur cœur de métier. Ce qui explique que l’approche traditionnelle centrée sur la vente de produits ne suffit pas. Ajoutant une composante services, il est possible de se concentrer sur les impacts métiers

Le marché français connaît, depuis quelques années, un phénomène de concentration, notamment autour de champions venus du secteur de la Défense, comme Thalès ou encore Safran et Airbus. Comment appréhendez-vous ce phénomène ?

Ashar Aziz : Nous voulons travailler avec les partenaires de confiance, et ne surtout pas entrer en concurrence avec eux. Cela fait partie de notre stratégie. La plupart des organisations que vous avez citées ont leur propre écosystème. Notre stratégie, c’est de réussir à assembler l’ensemble de compétences et de technologies nécessaires pour résoudre les problèmes auxquels sont confrontés nos clients.

Richard Turner : Les incidents sont inévitables. Et lorsque cela se produit, la question est de réussir à compresser le cycle de vie de l’attaque, pour minimiser son impact. Et c’est aussi là que nous voyons des partenariats : nous avons de tiers, partenaires de confiance des clients finaux, pour construire les processus qui vont leur permettre de traiter des incidents.

Le partage de renseignement de sécurité semble récemment avoir pris un nouvel essor. Quelle est votre approche en la matière ?

Ashar Aziz :  C’est une bonne chose. Nous le faisons d’ailleurs depuis longtemps. De nombreuses personnes veulent profiter de nos sources, partagées depuis un an ou deux. Mais nous appréhendons parfois avec scepticisme certaines annonces, en attendant de voir la réalité derrière le marketing. Et la réalité, nous concernant, c’est que nous avons créé le template utilisé pour standardiser le partage de renseignements de sécurité. Nous avons créé le plus gros écosystème de partage avec de très nombreux tiers – plus d’une trentaine – et intégré le concept de partage dans les environnements de production de nos clients.

Le standard du NIST est ainsi basé sur les travaux des équipes de Mandiant. Nous pensons que cette intégration est bonne pour les clients. Nous gérons cela avec des niveaux de granularité différents, selon qu’il s’agit de partage au sein d’une même organisation, entre clients, ou à plus grande échelle. Entre clients, il s’agit seulement de métadonnées, par exemple. 80 % des clients FireEye partagent au sein de notre service.