Systèmes industriels : Gatewatcher embarque le moteur de détection de Nozomi

L’annonce sera officialisée à l’ouverture de l’édition 2020 du Forum International de la Cybersécurité (FIC), cette semaine à Lille : Gatewatcher et Nozomi viennent de nouer un partenariat afin de proposer conjointement une plateforme de détection de menaces capable de couvrir, de manière intégrée, environnements IT et OT. Et en plus de la détection, l’administration est également intégrée.

Dans un entretien téléphonique avec la rédaction, Jacques de La Rivière, PDG de Gatewatcher, explique que ce partenariat a été simplifié par le fait que « les architectures base de deux produits sont très similaires. Nous avons donc intégré la partie collecte de Nozomi – qui profite par encapsulation du durcissement de Gatewatcher ». Du fait de cette proximité de conception « l’intégration a été très aisée, et l’on conserve une architecture de déploiement très modulaire pour les clients ».

Vincent Dely, directeur avant-vente EMEA de Nozomi, précise que le composant de collecte additionnel embarqué « s’appuie sur de la recopie de trafic réseau, à partir d’un TAP ou d’un port miroir, pour assurer l’analyse des protocoles industriels, afin d’en extraire les informations utiles et faire remonter les incidents à l’appliance GCenter ». Mais les propriétaires d’équipements Nozomi existants ne sont pas oubliés : ceux-ci vont également pouvoir alimenter un GCenter ; « ces différents scénarios sont supportés », ajoute Vincent Dely.

Pour Nozomy, l’intérêt de ce partenariat est évident : au printemps 2019, Jacques de La Rivière assurait que Gatewatcher était présent dans « 70 % des SOC PDIS du marché ». Et pour le Français, c’est aussi l’occasion de se différencier de Thales dont les sondes, également qualifiées, s’appuient aussi sur l’incontournable Suricata. Mais il s’agit surtout de répondre aux demandes de clients opérateurs d’importance vitale (OIV) dont certains ne manquent pas de souligner la dualité de leurs SIIV entre IT et OT. Au passage, Jacques de La rivière assure que ce partenariat n’affecte en rien la qualification Anssi sur le segment Gatewatcher. Vincent Dely explique quant à lui que Nozomi « s’est engagé dans le processus de certification CSPN ».

Cette opération s’inscrit dans un mouvement plus ample, décelé déjà en 2018 par Dale Peterson, l’organisateur des célèbres conférences S4, pour qui « l’OT est en train d’être absorbé par l’IT ». Autrement dit, les RSSI « sont en train de devenir responsables pour la sécurité des ICS et de grands pans de l’OT ».

De là à anticiper une concentration du marché, avec des rachats de spécialistes de l’ICS par des spécialistes de la sécurité IT, il n’y avait qu’un pas. Et certains, à l’instar de Tenable avec Indegy ou Cisco avec Sentryo, l’ont résolument franchi.. A l’automne 2018, ForeScout avait de son côté fait l’acquisition de SecurityMatters. Et tout récemment, Rockwell Automation s’est offert Avnet Data Security.

Pour certains acteurs, l’IT doit désormais se poser la question de la viabilité de l’approche du marché de la cybersécurité OT par le truchement de partenariats. Skybox Security avait par exemple misé sur Indegy au printemps dernier… et avant cela sur SecurityMatters, ou encore CyberX.  

Les jeunes pousses spécialistes de la sécurité des systèmes opérationnels ne manquent pas. Mais celles qui peuvent ressembler à des proies relativement accessibles apparaissent plus nombreuses que les autres. Dans ce paysage, c’est peut-être Claroty qui se démarque le plus, notamment du fait d’investissements directs d’industriels intéressés au premier chef par ses produits : BMW i Ventures, Siemens, ou encore Rockwell Automation.
Nozomi ne peut pas en dire autant, mais les partenariats noués avec Schneider Electric, Siemens, et GE Power laissent peut-être entrevoir des perspectives d’indépendance plus durables que pour d’autres.