Ryan Kalember, Proofpoint : « nous sommes au tout début de l’intégration de Meta »

Les partenariats d’intégration technique se sont récemment multipliés entre fournisseurs de services d’accès réseau sans confiance (ZTNA, zero-trust network access) et éditeurs d’outils de détection et de remédiation (EDR) sur les hôtes. Récemment, Cloudflare et Tanium se sont ainsi rapprochés. Mais plus tôt, c’était Zscaler avec CrowdStrike et Carbon Black, ou encore Netskope avec ceux-ci ainsi que Cylance et SentinelOne. Il y a une bonne raison à cela : disposer d’une visibilité sur le poste de travail apparaît désormais essentiel.

Proofpoint a racheté Meta Networks il y a un an. Comment l’éditeur se positionne-t-il dans ce paysage ? Ryan Kalember, vice-président sénior de Proofpoint en charge de la stratégie cybersécurité a répondu à nos questions.

LeMagIT : Quelle est la vision de Proofpoint sur l’intégration entre ZTNA et EDR ?

Ryan Kalember : Bien qu’il y ait un intérêt certain à intégrer l’endpoint, d’autres capacités doivent encore être intégrées en amont [de celui-ci] dans le cadre du développement de notre solution. Si vous regardez le modèle SASE de Gartner ou le modèle ZTX de Forrester, il existe certaines concordances qui correspondent aux capacités actuelles du produit Proofpoint comme le CASB, l’isolation web, l’IDS, et bien sûr la threat intelligence et le sandboxing.

LeMagIT : Je ne vois pas d’éléments d’intégration entre Proofpoint Targeted Attack Protection (TAP) et Meta. Est-ce prévu, et si oui à quel horizon ?

Ryan Kalember : Nous sommes encore au tout début de l’intégration et de l’ajout de fonctionnalités à Meta. Au fur et à mesure que nous ajouterons des capacités, nos renseignements sur les menaces et notre analyse TAP seront nos meilleurs atouts.

Les cas d’utilisation envisagés comprennent par exemple l’analyse approfondie du trafic des utilisateurs si leurs comptes sont identifiés comme compromis, s’ils cliquent sur un lien ou une pièce jointe malveillante, ou des utilisateurs pour lesquels nous avons une alerte provenant d’un de nos outils de prévention des pertes de données. Il n’y a pas de calendrier précis sur lequel nous communiquons actuellement.

LeMagIT : Compte tenu des partenariats autour de TAP, une telle intégration TAP/Meta ne permettrait-elle pas d’aller plus vite dans la prise en compte des endpoints, de leur posture de sécurité, ou encore de l’identité utilisateur en profitant de l’intégration avec Okta – dont l’extension a été annoncée en septembre dernier ?

Ryan Kalember : L’identité de l’utilisateur est essentielle lorsqu’il s’agit de déployer le ZTNA. Vous devez savoir qui ils sont afin de vous assurer qu’ils ont accès aux applications autorisées. IPv6 nous permet de le savoir, en agissant comme un réseau superposé et en utilisant ce schéma d’adresses pour pouvoir identifier chaque utilisateur individuellement.

En outre, Meta permet de vérifier divers éléments constitutifs de la posture de sécurité du poste de travail, comme son système d’exploitation ou si un processus du moteur antivirus est en cours d’exécution. 

Sur la base de ces vérifications, l’utilisateur peut se voir refuser l’accès aux ressources de son entreprise. Nous pouvons également nous intégrer à des fournisseurs d’identité tels qu’Okta ainsi qu’à des annuaires (le plus évident étant Active Directory) afin de prendre des mesures en fonction du profil et des privilèges de l’utilisateur.

En résumé, alors que le partenariat avec Crowdstrike est effectivement axé sur le partage des formes traditionnelles de renseignement sur les menaces [annoncé en septembre 2019, N.D.L.R.], ce que nous partageons avec Okta est un groupe dynamique d’utilisateurs qui sont visés par les attaques les plus critiques (en termes de propagation des attaques, de sophistication des acteurs et d’impact sur la charge utile).