Sentryo : bilan d’étape encourageant un an après son rachat par Cisco

Il y a un peu plus d’un an, l’annonce tombait : Cisco allait s’offrir l’une des pépites françaises, Sentryo, spécialiste de la sécurité des environnements informatiques industriels (ICS/Scada), et plus généralement OT, fondé par deux anciens d’Arkoon Network Security. Une jeune pousse lauréate du prix de l’innovation de l’édition 2015 des Assises de la Sécurité. D’autres s’étaient intéressés à elle avant Cisco : Palo Alto Networks avait ainsi joué la carte du partenariat. Mais cela n’aura donc pas suffi.

À l’époque, certaines voix n’ont pas manqué de regretter le passage de la jeune pousse hexagonale dans le giron du grand groupe américain. Mais si l’opération s’est faite, c’est notamment parce que les fondateurs de Sentryo l’ont acceptée, et pas aveuglément : « nous avons évoqué nos ambitions communes avant l’acquisition, et le groupe a fait ce qu’il a dit », estime aujourd’hui Laurent Hausermann, désormais directeur d’ingénierie au sein de Cisco IoT.

Et de détailler : « l’an dernier, Sentryo, c’était 35 personnes en France et 5 aux États-Unis. Aujourd’hui, nous sommes près de 65 ingénieurs, dont une grande partie dans la région lyonnaise. En ajoutant les équipes commerciales en propre, le compte atteint la centaine de personnes ».
À cela s’ajoutent les forces de groupe, en particulier à l’internationale. Alors pour le co-fondateur de Sentryo, cela ne fait pas de doute : « Cisco a investi en France et à l’étranger pour développer cette activité ». Et la traduction, côté produits, ne s’est pas fait attendre.

La solution de Sentryo, initialement baptisée ICS Cybervision est ainsi devenue Cisco Cyber Vision. Une version 3.0 en a été lancée à l’automne, suivie d’une version 3.1 au mois de mai. Le produit tire désormais parti des capacités de renseignement sur les menaces développées par les équipes Talos de Cisco, en s’appuyant sur des règles spécifiques pour le système de détection des intrusions (IDS) Snort. Surtout, le moteur de détection est intégré aux produits de l’équipementier, ses commutateurs et ses routeurs : « cela évite aux clients de déployer deux solutions ».

Cette intégration répond à une problématique bien pratique, qu’explique Laurent Hausermann : « l’utilisation classique des ports SPAN pour répliquer le trafic et le déporter vers des systèmes d’analyse se heurte aux questions d’échelle. Cela implique soit de déployer des petites appliances un peu partout, avec le coût en matériel que l’on imagine, soit de créer un réseau dédié de supervision dit out-of-band ». Ce qui ne va pas non plus sans coûts importants. En somme, « aucune des deux approches n’est pleinement satisfaisante ».

C’est justement ce qu’évite l’intégration des capacités d’analyse du trafic directement au cœur des équipements, que ce soit pour l’OT, pour l’IT, ou pour les deux. Mais cela a nécessité un « travail important d’optimisation et de structuration du logiciel ». Car les équipements concernés n’embarquent pas nécessairement une importante puissance de calcul.

Alors oui, il y a des remontées au cœur de la solution. Mais elles dépendent des mécanismes de détection. Lorsqu’il s’agit de détections produites par des règles sur l’IDS, ce ne sont que des alertes. Mais, « sur l’industriel, où l’approche touche plus à la recherche de visibilité et de détection d’anomalies, on remonte des données brutes ». Mais pas beaucoup pour autant : de l’ordre de 2 % à 3 %, sur les flux applicatifs et leurs propriétés. Là, « c’est le Center qui reçoit, crée des modèles et détecte d’éventuelles anomalies ». Si besoin, il est possible de demander aux sondes de remonter une capture complète de paquets réseau, mais en temps réel, pas en rétrospectif : « c’est compliqué d’un point de vue technico/économique, et ce n’est pas toujours pertinent ».

En coulisse, les équipes de l’ex-Sentryo ont revu leur moteur de détection d’anomalies. Le but : pouvoir suivre plus finement certains actifs précis et leurs éventuelles dérives comportementales. De quoi donner les moyens aux équipes de SOC de renforcer spécifiquement la surveillance sur les actifs critiques sans étendre cela à tout l’environnement, au risque d’être noyées sous les alertes.

En outre, Cisco Cyber Vision ne se limite pas aux systèmes de contrôle industriels. La plateforme supporte aussi des systèmes de sûreté industrielle (SIS), à l’instar des Triconex de Schneider Electric. Et c’est d’autant plus important que, selon Laurent Hausermann, il n’est pas rare que le réseau de gestion des SIS soit le même que celui des ICS…

Du coup, l’un des cas d’usage de Cisco Cyber Vision n’est rien moins que la détection des protocoles des SIS « pour caractériser les machines » : « ensuite, les clients peuvent mettre en œuvre un filtrage classique de type pare-feu pour les isoler, ou de la microsegmentation, en comptant sur le commutateur pour créer des zones de communication ». De quoi dissocier les SIS des ICS, sans pour autant avoir à refaire tout un câblage ou remonter un réseau distinct.

Mais se pose toujours la question de l’éventuelle interférence de la sécurité avec les contraintes de disponibilité. Du coup, la plateforme peut être initialement utilisée pour faire de la découverte d’actifs, puis de la pseudo application de règles. De quoi tester et s’assurer de l’absence d’impact négatif sur la production, avant d’appliquer effectivement les règles. Et pour Laurent Hausermann, c’est là un des apports clés de l’intégration avec Cisco ISE.