Sesame IT enrichit la NDR à grand renfort de Threat Intelligence
La jeune pousse française éditrice du système de détection et de réponse dans le réseau Jizô s’associe à Threat Quotient, dont la plateforme va permettre à Sesame IT d’enrichir son offre avec du renseignement sur les menaces plus juste et plus précis.
Créé il y a 5 ans, Sesame IT est l’éditeur de Jizô, une solution de détection et réponse aux menaces dans le réseau (NDR, en anglais « Network Detection and Response »). L’offre est véritablement disponible depuis 1 an environ, date à laquelle la solution a décroché son Visa de sécurité de l’ANSSI. Jizô a séduit une vingtaine de clients, avec une centaine de sondes actuellement déployées.
Pour se différencier sur ce marché plutôt ancien – les NDR ne sont essentiellement qu’une nouvelle dénomination des IDS, les systèmes de détection des intrusions ; la sonde Jizô est d’ailleurs basée l’IDS Suricata –, Sesame IT privilégie une approche par le risque, en rupture avec l’approche traditionnelle qui implique de trier et analyser quotidiennement un déluge d’alertes remontées par les sondes.
« Avec 25 années passées sur le terrain chez des prestataires de services de sécurité managés (MSSP), je suis un ancien des opérations IT », explique Antonin Hily, directeur des opérations de Sesame-IT. «Selon moi, le vrai souci portait sur la valeur ajoutée délivrée par les solutions de détection qui ne faisaient que s’empiler les unes sur les autres et ajouter du bruit au bruit. Au final, dans les centres opérationnels [SOC, NDLR], cette approche ne fonctionne pas, avec des alertes pas nécessairement judicieuses ou remontées trop tardivement ».
Jizô, un NDR piloté par le risque
Pour l’éditeur, il faut adopter une approche opérationnelle qui vise à couvrir l’entreprise contre les risques qui sont réellement critiques pour elle, plutôt que de tenter de générer des alertes tous azimuts pour toutes les menaces possibles. La vocation de Jizô est de se livrer à une détection guidée par les éléments critiques identifiés par l’analyse de risque ou identifiés lors de la mise en place de la solution.
« Nous travaillons avec le client pour évaluer son écosystème, lui poser quelques questions afin de lui présenter ce que l’on connaît de lui en matière de menace, des acteurs qui sont particulièrement actifs dans son secteur, son métier, sa marque, ou à des individus au sein de son organisation. On définit avec le client ce qui doit être surveillé en priorité et quelles sont les ressources les plus critiques pour lui ».
« Tout détecter n’a aucun sens et plus personne ne veut suivre cette voie ».
Antonin HilyDirecteur des opérations, Sesame IT.
L’éditeur a implémenté cette démarche dans son logiciel Jizô avec la capacité de créer des « use case ». Il s’agit des scénarios de détection qui reposent sur cette analyse de la menace.
Pour délivrer ce service, la start-up a constitué une équipe de renseignement sur les menaces, la fameuse Threat Intelligence, en interne. Cette équipe produit quotidiennement du renseignement qui est transformé en scénarios de détection poussés ensuite chez les clients.
En outre, une entreprise peut demander à l’équipe de se focaliser sur des menaces très spécifiques à son métier et disposer de scénarios de détection sur mesure.
« Nos clients comprennent aujourd’hui tout l’intérêt de cette approche », affirme Antonin Hily. « L’un d’eux, à qui nous publions de nouvelles données toutes les 36 heures, a récupéré un use case lié à un acteur iranien. Nous lui avons poussé les prémices de la détection et cela a immédiatement déclenché l’alerte dans son système d’information. Il a pris conscience de ne pas négliger la contextualisation de la menace, car dans une approche plus traditionnelle personne n’aurait prêté attention aux signes précurseurs de l’attaque. L’entreprise a immédiatement pu réagir. Nos clients sont de plus en plus demandeurs pour que nous fassions pour eux cette analyse ».
Pour avoir fait l’essentiel de sa carrière chez des prestataires en cybersécurité, Antonin Hily estime que les MSSP doivent à leur tour adopter cette approche dirigée par le risque et transformer le renseignement sur la menace en une commodité.
La Threat Intelligence, une composante clef du NDR Jizô
Pour Antonin Hily, le métier du renseignement ne consiste pas seulement à glaner des indicateurs de compromission sur Internet et les mettre à disposition via un outil. Il s’agit de collecter, mais surtout de traiter et d’enrichir le renseignement pour lui donner un poids. « Ce travail de vérification et d’enrichissement est nécessaire ; or nous avions besoin d’un outil qui soit capable de supporter ce mode de fonctionnement ».
Alors qu’il existe de nombreuses plateformes de Threat Intelligence sur le marché, Sesame IT s’est tourné vers l’Américain Threat Quotient : « ThreatQ est la plateforme qui nous permet de travailler comme nous l’entendons », argumente Antonin Hily.
Antonin Hily, directeur
des opérations, Sesame IT.
« Ceux-ci ont une approche totalement disruptive sur le marché et j’ai tout de suite vu l’importance que cela pouvait prendre dans une équipe opérationnelle. J’ai déjà longuement utilisé ThreatQ. Lorsque nous avons monté l’équipe de Threat Intelligence de Sesame IT, nous avions besoin d’un outil qui nous permette de travailler comme nous l’entendions et c’est ce que nous apporte Threat Quotient ».
L’éditeur français a fait le choix de travailler avec le Data Model de renseignement Diamond qui est certainement le plus complexe, mais sans doute le plus performant, estime Antonin Hily : « ce modèle nous garantit que l’information que nous utilisons est à un bon niveau de pertinence et de véracité pour pouvoir être exploitée. Grâce à ThreatQ, on peut modéliser une multitude de tâches d’enrichissement, de croisement de données, de scoring, ce que ne permettent pas les autres plateformes ».
Cap sur l’ouverture aux autres fournisseurs de sécurité
Sesame IT n’est pas un revendeur de renseignement et ne souhaite pas se positionner en tant que tel. Ce rapprochement est aussi une opportunité pour la start-up d’intégrer la marketplace de Threat Quotient, ce qui ne peut qu’accroître la visibilité de l’éditeur à l’international.
Les clients de la plateforme de Threat Intelligence bénéficieront de l’intégration entre les deux solutions. Sesame IT poursuit en cela une stratégie d’ouverture envers les autres acteurs de la cybersécurité. L’éditeur a déjà dévoilé son interopérabilité avec la gamme de firewalls Stormshield Network Security ou encore le logiciel de détection automatisée des fichiers malveillants QFlow de Quarkslab.
Outre le développement de Jizô et de Hoshi, son service de Threat Intelligence dédié à Jizô, l’équipe de développeurs de Sesame IT travaille en parallèle sur un produit de Threat Deception baptisé, Loki. « L’idée est de créer au sein de l’entreprise un “Shadow IT” pour récupérer des données et alimenter le NDR », résume Antonin Hily.
Ce projet, lauréat du Grand Défi Cyber en 2021, a déjà remporté le challenge cyberdéfense « Deceptive Security » de la COMCYBER et de la DGA. La solution est en cours d’industrialisation et sera lancée sur le marché en 2023.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
Antonin Hily, directeur
