Proofpoint s’offre des leurres avec Illusive Networks

Ce n’est ni une illusion ni un leurre : Proofpoint vient bien d’annoncer le rachat d’Illusive Networks. Mais le terme de leurre semble aujourd’hui dépassé : il convient de parler d’Identity Threat Detection and Response (ITDR, ou détection et réponse aux menaces touchant à l’identité).

Illusive Networks a été fondé il y a huit ans. Dans un entretien avec la rédaction, au printemps 2016, Shlomo Touboul, son PDG d’alors, relevait que les attaquants utilisent des méthodes variées – tant pour l’infiltration initiale que pour leurs déplacements dans les systèmes compromis – mais toutefois limitées en nombre : « à leur entrée sur le réseau, ils ne savent pas encore où ils ont atterri, mais ils savent exactement ce qu’ils cherchent. Ils entament donc un processus d’orientation et de propagation en s’appuyant sur l’extraction d’informations des machines compromises ». Et cela pour répondre à deux questions : « où puis-je aller à partir d’ici ? » et « comment est-ce que je me déplace ? ». Un processus répété à chaque nouvelle machine compromise. « Et s’il aboutit dans cul-de-sac, il revient sur ses pas et s’engage dans une nouvelle direction ».

Illusive Networks a classifié les techniques susceptibles d’être employées par les attaquants tout au long de ce processus en 10 familles différentes, jusqu’à disposer d’un leurre pour chacune d’entre elles. Et cela sans agent résident, pour éviter d’alerter l’assaillant.

Dans un communiqué de presse, Ryan Kalember, vice-président exécutif de Proofpoint en charge de la stratégie, estime qu’il « est actuellement beaucoup trop facile pour un attaquant de transformer une identité compromise en un incident de ransomware ou une violation de données à l’échelle d’une organisation ». Dans cette perspective, l’acquisition d’Illusive vise à rendre la tâche des assaillants plus difficile.

Proofpoint est tombé dans le giron du fonds d’investissement Thoma Bravo en 2021, moyennant un chèque de quelques 12,3 milliards de dollars. Dans un communiqué de presse, Gary Steele, PDG de Proofpoint, expliquait alors ce qui était attendu de cette sortie des marchés boursiers : « être encore plus agiles avec plus de flexibilité pour continuer d’investir dans l’innovation », et « construire sur la base de notre position de leadership et rester en avance sur les acteurs menaçants ». Proofpoint s’était déjà quelque peu engagé dans cette voie avec le rachat d’environ 1,2 million d’actions au quatrième trimestre 2020.

Au cours des années précédentes, Proofpoint avait procédé à quelques acquisitions pour renforcer et étendre son offre, avec Meta Networks, en mai 2019, Wombat Security Technologies, un peu plus d’un an plus tôt, ou encore Return Path, en 2016. Mais l’éditeur donnait l’impression de chercher à aller plus vite dans la croissance externe, Gary Steele expliquant compter sur le soutien de Thoma Bravo pour « accélérer la croissance et étendre l’échelle de Proofpoint à un rythme encore plus élevé ». L’acquisition d’Illusive Networks semble le confirmer.