Christian Fredrikson, F-Secure : « le terminal est de retour »

Des DarkTrace et autres Vectra Networks apprécieront sûrement. Tous deux comptent parmi ces jeunes acteurs de l’analyse comportementale appliquée aux flux réseau pour détecter les menaces. Mais à écouter Christian Fredrikson, patron de F-Secure, leur approche apparaît insuffisante.

Certes, concède-t-il, à l’occasion d’un entretien avec la rédaction, « beaucoup de bonnes choses sont faites dans le réseau. Nous y travaillons d’ailleurs aussi, nous mêmes et avec l’aide de partenaires. Mais cela ne suffit pas ». Vedette discrète de la dernière édition de RSA Conference, le endpoint (ou point de terminaison) « est de retour », selon Fredrikson : « des années d’investissements sur le réseau nous en ont convaincu – il est impossible de comprendre pleinement ce qui se passe sur l’infrastructure en se contentant d’observer le réseau. Et à plus forte raison lorsque de plus en plus de flux sont chiffrés ».

Christian Fredrikson n’est pas le seul à défendre cette approche. Tomer Weingarten, Pdg de SentinelOne, expliquait ainsi, l’an passé, appréhender le poste client comme un point stratégique : « même si les menaces viennent par le réseau, c’est sur le poste client qu’il faut intervenir. Hors du poste client, les possibilités de réussite sont limitées ».

Détaillant le projet Galileo de Sophos, Michel Lanaspèze relevait de son côté que « les systèmes de protection réseau voient tout ce qui se passe dans le réseau. Ils voient même ce qui entre et sort du poste de travail ». Mais ils ne voient pas « ce qui s’y passe, et ils ne connaissent pas l’utilisateur ». D’où l’intérêt d’une approche plus globale.

Anton Chuvakin, de Gartner, ne dirait pas autre chose. Posant la question du futur de la sécurité, non sans humour – « il est là et… c’est… le réseau ? le point de terminaison ? » – début avril 2015, il renvoyait finalement terminal et réseau dos à dos : « les silos tuent ! Et pour résumer, nous avons perdu les deux côtés ». Pour lui, les systèmes analytiques de sécurité doivent mettre à profit les logs, le trafic réseau, les données remontées par les points de terminaison, et même les données de surveillance des applications.

Et justement, F-Secure doit lancer, au second trimestre de cette année, un service de détection rapide, basé sur des sondes déployées à la fois dans le réseau et sur les points de terminaison. Fredrikson compare l’approche à celle d’un système d’alarme, soulignant que les données collectées seront traitées par des algorithmes d’analyse comportementale doublés de capacités de machine learning. Pour mémoire, F-Secure continue de recruter pour son centre de détection rapide de Poznan, en Pologne.

Et c’est dans la perspective de ce très prochain lancement qu’il convient de replacer le rachat de nSense à l’été dernier. Car cette acquisition a été l’occasion pour F-Secure de mettre un pied sur le terrain du service, à la manière d’un FireEye avec Mandiant. Une étape indispensable, selon Fredrikson, pour faire de F-Secure un leader européen de la cybersécurité, quelque chose qui « nécessite une offre plus vaste et des capacités de service ». Et de décrire les équipes de nSense comme des experts « très hardcore » : « ils ne viennent pas avec des présentations ; ils se penchent tout de suite sur les machines ».