Armis Security veut aider à la sécurisation des environnements vastes et complexes

Sur le papier, l’histoire d’Armis Security commence en 2015, sous la houlette de Yevgeny Dibrov, Tomer Schwartz et Nadir Izrael. Les deux premiers sont des anciens d’Adallom, racheté en juillet 2015 par Microsoft.

Tomer Schwartz en était le patron de la recherche en sécurité. Nadir Izrael, directeur technique d’Armis Security, est passé par la fameuse unité 8200 de l’armée israélienne, mais aussi, et surtout, chez Google. Cette dernière expérience n’a pas été sans l’inspirer, en raison des questions d’échelle et « de tout ce que l’on peut faire avec beaucoup de données ». Mais l’expérience de Yevgeny Dibrov et Tomer Schwartz chez Adallom n’a pas non plus été inutile, loin de là.

Nadir Izrael ne manque d’ailleurs pas de le souligner : « nous avons eu une grande chance, quelque chose de très rare pour beaucoup de startups. Nous avons eu accès à beaucoup de RSSI, de PDG, de DSI, essentiellement à partir de la base installée d’Adallom ». Ce réseau a permis d’identifier des besoins anticipés, ou plutôt un : « quel que soit la taille de l’entreprise ou son secteur d’activité, c’était la même chose ».

L’inquiétude est générée par un nombre croissant de systèmes connectés au réseau de l’entreprise, mais qui n’ont rien à voir avec les traditionnels PC et serveurs. Et pour lesquels, souvent, « il n’est pas même envisageable d’installer un outil de protection (EPP) ». Cela se traduit par un risque important de perte de visibilité, sans même parler de contrôle.

Pour répondre à cela, Armis Security a développé une plateforme dédiée à la découverte et l’identification des systèmes connectés au réseau, de manière passive et sans agent. Mais ses capacités s’étendent au-delà, conduisant la jeune pousse à revendiquer une plateforme de gestion complète de la cybersécurité des actifs.

La promesse est alléchante, mais les défis ne manquent pas, à commencer par l’identification des hôtes du réseau à partir du seul trafic qu’ils génèrent : « pour faire simple, nous avons crowdsourcé la compréhension du trafic de chaque appareil, dans tous les environnements où il a été observé à travers le monde ». En fait, il s’agit « d’apprendre anonymement comme se comportent ces systèmes en les observant »… dans leur environnement naturel, serait-on tenté de dire. Et cela vaut pour des caméras IP, des tablettes, des serrures électroniques, etc.

Ce vaste « catalogue comportemental » est utilisé, donc, pour l’identification des hôtes du réseau. Mais également la détection d’éventuelles anomalies. Et Nadir Izrael revendique « apprendre aujourd’hui à partir de 250 millions d’appareils dans le monde entier ». Mais les composants d’infrastructure peuvent être mis à contribution également, notamment les contrôleurs Wi-Fi, « pour récupérer toute l’information sur les interférences radio ». Accessoirement, la plateforme peut s’intégrer avec les outils d’administration des actifs IT (ITAM) en place, à commencer par une éventuelle CMDB.

Que faire, ensuite, de toutes ces informations ? Commencer par chercher les maillons faibles. La connaissance des comportements normaux permet de détecter des dérives. Et cela peut être enrichi par l’intégration avec une plateforme de gestion des vulnérabilités. Mais Armis Security combine cela avec la connaissance des menaces pour corréler les comportements observés avec ceux de menaces connues. De quoi passer au dernier volet : l’action.

« Pour cela, nous disposons de centaines d’intégrations dans des outils tiers », explique Nadir Izrael, soulignant au passage que la plateforme de la jeune pousse « embarque son propre moteur d’orchestration pour tirer profit de ces intégrations », entre pare-feu, système de contrôle des accès réseau (NAC), et plus encore. La liste est effectivement longue : Aruba, Check Point, Cisco, Forescout, Fortinet, Juniper, Palo Alto Networks, Pulse Secure, Tanium, ou encore Crowdstrike, Cybereason, FireEye, etc. Mais la plateforme d’Armis peut également s’intégrer avec des systèmes de gestion des informations et des événements de sécurité (SIEM), ou encore de gestion de tickets et de réponse à incident.

Ainsi, présente Nadir Izrael, « nous pouvons demander au NAC de verrouiller l’appareil. Nous pouvons déclencher un scan de vulnérabilités, ou déconnecter l’utilisateur et verrouiller son compte… il y a un grand nombre d’actions ajoutées par chaque intégration ».

Armis Security est depuis peu représenté en France. En juillet, la jeune pousse a annoncé un nouveau partenariat avec Exabeam. Et en janvier, elle a été acquise par le fonds d’investissement Insight Partners, une opération qui l’a valorisée à 1,1 Md $.