Comment Orca s’attelle à la sécurité des environnements cloud

C’est en 2018 que démarre l’aventure Orca Security pour Avi Shua, son PDG. Cet ancien directeur technique de Check Point, spécialiste de la prévention des menaces, n’est pas seul : 7 autres collaborateurs de l’équipementier s’engagent à ces côtés, des spécialistes de l’architecture logicielle, du cloud, ou encore des DevOps.

Ironie du calendrier, la naissance d’Orca Security coïncide avec le moment où Check Point accélère son virage dans la sécurité du cloud, avec notamment le rachat de Dome9 ou encore de Protego et de ForceNock. Mais pour Avi Shua, ce n’est qu’un hasard. Il avait ses raisons pour se lancer dans l’aventure de la création d’entreprise, en particulier la recherche de l’agilité, en partant d’une page blanche, sans chercher à exploiter une propriété intellectuelle et des approches patrimoniales de la sécurité.

Car Avi Shua en était convaincu : le cloud est différent des environnements traditionnels on-premise et appelle des approches différentes. « Sur une machine physique, l’inspection, l’analyse, la découverte se font soit via le réseau, soit avec un agent résident ». Mais avec le cloud, « on utilise les capacités d’introspection des fournisseurs cloud, qui se sont considérablement améliorées au cours des dernières années. Mais sans recourir à un conteneur ou une machine virtuelle dédiée, sans toucher les VMs. Et l’on combine ça avec les métadonnées produites par le fournisseur de l’infrastructure cloud ». Cette approche, Orca lui a donné un nom : SideScanning. Et Avi Shua d’avancer un parallèle : « pensez à une sorte d’IRM pour les traitements s’exécutant dans votre environnement cloud ».

Concrètement, la plateforme d’Orca a besoin de disposer de droits en lecture sur l’environnement cloud concerné. De quoi assurer la découverte et l’énumération des actifs. Elle s’appuie également sur des snapshots des machines virtuelles pour procéder à ses analyses en profondeur.

Avec cela, explique Avi Shua, « nous apportons une visibilité complète sur toute la pile technique. Nous sommes capables de détecter les défauts de configuration, les vulnérabilités, les risques de déplacement latéral, les données sensibles non chiffrées, etc. »

De quoi aller jusqu’à modéliser des chaînes d’attaque potentielles, les fameuses ­killchain : « par exemple, un serveur Web non patché, avec clé privée fragile, qui a accès à un contrôleur de bases de données, et qui permet d’obtenir, in fine, les droits sur un bucket S3 ». Le tout est présenté de manière graphique, en tenant du framework ATT&CK du Mitre.

L’approche utilisée permet en outre « de multiplier les analyses sans que le client ait besoin de faire quoi que ce soit. L’ajout de nouvelles capacités est transparent ».

Début octobre, Orca a indiqué avoir réalisé un troisième tour de table, levant 550 millions de dollars. Cette somme doit continuer d’alimenter les investissements de la jeune pousse en recherche et développement, mais également accélérer son déploiement à l’international, et notamment en France, où de premiers recrutements ont déjà été engagés.