Sergey Nivens - stock.adobe.com
Comment Reblaze veut offrir une protection complète des actifs Web
La jeune pousse mise sur l’établissement d’un profil de visiteur dès le début de sa session pour déterminer s’il est légitime. Ce profil est mis à profit par l’ensemble des mécanismes de protection de sa solution.
C’est en 2011 qu’Eyal Hayardeny, Philippe Biondi et Tzury Bar Yochay ont fondé Reblaze. Le premier, ancien du ministère de la Défense israélien et de KPMG, PDG de la jeune pousse, explique avoir été sollicité par les deux autres : ils voulaient créer une solution unifiée de sécurisation complète des sites, applications et API Web.
Leur motivation ? « La facilité avec laquelle les pirates, à l’époque, pouvaient faire ce qu’ils voulaient avec beaucoup d’actifs Web critiques ». Et pour eux, la voie était pourtant tracée : « les entreprises allaient avancer vers plus d’applications Web, d’API ». Dès lors, « c’était vers le cloud qu’il fallait se tourner pour fournir la sécurité nécessaire ». Pas question non plus de s’appuyer sur une logique de signatures : « nous avons choisi une approche plus holistique en cherchant à analyser qui est derrière le navigateur, avant d’appliquer des stratégiques spécifiques à cet utilisateurs ».
Aujourd’hui, Reblaze a développé une offre complète, entre pare-feu applicatif Web (WAF), protection contre les dénis de service, répartition de charge, intégration avec réseau de distribution de contenus (CDN), ou encore gestion des bots.
Comme il se doit, le volet WAF assure la protection contre l’injection de code et de commandes SQL, le scripting inter-sites (XSS), la manipulation de formulaires, l’empoisonnement de sessions et de cookies, ou encore l’exploitation de vulnérabilités protocolaires.
Reblaze ne manque pas de mettre à profit l’analyse comportementale. De quoi rappeler ce que peut faire, par exemple, un Datadome ou autre Arkose Labs. La logique est la même : éviter d’altérer l’expérience des utilisateurs et des bots légitimes tout en bloquant les tentatives d’attaque ou de collecte industrialisée de données notamment commerciales – le scrapping.
Mais pour Eyal Hayardeny, c’est bien une solution complète qui est nécessaire aujourd’hui, contre les bots indélicats comme malicieux, les dénis de service dans les couches basses du réseau jusqu’à la couche applicative, etc. : « tout ce trafic, les ressources CPU consommées qu’il induit, ce sont des choses pour lesquelles les entreprises paient, en définitive ». Il s’agit donc autant de sécurité, que de confidentialité, de compétitivité, ou encore de contrôle des coûts. Et puis « les entreprises ont besoin de visibilité sur ce qui se passe sur leurs actifs Web, de la même manière qu’il n’est pas acceptable que n’importe qui aille et vienne dans vos bureaux pour y faire n’importe quoi ».
Dès lors, Eyal Hayardeny le souligne : « nous ne proposons pas une intégration de briques diverses et éparses, mais un flux continu d’algorithmes de A à Z qui s’activent dès l’accès initial à un actif Web pour établir un profil du visiteur – s’il utilise clavier et souris, à partir de quel réseau, etc. Et cela dès les premières millisecondes ». Et cela va jusqu’à déterminer si les mouvements de souris apparaissent naturels ou au contraire artificiels – trop linéaires, par exemple.
C’est cette « photographie » du visiteur qui est utilisée pour alimenter l’ensemble des mécanismes de protection fournis par la plateforme. Reblaze met également à profit cet avantage pour éviter de recourir à des méthodes de protection pouvant s’avérer contre-productives, ou à tout le moins frustrantes pour l’internaute légitime : « certains s’appuient sur le rythme auquel surviennent les requêtes et fixent des seuils de blocage. Nous n’utilisons pas du tout cette méthode ». Pour la détection de bots, Eyal Hayardeny revendique une précision « très très proche de 100 % ».
C’est avec cette approche unifiée que Reblaze affirme sa différence sur un marché de la sécurité des actifs Web en pleine évolution. Le seul domaine de la lutte contre les bots l’illustre bien : Check Point a annoncé en janvier dernier l’acquisition de ForceNock. Un an plus tôt, Oracle se lançait dans celle de Zenedge, quelques mois après qu’Instart ait levé 30 M$ (portant le total de son financement à 140 M$ depuis sa création en 2012). Et tout récemment, c’est Barracuda qui s’est offert Infisecure pour protéger applications, services Web, et API contre les bots, en s’appuyant notamment sur l’apprentissage automatique.
Pour Eyal Hayardeny, ces mouvements sur le marché traduisent la concrétisation de la vision initiale des fondateurs de Reblaze : « les entreprises, jusqu’aux plus conservatrices, ont résolument adopté les technologies du Web et du cloud, notamment sous l’effet de la pression concurrentielle ». Et parallèlement, « les pirates ont appris à faire des choses plus complexes, à moindre coût ».