Nucleon Security : une nouvelle aventure française dans l’EDR

En 2016, Sébastien Guisnet et Antoine Botte, fondaient, avec Youness Zougar, Safe Cyberdefense. Mais l’aventure a tourné court. Début 2019, les deux premiers ont décidé d’essayer de transformer l’essai, refusant de tirer un trait sur l’expérience acquise, tout en repartant largement de zéro. Et cette fois-ci, c’est Anas Chanaa, un ancien d’Intrinsec, à l’instar de Sébastien Guisnet, qui s’est joint à eux, pour lancer Nucleon Security.

La jeune pousse travaille donc au développement d’un outil combinant détection et remédiation sur l’hôte – serveur comme poste de travail – et protection de celui-ci ; une combinaison EDR/ERR, donc. Anas Chanaa explique qu’il s’appuie sur un pilote de noyau – de quoi multiplier les possibilités d’interception et, dès lors, les points de contrôle.

Et cela commence par le contrôle des processus, autorisés ou non à accéder à différents types de fichiers, ou à avoir certaines connexions réseau : de quoi n’autoriser par exemple que Word à accéder à des fichiers .docx, ou interdire à Excel de communiquer pour bloquer notamment le téléchargement de charges malicieuses par des macros, et même l’exécution de Powershell via cmd.exe sous Windows. Le support du framework Att&ck du Mitre permet de mesurer l’étendue de la couverture des tactiques et techniques des assaillants par les restrictions mises en place.

De base, plus de 70 applications sont ainsi « durcies », relevant de différents domaines, comme la bureautique, bien sûr, mais aussi la CAO, par exemple, « pour interdire le transfert de fichiers à l’extérieur », illustre Anas Chanaa, indiquant ainsi une approche de prévention des fuites de données (DLP).  

Mais cela ne s’arrête pas là. Ainsi, lorsque l’agent local tombe sur un processus qui lui est inconnu, « il l’envoie au serveur pour analyse, qui lui retourne ensuite une réponse ». Là, l’apprentissage automatique est mis à contribution pour estimer le niveau de malignité potentielle du fichier. À cela s’ajoutent des capacités de gestion des vulnérabilités, sans balayage de parc : l’agent est mis à contribution pour dresser l’inventaire des logiciels installés sur chaque machine, à partir du registre. De là, « on compare avec les données de vulnérabilités du Nist pour disposer d’une visibilité complète ».

Nucleon Security n’a pas oublié la gestion d’incidents. La plateforme permet de procéder à des recopies – ou dump – de mémoire vive ou de disque à distance, mais pas d’accès en ligne de commande complet aux machines. C’est un choix délibéré : « restreindre les commandes à exécuter à partir de sa console de gestion EDR pour des raisons de sécurité ». Enfin, depuis peu, Nucleon Security permet de rétablir l’état d’une machine compromise à son état « de la seconde précédant l’attaque ». La plateforme peut être déployée en mode cloud comme en local.

Antoine Botte reconnaît de bon cœur les similitudes entre la plateforme de Nucleon Security et celle, avant cela, de Safe Cyberdefense. Mais il fait état d’un important travail de réécriture : « avant, nous faisions beaucoup de virtualisation et de sandboxing, mais nous avons abandonné. C’est trop lourd. Et nous avons adopté le machine learning. L’expérience acquise nous a permis d’aller beaucoup plus vite ».

Alors, certes, le marché de l’EDR est déjà bien animé – y compris en tenant compte d’acteurs français tels que Tehtris et Harfang Lab : « la prise de parts de marché est difficile », acquiesce Antoine Botte. Toutefois, l’équipe est convaincue de l’existence d’une « fenêtre d’action que l’on a prise », notamment alors que les acteurs traditionnels de l’EPP n’ont pris que relativement récemment le virage de l’EDR. Et puis, « il ne faut pas oublier un élément essentiel dans cette bataille, c’est Windows Defender » qui profite au passage de l’adoption d’Office 365. Alors pour faire la différence, au-delà du seul coût ou des capacités techniques, il y a le service ou encore le contrôle sur les données.