Gestion du renseignement sur les menaces : Sogeti mise sur Anomali

Entre juillet et novembre dernier, les équipes de renseignement sur les menaces de Sogeti ont travaillé entre deux outils : ThreatQ, de Threat Quotient, et ThreatStream, d’Anomali. Antonin Hily, directeur technique cybersécurité monde de Sogeti, connaissait déjà bien la première qu’il avait déployée précédemment chez Sopra Steria. Et pas question de la renier.
Pour lui, cette plateforme reste « sans doute, le meilleur outil de threat intelligence ». Las, son modèle économique « est incompatible avec mon métier de MSSP. Nous avons eu ces discussions avec Threat Quotient et, à un moment donné, je ne peux pas faire des sommes de coûts sans diviser. Il fallait que je trouve une solution qui me permette d’avoir des coûts prévisibles et qui réponde à minima à un certain nombre de mes besoins. J’ai trouvé cela avec ThreatStream d’Anomali, pour couvrir 90 % de mes besoins. Les 10 % restant, compte tenu de la maturité encore limitée du marché, j’ai un peu de temps pour soit les faire développer par Anomali… ou changer de plateforme à nouveau ».

Mais les deux plateformes s’avèrent, dans les yeux d’Antonin Hily, très différentes : « Anomali propose un environnement très préfabriqué. Ce qui peut lui manquer est la capacité à jouer dans un bac à sable ». Et de décrire une plateforme ThreatQ très flexible, personnalisable à loisir, à grand renfort de scripts Python. Mais cela implique des efforts réguliers de développement et de maintenance opérationnelle.

Chez Anomali, la philosophie est différente : « je te fournis le service, consomme-le, utilise-le ». Et si cela peut être parfois, du moins initialement, source de quelques frustrations, « c’est très confortable pour nous. Nous utilisons 153 flux. Nous ne nous sommes jamais posé la question de savoir si un flux allait fonctionner ou pas. Tous les flux sont normalisés, opérationnels ».

Et cela ne se traduit pas par une fermeture : les intégrations tierces sont parfaitement possibles, avec une plateforme MISP, bien sûr, mais pas uniquement. « Il est possible de développer ce que l’on veut ». Cela ne se fait simplement pas n’importe comment, « mais via le kit de développement, on construit tous les connecteurs que l’on veut ».

Et pragmatiquement, cela n’est pas sans avantage : « c’est très intéressant pour nous, dont le métier n’est pas de faire du développement pour une plateforme, mais de vendre notre matière grise en s’appuyant sur la plateforme – faire du renseignement sur les menaces, de l’analyse, et pas de la maintenance opérationnelle », souligne Antonin Hily.

En outre, ThreatStream dispose de « fonctionnalités natives que l’on ne trouve nulle part ailleurs », par exemple « les capacités d’investigation ne sont pas optionnelles, payantes ; elles sont illimitées avec des gestions de niveaux de confidentialité spécifiques ». Et les projets d’ajouts fonctionnels sont réguliers.

Et accessoirement, l’éditeur se montre particulièrement ouvert à la réflexion : « nous les avons amenés à réfléchir à des éléments d’expérience utilisateur et d’organisation du renseignement. Par exemple, lorsque l’on change de pivot dans une enquête, on peut vite se retrouver perdu et ne pas réussir à retrouver le point dont on est parti. Désormais, ThreatStream place en surbrillance ce point de départ ; c’est une chose que nous leur avons demandée ».

Alors avec cette plateforme, Antonin Hily estime « pouvoir opérationnaliser le renseignement sur les menaces ». « Les clients commencent à vraiment mesurer la différence », assure-t-il.