Candace Worley, McAfee : « administrer toute la sécurité d’une seule console fait la différence »

Candace Worley est vice-présidence et stratégiste technologique en chef de McAfee depuis le printemps 2017. Mais elle connaît bien cet éditeur où elle a pris ses premières fonctions à l’été 2000. Près de vingt ans, donc, à un poste d’observation privilégié sur un marché de la sécurité qui n’a pas arrêté de se transformer. Rencontrée aux Assises de la Sécurité, qui se déroulaient début octobre à Monaco, elle fait avec la rédaction le point sur le positionnement de l’éditeur à l’heure où la sécurité du poste de travail subit de profondes transformations. Et c’est loin d’être le seul domaine concerné.

LeMagIT : Des RSSI de plus en plus nombreux renoncent à leur solution de protection du poste de travail (EPP) au profit de Microsoft Defender en combinaison avec un outil de détection et réponse (EDR), tel que Tanium. Comment appréhendez-vous cette double concurrence, sur l’EPP comme sur l’EDR ?

Candace Worley : En ce qui concerne Microsoft Defender et ATP, nous voyons beaucoup d’organisations, surtout celles qui sont soumises à des pressions financières, se dire : « nous payons déjà pour [protéger nos systèmes], pourquoi acheter autre chose, en particulier dans le domaine de l’antivirus, qui est devenu une commodité ? […] Est-ce que ce que propose Microsoft est assez bon ? » Je pense que pour beaucoup d’organisations, la réponse est oui.

La différence vient de la manière dont on gère l’antivirus et l’EDR en combinaison avec d’autres technologies. Microsoft peut répondre à cela à un certain niveau, mais j’ai eu des commentaires d’un certain nombre de clients pour qui c’est un peu difficile.

Pour l’antivirus de base, il n’y a pas beaucoup de différenciation. Mais lorsque l’on aborde la protection avancée contre les menaces, avec la possibilité d’administrer l’ensemble de manière centralisée à partir d’une seule console, je pense que nous commençons à nous différencier. Il s’agit de savoir si une entreprise trouve son intérêt dans le fait d’avoir une console de gestion capable de couvrir toute l’étendue de leurs produits liés aux terminaux, et pas seulement Defender. De même que disposer des renseignements sur les menaces, produits à partir de l’ensemble des informations remontées par les technologies de sécurité.

Cela dépend vraiment des organisations. Nous avons des clients qui utilisent Defender mais qui l’administrent avec Mvision ePO, et franchement, c’est pour cela nous avons construit Mvision Endpoint qui constitue notre capacité à gérer Defender avec ePO en plus de notre produit de protection contre les menaces avancées, tout cela depuis une console simple.

Cette approche n’est pas nouvelle pour nous. Nous avons commencé à gérer, avec ePO, les capacités de chiffrement natives de Windows il y a 5 ou 6 ans, parce que beaucoup d’entreprises estimaient que Bitlocker leur suffisait.

Je pense que nous avons une approche très mature de ces questions : il y a de bonnes raisons pour lesquelles des entreprises veulent utiliser les capacités natives de Microsoft, mais nous pouvons y ajouter de la valeur.

LeMagIT : Et pour l’EDR ?

Candace Worley : Je pense que votre remarque est juste. Quelqu’un comme Crowdstrike a pris de l’avance. Je connais leur PDG George Kurtz. C’est un très bon technologue et un concurrent admirable. Mais je pense que nous avons fait de bons progrès, en particulier pour l’investigation, notamment en ajoutant de quoi guider les enquêtes. C’est une fonctionnalité qui permet aux organisations d’accélérer la prise de maturité d’équipes juniors de réponse à incident, mieux qu’un simple playbook. Cela aide l’équipe de réponse à incident à apprendre le processus en plus de donner des réponses sur les problèmes susceptibles d’être présents dans l’environnement.

Nous avons également ajouté des collecteurs et des réponses personnalisées, pour qu’il soit possible de tenir compte des spécificités de son environnement. C’est un classique de la sécurité et du logiciel en général : il y a toujours des clients qui ont des besoins précis, des cas d’usage auxquels on n’a pas pensé. Mais à l’heure du cloud, pas question d’attendre six mois et une nouvelle version : même si ce n’est que l’affaire d’un mois, les clients la veulent généralement tout de suite. La personnalisation permet de répondre à cela, sans chercher à construire un produit qui réponde absolument à tout, au risque de perdre en facilité d’utilisation.

LeMagIT : La sécurité du poste de travail s’étend parallèlement au-delà de celui-ci, à ce qu’il est utilisé pour consulter ou modifier, que ce soit pour protéger des ressources cloud ou le protéger de contenus malicieux. Dans cette perspective, vous avez racheté Skyhigh Networks pour proposer Mvision Cloud. Pourquoi cela plutôt que de jouer la carte de partenariats comme certains avec Zscaler ou Netskope, par exemple ?

Candace Worley : Lorsque nous avons décidé d’acquérir Skyhigh, nous voulions le leader du marché. Et son fondateur, Rajiv Gupta, a clairement aidé à définir le marché des passerelles d’accès cloud sécurisé (CASB). Son produit disposait de capacités d’analyse comportementale (UEBA), et de quelques capacités de prévention des fuites de données (DLP).

L’une des premières choses qu’ont faites nos équipes a été de regarder ces capacités de DLP et de les comparer aux nôtres. Nous avons décidé qu’il serait mieux de prendre celles que nous avions développées spécifiquement et de les intégrer au CASB. Dès lors, nous avons un workflow complet, pleinement intégré, entre DLP et CASB. Et nous travaillons à notre passerelle Web (SWG) pour intégrer l’ensemble, afin de pouvoir suivre les données, voir d’où elles viennent, où elles vont, où elles atterrissent, en s’assurant que les politiques de DLP sont appliquées en continu tout au long du transit.

Je pense que c’est un élément de différenciation. Cela ne veut pas dire que les concurrents ne vont pas aussi dans cette direction. Mais je pense que fournir ce genre de capacités au moyen de partenariats peut être compliqué.

LeMagIT : En parlant de partenariats, d’intégrations, et éventuellement de friction, je pense à un autre domaine où l’on a pu voir, au cours des dernières années, des efforts de coopération : entre EPP/EDR et UEM.

Candace Worley : Notre réponse est encore là ePO, avec son extension au travers de la Security Innovation Alliance : ce programme permet à des tiers de s’intégrer à notre solution via des API. Mais nous savons également fonctionner harmonieusement avec Intune pour les entreprises qui l’utilisent, même si ce n’est pas une intégration directe.

LeMagIT : Et quid de la gestion des vulnérabilités ?

Candace Worley : Nous avons décidé de quitter ce domaine en 2015. À ce moment-là, nous avons regardé notre portefeuille et nous nous sommes dit que nous avions essayé d’être partout, sur tous les domaines de la sécurité. Mais la réalité est qu’il est impossible d’être médiocre dans la sécurité. Il faut être bon ou excellent dans ce que l’on fait. Et cela implique de réaliser des investissements significatifs dans chaque produit de son portefeuille.

Las, nous avons tout simplement constaté que nos ressources étaient trop limitées. Nous n’investissions pas suffisamment dans certaines de nos technologies. Il nous fallait prendre une décision quant à l’orientation du marché. Nous avons donc décidé de quitter le domaine de la gestion des vulnérabilités. Il y a plusieurs bons acteurs sur ce marché qui peuvent servir nos clients. Alors nous avons opté pour un partenariat.

Ces décisions ne sont jamais prises à la légère. Elles ont été extrêmement difficiles à prendre pour l’entreprise. Nous savions qu’il y aurait des répercussions sur les clients, pour certains de nos employés. Mais nous pensons que la décision était la bonne.

LeMagIT : McAfee édite un système de gestion des informations et des événements de sécurité (SIEM). Mais le marché n’est plus aussi calme qu’il a pu l’être. Quelle place estimez-vous y avoir à court terme ?

Candace Worley : Je voudrais aussi parler à long terme, si vous le voulez bien. Nous avons une base installée solide. La catégorie du SIEM est là depuis longtemps. Je pense qu’elle a peut-être été survendue initialement. Il est vrai que les modèles tarifaires n’ont pas aidé. Les clients ont ajusté leurs attentes en fonction de ce qu’il est effectivement possible de faire avec un SIEM – et leurs budgets. Mais cela répond à un besoin précis.

Je pense qu’il sera intéressant d’observer les évolutions du marché, alors que l’on déplace de plus en plus de traitements dans le cloud, ou dans des environnements hybrides. Car cela va poser la question de l’emplacement du déploiement du SIEM.