Sécurité du poste de travail : « les terminaux sont de plus en plus protégés nativement »

LeMagIT : Un nombre croissant d’acteurs de la protection du poste de travail (EPP) s’invitent sur le marché de la détection et de la remédiation (EDR). Comment appréhendez-vous ce mouvement ?

David Damato : Il y a plusieurs choses à considérer. Tout d’abord, l’intérêt de Microsoft pour le marché de l’EPP. C’est un signal fort pour l’industrie : que l’on parle de poste de travail ou d’appareil mobile, les terminaux deviennent plus protégés par défaut, avec l’intégration native de nombreuses fonctions de sécurité.

De nombreuses organisations du domaine ne doivent plus simplement composer avec la concurrence de leurs pairs, mais aussi avec ce qui est intégré au système d’exploitation.

Avant de rejoindre Tanium, j’ai participé à de nombreuses investigations [avant de rejoindre Tanium, David Damato était directeur exécutif chez Mandiant, NDLR]. Et ce que j’ai le plus observé, ce ne sont pas ces attaques avancées qui font les gros titres. Ce sont des défis de base que les entreprises n’ont pas réussi à dépasser.

De nombreux frameworks de sécurité existent depuis dix ou vingt ans. Pour autant, personne n’effectue correctement sa gestion d’actifs ou de correctifs et de configurations, etc. Ce sont des sujets très ennuyeux, mais ils constituent la base efficace pour prévenir d’importantes brèches.

L’EPP ne fonctionne pas sur un actif non administré dont on ne sait rien. Ce n’est qu’une couche de défense parmi beaucoup d’autres. Et c’est là que nous sommes bien positionnés : nous nous concentrons sur l’exploitation IT dans une perspective plus large de la sécurité.

LeMagIT : Ce qui vous différencie, c’est donc votre capacité à appréhender une problématique large ?

David Damato : Oui. Les systèmes traditionnels qui sont là depuis des années, fonctionnent plus ou moins bien, sans forcément donner pleinement satisfaction. La raison à cela, c’est qu’ils sont difficiles à déployer et à administrer. Et puis ils sont très lents.

Dans toutes les intrusions sur lesquelles j’ai travaillé, nous avons posé la même question simple : quelles versions d’applications tierces - Java, etc. - sont installées ? Pour avoir la réponse, il faut compter des semaines.
Et lorsqu’elle arrive, elle est déjà obsolète.

Tanium change cela en permettant d’obtenir cette information très vite, pour savoir exactement quelles applications sont installées, quelles sont les configurations, quels correctifs sont là ou pas, etc.

La plupart des brèches que l’on observe ne s’appuient pas sur l’utilisation d’exploits inédits, mais sur ces défauts d’hygiène de sécurité de base.

LeMagIT : Reste-t-il envisageable d’être partenaire avec des éditeurs d’EPP ?

David Damato : Palo Alto Networks est un partenaire. Ils ont un excellent produit avec Traps. Mais il est plus dans la prévention des compromissions. Il peut y avoir quelques redondances avec nos offres, mais les leurs restent complémentaires. Et cela même si Palo Alto est capable de faire de la découverte d’actifs à partir du réseau. Nous, nous nous concentrons principalement sur les hôtes.

Ils sont, par exemple, capables de dire qu’un hôte existe ; nous sommes capables de dire ce qui s’exécute dessus. Nos agents sont capables de découvrir leur voisinage réseau, mais sans aller jusqu’à scanner tout l’environnement.

Et s’il est possible pour l’agent de s’installer sur l’un des hôtes découverts, il peut le faire automatiquement. Cela permet d’étendre le périmètre administré plus facilement.

LeMagIT : David Hindawi est le co-fondateur de Tanium, mais également avant de BigFix – racheté par IBM en 2010. IBM avec BigFix, est-il un concurrent naturel ?

David Damato : C’est un concurrent. Mais déployer leur solution pour couvrir des parcs toujours plus vastes demande de nombreux serveurs. De fait, les systèmes traditionnels ont généralement du mal à suivre.

A l’inverse, Tanium est conçu pour répondre à ce défi. Et c’est l’architecture qui fait la différence. Personne n’a d’architecture comparable, et personne ne peut supporter la même échelle à la même vitesse.

Dans la pratique, vous pouvez vous contenter d’un seul serveur. Voire d’un second pour assurer la haute disponibilité. Et nous permettons à nos clients de garder le contrôle complet de leurs données.