Que propose Gatewatcher en matière de cybersécurité ?
Gatewatcher est une plate-forme de détection des intrusions informatiques lancée en février 2015. Elle est issue de trois ans de travaux du laboratoire de recherche et développement de la société Armature Technologies, cabinet de conseil spécialisé en sécurité informatique et en cyberdéfense créé en 2012 et partenaire du Village by CA. Armature Technologies anime des conférences et mène des campagnes de tests d’intrusion auprès des directeurs de système d’information et des directeurs financiers notamment, pour les sensibiliser au cyber-risque et au cybercrime.
La société Gatewatcher édite et développe la plate-forme de détection du même nom. Cette plate-forme est composée de sondes de détection, appelées GCap, qui écoutent les réseaux sur lesquels elles sont placées, et une appliance centrale, le GCenter, qui détecte et analyse les intrusions. Notre technologie exploite notamment les technologies Big Data pour décupler les performances de détection indépendamment des contraintes de volume de données.
Comment fonctionne un travail de veille et de détection des menaces ?
Gatewatcher permet de détecter les intrusions avancées (Advanced Persistant Threats – APT) et d’analyser et détecter les signaux faibles de comportements malveillants et intrusifs.
Le système capture tous les flux réseaux du client et les analyse de façon dynamique. Sur un réseau, se trouvent deux types d’éléments : des fichiers, qui transitent, découpés en paquets, et des requêtes, qui peuvent être légitimes ou illégitimes. La détection consiste à savoir repérer dans l’analyse quelles requêtes et quels fichiers sont légitimes ou non.
Nous avons développé de nombreuses innovations et notamment des mécanismes pour anticiper les requêtes et fichiers illégitimes par rapport à l’activité dans le domaine bancaire. Par exemple, si une banque fait développer une application pour le trading par des équipes en interne et fait appel à nos services, nous pourrons définir les requêtes légitimes et illégitimes liées à cette application, afin de réagir sur les tentatives d’intrusions malveillantes.
Les menaces de cyberattaques évoluent en permanence. Les hackers progressent en créativité pour éviter de se faire repérer, et il faut donc connaître et anticiper leurs comportements.
Disposez-vous d’une équipe de hackers en interne ?
Notre équipe de hackers « éthiques » délivre des prestations de test d’intrusion afin d’identifier les vulnérabilités et les faiblesses de systèmes d’information de nos clients. Il faut distinguer les hackers éthiques de ceux qui ne le sont pas, qui travaillent sur le darknet, le plus souvent pour le compte de mafias, et dont les revenus moyens avoisinent 500 000 dollars par an.
Nous avons développé une charte de bonnes pratiques des tests d’intrusion afin d’accompagner nos clients pour identifier leurs vulnérabilités et anticiper l’impact d’une cyberattaque.
Vous avez demandé la qualification ANSSI pour proposer vos services aux opérateurs d’importance vitale (OIV). Où est votre demande ?
La loi de programmation militaire (LPM) votée en 2013 pour 2014-2019 a défini 218 OIV, publics et privés, dont la liste n’est pas communiquée publiquement. Elle concerne plusieurs domaines parmi lesquels les transports, les télécoms, les hôpitaux, l’énergie, les banques… Les OIV ont désormais des obligations réglementaires en sécurité physique et logique, c’est-à-dire informatique. Ils doivent s’équiper d’outils de cyberdéfense, et notamment se doter de sondes de détection des intrusions qui soient « qualifiées » par l’ANSSI. Des laboratoires agréés, les centres d’évaluation de la sécurité des technologies de l’information (CESTI), vont auditer les produits qui vont être qualifiés et remettre un rapport à l’ANSSI qui va accepter ou non cette qualification. Ils ne vont pas auditer le niveau de qualité selon des critères de détection, mais vérifier si le produit en lui-même est sécurisé afin de ne pas induire de nouvelles vulnérabilités dans le système d’information de l’OIV.
Certains des clients de Gatewatcher dans le domaine bancaire sont devenus des OIV avec la LPM et nous ont poussés à faire qualifier par l’ANSSI notre plate-forme de détection des intrusions. Nos démarches sont en cours, et nous devrions obtenir cette qualification courant 2016.
L’objectif est-il de proposer vos sondes qualifiées à d’autres banques ?
La qualification ouvre potentiellement un marché de 218 clients qui ont le devoir de s’équiper ; si nos produits sont qualifiés, nous les démarcherons. Nous avons une quinzaine de clients grands comptes, parmi lesquels BNP Paribas CIB et le Crédit Agricole, qui seront bientôt rejoints par deux autres banques. La plupart des clients grands comptes que nous avons déjà sont des OIV.
Constatez-vous une évolution des cyberattaques ?
Les attaques diffèrent selon l’objectif des attaquants, qui peut être seulement de nuire, ou d’extraire des informations ou de l’argent. Les attaques par déni de service (Distributed Denial of Service – DDoS) consistent à envoyer de très nombreuses requêtes à un site Internet jusqu’à en bloquer son accès. Elles sont couramment utilisées et la plupart des opérateurs télécom intègrent aujourd’hui dans leurs offres des défenses contre les DDoS. Gatewatcher couvre le spectre des intrusions qui peuvent être destinées à extraire des informations, de l’argent, ou des moyens financiers. L’informatique est un domaine encore assez jeune et qui a déjà beaucoup évolué. Les systèmes d’exploitation ont renforcé leur innocuité, cela exige plus de créativité de la part des cyberattaquants et donc des moyens de détection performants, qui permettent d’anticiper leurs comportements.
