[FireEye] Parlons un peu de ceux qui gèrent la cybersécurité

Sur le web

Par le

Jeudi dernier, j’ai eu l’occasion de rencontrer le directeur général de la partie française de FireEye, il s’agit de la maison mère de Mandiant, une entreprise qui a notamment enquêté sur le hack de Sony fin 2014. Cette rencontre avec Christophe Badot a été l’occasion d’en apprendre un peu plus sur une des entreprises qui contribue à sécuriser internet. Cela a aussi été l’occasion d’en apprendre un peu plus sur le fonctionnement de la cybersécurité et sur l’état de cette dernière aujourd’hui.

08102015-_HRB4934-2

FireEye est une société américaine qui emploie 2800 personnes dans une soixantaine de pays autour du globe. Une grosse entreprise qui prévoit entre 800 et 850 millions de dollars de chiffre d’affaires en 2015. Une belle somme quand on sait que l’activité de l’entreprise n’a réellement débuté qu’il y a 4 ans et que l’entreprise enregistre une des meilleures croissances de la Silicon Valley ces dernières années. L’entreprise est présente depuis deux années et demie en France. Elle agit sur plus de 250 réponses sur incident par an (quand l’entreprise intervient après une attaque).

téléchargement (1)

FireEye, comme d’autres entreprises de sécurité, vend des produits et des services pour garantir la sécurité d’une entreprise. Pour ce qui est des produits, il s’agit de logiciels permettant de bloquer les attaques. Si ces dernières sont connues, il est assez simple de les détecter et de les empêcher de passer. En revanche, il est beaucoup plus difficile de traiter les menaces que l’on ne connaît pas déjà, on ne peut pas juste savoir si quelque chose est dangereux ou non. Nous en parlions déjà dans un autre article, mais il est aujourd’hui possible de cacher des malware dans un document Word contenu dans un mail. Pour contrer cela, l’idée est de faire semblant que le mail est arrivé à destination alors qu’il ne l’est pas, puis d’observer son comportement une fois faussement ouvert. Si aucune alerte ne se déclenche, on peut alors envoyer le mail au bon destinataire. Mais cela n’est pas faisable sur des flux en direct, s’il faut que le transfert soit rapide, il faut alors copier le flux et regarder comment il se comporte. Si une alerte est lancée, il faudra alors isoler le flux et les machines l’ayant reçu du reste du réseau.

Sans titre

Ce ne sont là que deux solutions parmi beaucoup d’autres, mais c’est (en gros) le type de solution que l’on peut trouver pour protéger une entreprise. Seulement, ces solutions ne sont pas efficaces à 100%, et il faut parfois agir une fois que l’attaque a eu lieu avec succès (ça a été le cas chez Sony, mais aussi chez Target, un concurrent de Walmart). C’est pour cela que l’entreprise vend aussi des services et c’est pour cela qu’elle a fait l’acquisition de Mandiant en janvier 2014 pour la somme de 1 milliard de dollars. Ces services ont deux buts. Dans un premier temps, préparer l’entreprise à une attaque (voir comment elle réagit, mettre en place des procédures, vérifier que son parc informatique n’est pas déjà infecté, etc) et dans un deuxième temps, être là pour gérer la situation en cas d’attaque. Si tout se passe bien, l’attaque est détectée très vite par les logiciels (une entreprise met en moyenne 205 jours pour se rendre compte d’une attaque), mais il faut ensuite réagir. Couper les accès réseau n’est pas forcément une bonne idée, cela peut indiquer à l’attaquant qu’il a été découvert. C’est cette expertise qu’apporte aujourd’hui une entreprise comme FireEye.

Enfin, étant donné que les attaques sont de plus en plus complexes, l’information et la connaissance sont de plus en plus importantes. C’est pour cela que l’entreprise fait aussi de la recherche sur les menaces existantes. Certaines de ces alertes sont publiées sur le blog de sécurité de l’entreprise. L’entreprise a aussi des consultants un peu spéciaux chargés de traquer les groupes de hackeurs autour de la planète. 150 personnes sont ainsi à la recherche de groupes qui ont chacun leur dénomination, comme apt28 à l’origine du hack chez TV5 monde, un groupe qui n’avait pas grand-chose à voir avec le terrorisme contrairement à ce qui avait été supposé.

stat

Concernant la cybersécurité autour du globe aujourd’hui, le constat de l’entreprise n’est pas des plus reluisant, et ce même si monsieur Badot ne veut pas tomber dans un marketing de la peur. Le nombre d’attaques augmente, en France il a été multiplié par quatre entre le premier semestre 2014 et le premier semestre 2015 avec pour principales cibles l’aérospatial et les services gouvernementaux. Ces attaques sont de plus en plus inventives et sans limites en terme de complexité. Les attaques visent aussi de plus en plus les automates de l’industrie et les cibles moins évidentes (qui sont donc moins protégé).

C’était déjà plus ou moins ma conclusion quand je parlais de la vulnérabilité des centrales nucléaires, mais l’arrivée de nouveaux objets connectés, la multiplication des réseaux et de leurs utilisations ne font que rendre le sujet encore plus critique. En Syrie, FireEye a déjà plusieurs fois noté l’utilisation de cyberattaques pour remporter de réelles victoires. Les rebelles se seraient notamment fait prendre, révélant leurs positions en se connectant à des sites pirates sans le savoir.