Mieux investiguer la menace cyber pour mieux la détecter et y répondre

Vie des Entreprises

Dossier : Vie des entreprisesMagazine N°795 Mai 2024Par François KHOURBIGA (E19)

Après avoir évolué pendant plus de 20 ans dans le monde de la cybersécurité, notamment au sein de l’ANSSI, François Khourbiga (E19) a créé la start-up Defants. Avec sa plateforme de Threat Investigation, Defants, reconnue comme Cool Vendor pour les Modern SoC par le prestigieux Gartner, contribue à optimiser la détection et la réponse à la menace. Explications.

Au cours des dernières années, la cybersécurité est devenue un enjeu stratégique pour les entreprises. Qu’avez-vous pu observer à votre niveau ?

Au cours des 20 dernières années, nous avons pu observer une amélioration notable des outils et des processus liés à la détection et la réponse aux menaces. Néanmoins, dans les processus de défense ou d’anticipation de la menace, nous avons aussi eu tendance à occulter l’étape d’investigation. À partir du moment où une menace connue est détectée, la chaîne d’automatisation de réponse va s’enclencher pour avoir une réaction immédiate. Or toute détection nécessite ou implique une phase d’investigation afin de mieux cerner la menace et d’apporter la meilleure réponse à un incident de sécurité, quel que soit son niveau de criticité. Pour gérer ce risque cyber, les entreprises doivent non seulement détecter les menaces, mais également mener un travail d’investigation pour y répondre de la manière la plus efficace possible.

Sur la chaîne de valeur de la cybersécurité, où se situe Defants ?

Pour protéger les organisations, la chaîne de valeur de la cybersécurité couvre plusieurs dimensions : la prévention, la détection, l’investigation, la réponse et la remédiation. Aucune détection ne peut être réalisée s’il n’y a pas eu une phase d’investigation et aucune réponse à une menace émergente ne peut être optimale sans un travail d’investigation. Dans cette chaîne de valeur, Defants, acteur de la Threat Investigation, se positionne entre la phase de détection et celle de la réponse. Concrètement, nous apportons l’investigation qui est nécessaire après une détection et indispensable à la réponse.

Plus particulièrement, Defants est un éditeur de logiciel dédié à la cybersécurité qui a vu le jour en 2021. En juin 2022, nous avons intégré l’incubateur dédié à la cybersécurité ? Cyber Booster. À l’issue de cette incubation, nous avons finalisé un premier tour de table en pré-seed qui nous a permis de lever 2 millions d’euros pour développer notre activité commerciale. Aujourd’hui, l’équipe de Defants est composée d’une vingtaine de personnes, dont la majorité a un profil d’ingénieurs.

Concrètement, Defants propose une plateforme de Threat Investigation qui a été conçue en collaboration avec les équipes SoC et les experts de la réponse incident. Avec notre solution, nous nous adressons aux SoC, les Centres Opérationnels de Sécurité, qu’on retrouve au sein des grandes entreprises et qui ont un certain niveau de maturité en termes de cybersécurité, et aux Computer Emergency Response Team (CERT) des prestataires de cybersécurité. Ces organisations regroupent des équipes, des process et des outils afin de pouvoir réaliser la détection et la réponse.

Defants leur apporte la composante investigation aussi bien sur un plan technologique que méthodologique pour améliorer leur efficacité et garantir un plus haut niveau de protection à leur entreprise ou client.
Gartner a, par ailleurs, reconnu Defants comme un « Cool Vendor 2023 » et je suis convaincu que cette reconnaissance est une marque de qualité pour notre plateforme envers les Modern SoC.

Le caractère innovant de votre proposition de valeur repose sur votre technologie propriétaire qui vous permet de proposer un outil d’investigation sémantique. En quoi cette approche est-elle différenciante ?

Aujourd’hui, un attaquant dispose d’un avantage stratégique : il lui suffit de trouver une vulnérabilité pour mener son opération. À partir de là, les entreprises doivent multiplier leurs efforts, leurs ressources, et disposer des bons indicateurs de compromission au bon moment pour espérer détecter et réagir à ces attaques.
Selon l’état de l’art actuel, les entreprises ont principalement deux façons de faire. Tout d’abord, la recherche de signatures qui a vocation à identifier des outils potentiels de l’attaquant ou des recherches statistiques pour identifier des anomalies. Cela implique d’avoir connaissance ou d’avoir trouvé un outil de l’attaquant. Cette démarche devient totalement obsolète quand un attaquant change ses outils et donc de signature. La seconde démarche consiste, quant à elle, à détecter les anomalies et, à partir de là, de pouvoir déterminer avec finesse s’il s’agit d’une activité légitime ou d’une activité suspecte.

Defants a choisi de construire sa technologie autour de l’investigation sémantique. En effet, les attaquants emploient des tactiques, des techniques et des procédures qui reposent sur la même approche sémantique. Notre technologie permet d’ingérer automatiquement les données brutes prélevées sur des ordinateurs pour les traduire en un graphe sémantique qui va raconter l’histoire des systèmes d’information, où chaque élément technique de l’investigation est représenté par des nœuds (des sujets ou des compléments d’objet) qui sont reliés par un lien (un verbe).

Cette simplification nous permet d’appliquer des modèles mathématiques, notamment issus de la théorie des graphes, mais aussi des méthodes de Natural Language Processing, pour générer des chapitres de rapport, et à terme des rapports complets, ou encore, traduire des questions humaines en requêtes complexes pour aider les analystes à identifier les constantes sémantiques des attaquants.
L’investigation sémantique permet ainsi d’identifier facilement des constantes sémantiques et permet aux défenseurs d’obtenir un avantage asymétrique. Notre solution intègre déjà des ensembles de règles sémantiques pour identifier certaines de ces constantes, en se basant sur le Framework MITRE®. Au-delà, cette approche d’investigation sémantique réduit considérablement la charge de travail des défenseurs et augmente en retour la charge des acteurs de la menace, qui doivent modifier chaque élément sémantique de leurs tactiques.

Concrètement, comment fonctionne votre solution ? Quelles en sont les principales fonctionnalités ?

Notre plateforme a principalement trois atouts majeurs. D’abord, l’automatisation. Notre plateforme permet ainsi à un SoC de faire de l’investigation sur les menaces détectées pour y apporter une réponse efficace. Dans cette démarche, nous mettons à leur disposition de nouvelles données que les SoC n’exploitaient pas, des données d’investigation numérique dites Digital Forensic Data. Ces données, collectées via des agents de détection et de réponse (Endpoint Detection and Response – EDR) déjà en place, vont être automatiquement traitées par la plateforme pour construire visuellement un graphe de l’activité qui est liée à l’alerte en cours de traitement.

Notre plateforme apporte aussi une dimension collaborative très intéressante dans un contexte où il y a une réelle pénurie des talents dans le domaine de la cybersécurité et où les équipes de SOC et CERT peuvent être dissociées. Afin de permettre une meilleure rationalisation des ressources, notre plateforme facilite la collaboration entre les équipes en temps réel. Il va ainsi être possible d’éditer à plusieurs une investigation, de l’annoter, de partager de l’information afin d’optimiser la réponse qui sera apportée à une menace.

Le dernier avantage de la plateforme concerne sa capacité à s’intégrer et à s’interconnecter avec l’écosystème existant. Dans ce cadre, nous travaillons avec des start-up qui sont en pointe en matière de cybersécurité, comme Glimps ou HarfangLab, et plus récemment Sekoia.io, afin de combiner les capacités de l’investigation numérique à de l’analyse de fichier, de la collecte automatisée de données ou de l’enrichissement des bases de Threat Intelligence.

Comment résumeriez-vous ses forces et sa valeur ajoutée ?

Notre plateforme d’investigation est le fruit d’un travail collaboratif avec des équipes spécialisées dans la réponse aux incidents ce qui lui permet de faire le lien entre les enjeux de détection et de réponse afin d’en maximiser le potentiel. Au-delà, elle peut très facilement être déployée, ce qui permet d’aller encore plus loin en termes de détection et de réponse. En comparaison aux autres solutions sur le marché, nous sommes en mesure d’onboarder des profils, notamment juniors, jusqu’à cinq fois plus vite, car nous réduisons le nombre d’outils qu’ils doivent utiliser et maîtriser tout au long de leur formation.

Nous avons également pu mesurer des gains significatifs en matière d’efficacité d’investigation avec nos clients. Par rapport à des process traditionnels, notre plateforme permet d’aller jusqu’à trois fois plus vite dans l’investigation de menaces. C’est une métrique particulièrement importante pour des équipes de SoC qui sont amenées à traiter des volumes très importants de données et rapidement. Nous avons aussi mesuré un gain de productivité pouvant atteindre jusqu’à 30 % grâce à la dimension collaborative. En effet, en matière de gestion du risque, les entreprises doivent pouvoir contextualiser une menace. Le fait de pouvoir faire collaborer à la fois les équipes techniques et le client en leur permettant de contextualiser, d’enrichir l’investigation au travers de son activité économique permet d’améliorer la productivité sur les investigations et d’apporter d’une réponse beaucoup plus pertinente lors de la détection de ces menaces.

Et aujourd’hui, sur ce marché, comment vous projetez-vous ?

Alors que la menace cyber est en constante augmentation, l’enjeu est de mettre à disposition des entreprises et de leurs partenaires des outils faciles et adapter à tous pour détecter, investiguer et répondre à des incidents. Dans cet univers, Defants ambitionne d’apporter une capacité d’investigation de la menace plus proactive, intégrée dans les SoC, et qui s’aligne avec les composantes de détection et de réponse, afin de donner aux défendeurs et aux entreprises les moyens d’être plus résilients face à la cybermenace. Nous sommes fiers d’être parmi les premiers à offrir une solution concrète aux entreprises pour adopter cette approche, décrite par Gartner comme TDIR (Threat Detection Investigation and Response).