Maîtriser toute la chaîne de protection, un vrai plus dans le marché de la cybersécurité

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Éric FRIES

Allen­tis est une entre­prise fran­çaise en forte crois­sance dans le domaine de la cyber­sé­cu­ri­té. Elle déploie ses acti­vi­tés sur plu­sieurs sec­teurs, hard­ware et soft­ware, et four­nit des ser­vices variés sur toute la chaîne des flux de don­nées. Son pré­sident et fon­da­teur, Éric Fries, nous explique son approche.

Pouvez-vous nous présenter vos activités ?

Nous sommes une PME fran­çaise qui existe depuis dix ans main­te­nant, basée sur trois sites, Paris, Tours et Nîmes. Nous avons trois métiers, en fait trois savoir faire : la fabri­ca­tion de sys­tèmes de répli­ca­tion de tra­fic, c’est-à-dire un hard­ware qui per­met d’extraire du tra­fic pour l’envoyer à des sys­tèmes d’analyse. Le deuxième, dans le logi­ciel, concerne les solu­tions de détec­tion de menaces cyber en ligne. Notre troi­sième métier cor­res­pond aux sys­tèmes d’analyse de la per­for­mance des flux de don­nées (voix, images, data), la volu­mé­trie, les com­por­te­ments, etc. Ces trois domaines se com­plètent. Nos clients sont en géné­ral des grandes entre­prises qui dis­posent de leur data cen­ter ou bien qui confient tout ou par­tie de leur sys­tème infor­ma­tique à des sous-trai­tants divers.

Vous avez développé vous-même vos propres solutions ?

Nous avons entiè­re­ment déve­lop­pé nous-mêmes nos sys­tèmes logi­ciels de détec­tion. Sur l’aspect maté­riel éga­le­ment, nous avons déve­lop­pé de l’électronique et de l’optique pour pou­voir fabri­quer des sys­tèmes de répli­ca­tion de trafic.

Quelles sont les compétences demandées par l’expertise qui est la vôtre ? 

Faire des logi­ciels de détec­tion de menace demande des com­pé­tences variées. En dehors de savoir déve­lop­per des logi­ciels, il est néces­saire d’avoir une connais­sance très poin­tue du déco­dage pro­to­co­laire. Ensuite, il faut avoir une connais­sance éten­due des archi­tec­tures réseau, c’est-à-dire com­ment vont et viennent les don­nées dans un data cen­ter et sur les réseaux éten­dus, et il faut com­prendre le com­por­te­ment nor­mal des uti­li­sa­teurs. En résu­mé, nous avons des com­pé­tences pour déco­der, ana­ly­ser les data, com­prendre la cir­cu­la­tion nor­male des flux, mais aus­si com­prendre le com­por­te­ment type d’un uti­li­sa­teur. Notre métier a aus­si une autre exi­gence : pour faire des sys­tèmes robustes, il faut avoir des com­pé­tences en archi­tec­ture logi­cielle, faire les bons choix, ce qui n’est pas tou­jours le cas dans ce sec­teur où fina­le­ment les clients ne voient pas « ce qu’il y a sous le capot ».

L’ANSSI effectue un travail extraordinaire depuis dix ans pour dynamiser l’écosystème cyber français.”

Nos sys­tèmes sont des ser­veurs dans les­quels sont injec­tés du tra­fic en temps réel. Il faut donc faire de la pro­gram­ma­tion sur des sys­tèmes qui fonc­tionnent en temps réel : cela demande des com­pé­tences qui s’acquièrent progressivement.

Il y a des pièges dans la construc­tion de ces sys­tèmes, et l’expérience R&D est donc un point important.

Notre carac­té­ris­tique, c’est que tech­no­lo­gi­que­ment nous maî­tri­sons l’ensemble du pro­ces­sus ; comme nous pro­dui­sons des sys­tèmes de répli­ca­tion, nous pou­vons four­nir au client toute la chaîne de pro­tec­tion péri­mé­trique, y com­pris les équi­pe­ments qui vont lui per­mettre d’extraire les don­nées de son réseau et les envoyer à des sys­tèmes d’analyse que nous aurons aus­si four­nis. Nos confrères géné­ra­le­ment ne s’occupent que de détec­tion. Nos sys­tèmes de détec­tion sont aus­si par­ti­cu­liè­re­ment per­for­mants : et il faut sou­li­gner que tous ne se valent pas, sur­tout dans la capa­ci­té à pré­sen­ter les don­nées de manière simple et rapi­de­ment exploi­table. Le risque numé­ro un du client et de son SOC (Secu­ri­ty ope­ra­tion cen­ter), c’est la noyade dans une masse de don­nées com­plexes à trai­ter. C’est jus­te­ment ici que nous fai­sons la différence. 

Qu’est-ce qui, pour vous, dynamise le marché aujourd’hui ?

Aujourd’hui, très clai­re­ment, c’est la mise en confor­mi­té des orga­ni­sa­tions avec le volet cyber de la loi de pro­gram­ma­tion mili­taire. Dans la der­nière loi, il y a un volet cyber très impor­tant dont l’exécution, en termes régle­men­taires, est por­tée par l’ANSSI. Et ce volet cyber oblige les opé­ra­teurs d’importance vitale (OIV) à s’équiper de sys­tèmes de défense dans un cer­tain délai. Les opé­ra­teurs de ser­vices essen­tiels (OSE) doivent quant à eux ini­tier une démarche de cyber-pro­tec­tion. C’est ce mar­ché que nous visons, sur la par­tie détec­tion de menaces.

À plus long terme, comment voyez-vous l’évolution du marché ?

Je pren­drais la ques­tion d’un peu plus loin. Dans la cyber­sé­cu­ri­té telle que nous l’abordons, il y a deux pro­blé­ma­tiques. En pre­mier lieu, la pro­tec­tion péri­mé­trique : par exemple construire une ligne de défense qui sur­veille ce qui entre et ce qui sort d’un data cen­ter ou d’une par­tie d’un sys­tème d’information.

Il y a un deuxième besoin : la pro­tec­tion des end points (ordi­na­teur por­table, smart­phone, tablette, ser­veur, com­po­sant IOT, etc.), c’est-à-dire des équi­pe­ments aux mains des uti­li­sa­teurs ou accé­dés par eux. Ce sont les deux grands lieux de pro­tec­tion. Allen­tis s’intéresse à la pre­mière pro­blé­ma­tique : la pro­tec­tion péri­mé­trique, au tra­vers des équi­pe­ments de type NDR (Net­works detec­tion and res­ponse) qui sont bran­chés au niveau des réseaux et non dans les end points. 

L’évolution du mar­ché, c’est peut-être une inté­gra­tion et une auto­ma­ti­sa­tion de ces deux types d’équipements, même si cela est com­plexe à réa­li­ser. Nos sys­tèmes de détec­tion peuvent repé­rer un com­por­te­ment anor­mal en péri­phé­rie ou dans le data cen­ter. À l’autre extré­mi­té, les logi­ciels EDR auront pu détec­ter des évé­ne­ments anor­maux ou agres­sifs sur les end points. 

L’objectif, c’est se pro­té­ger de cette menace ; par de bonnes pra­tiques d’urbanisme et de confi­gu­ra­tion, puis en met­tant en place des règles dans les équi­pe­ments de contrôle d’accès et de flux (comme les pare-feu) afin de dimi­nuer la sur­face d’attaque, ce qui revient à ôter aux atta­quants des pos­si­bi­li­tés d’entrer dans le péri­mètre, et en troi­sième lieu par l’éducation des uti­li­sa­teurs et la res­tric­tion des usages. Les équi­pe­ments tels que nous les fabri­quons, et ceux que pro­duisent ceux de nos confrères qui font des logi­ciels de pro­tec­tion des end point, peuvent – cela se pra­tique déjà mais de manière limi­tée – pilo­ter des équi­pe­ments de type pare-feu pour modi­fier, enri­chir leurs règles et ain­si opti­mi­ser en qua­si temps réel les niveaux de pro­tec­tion. C’est une évo­lu­tion pos­sible, même si elle met en jeu des auto­ma­ti­sa­tions dont on peut craindre les effets de bord.

À quels types d’attaques est-on confronté le plus souvent aujourd’hui et comment y répondre ?

Toute orga­ni­sa­tion pré­sente une sur­face d’attaque : elle laisse ouvertes des oppor­tu­ni­tés d’être atta­quée. Un des objec­tifs de la pro­tec­tion cyber, c’est évi­dem­ment de détec­ter les ten­ta­tives d’attaque, et de les parer, mais au-delà de cet aspect, c’est aus­si de réflé­chir à ce qui a per­mis à l’assaillant de ren­trer chez vous et de prendre des mesures pour réduire la sur­face d’attaque, en somme fer­mer des portes. Aujourd’hui la très grande majo­ri­té des attaques arrivent par les mails avec deux stra­té­gies : le phi­shing, l’objectif étant de chif­frer ou de sou­ti­rer vos don­nées, soit direc­te­ment sur votre poste, soit en se pro­pa­geant dans votre orga­ni­sa­tion. La deuxième famille d’attaques, c’est le social engi­nee­ring, plus orien­té vers l’extraction d’informations.

Quelle est votre projection à l’international ? Est-ce que le marché français est dynamique ?

Nous tra­vaillons au niveau inter­na­tio­nal, à petite échelle. Nous avons 250 clients, et 10 % de notre chiffre d’affaires se fait à l’étranger. Mais le mar­ché fran­çais est très por­teur, pour deux rai­sons. D’abord, grâce à l’ANSSI qui effec­tue un tra­vail extra­or­di­naire depuis dix ans pour dyna­mi­ser l’écosystème cyber fran­çais. Pour par­ler clai­re­ment, nous avons tri­plé de taille sur les quatre der­nières années grâce à l’impulsion de l’ANSSI, grâce à la label­li­sa­tion, et à la dyna­mi­sa­tion du mar­ché qu’ils ont pro­vo­quée. Le deuxième point, c’est le pro­blème de la menace cyber en tant que telle, qui est un phé­no­mène mas­sif et très médiatisé.

Les tech­niques d’attaque ne sont pas vrai­ment nou­velles, mais l’extension du numé­rique au niveau de la socié­té, et donc des entre­prises et orga­ni­sa­tions, aug­mente for­te­ment la sur­face d’attaque glo­bale, qui devient colos­sale : tout le monde com­mu­nique par mails, et sou­vent de façon impru­dente. Cette sur­face d’attaque ayant consi­dé­ra­ble­ment aug­men­té, la cri­mi­na­li­té orga­ni­sée y a vu une opportunité.


En bref

Socié­té fon­dée en 2011 four­nis­sant des solu­tions de sécu­ri­té et de per­for­mance des systèmes

19 employés répar­tis sur trois sites : Paris, Tours et Nîmes. ALLENTIS four­nit aux grandes entre­prises et admi­nis­tra­tions des solu­tions d’analyse des flux de don­nées à des fins de sécu­ri­té, d’activité ou de performance.


Poster un commentaire