Connaître et anticiper la menace : un enjeu décisif pour se protéger efficacement

Dossier : CybersécuritéMagazine N°773 Mars 2022
Par Antonin CAORS (2005)
Par Freddy MILESI

Fon­dée en 2008 par Fred­dy Mile­si alors âgé de 26 ans, SEKOIA est aujourd’hui pres­sen­tie comme une future licorne de la French Tech, une entre­prise en forte crois­sance qui recrute et recherche des pro­fils aty­piques. Le fon­da­teur de l’entreprise et le direc­teur mar­ke­ting, Anto­nin Caors (2005), nous expliquent leur vision des enjeux actuels de la cyber­sé­cu­ri­té, et com­ment ils entendent y répondre par le jeu collectif.

Comment voyez-vous le contexte dans lequel votre entreprise évolue, et comment vous positionnez-vous par rapport à celui-ci ?

Anto­nin Caors : Aujourd’hui, la pro­tec­tion active d’une orga­ni­sa­tion est une tâche encore trop com­plexe : on ne peut plus se conten­ter de bâtir une for­te­resse autour d’un sys­tème d’information. Il faut aus­si s’assurer que ses acti­vi­tés res­tent pro­té­gées et opé­ra­tion­nelles mal­gré les menaces qui peuvent peser sur l’organisation dans son ensemble, d’autant plus qu’elles sont de plus en plus nom­breuses. Il y a beau­coup trop de silos de don­nées, d’expertises dif­fé­rentes à manier, les sys­tèmes d’informations sont d’une com­plexi­té crois­sante, l’environnement est mou­vant, les usages évo­luent très vite : pour pro­té­ger son orga­ni­sa­tion, il est néces­saire de faire les bons choix au bon moment et gar­der une grande flexi­bi­li­té pour suivre son évolution.

De plus, les ven­deurs de cyber­sé­cu­ri­té se sont trop long­temps concen­trés sur l’organisation elle-même plu­tôt que sur les menaces qui pèsent sur elle. Pre­nons une image : une orga­ni­sa­tion aujourd’hui, c’est comme une immense botte de foin ; ce que l’on cherche, l’intrusion, le mal­ware, c’est une aiguille plan­tée quelque part dans la botte. L’approche tra­di­tion­nelle c’est d’analyser chaque brin de paille à la loupe, l’un après l’autre jusqu’à trou­ver l’aiguille. Nous pro­po­sons de chan­ger de pers­pec­tive : si l’on sait que l’on cherche une aiguille, c’est-à-dire si l’on connaît la menace, il est plus effi­cace de pas­ser la botte de foin aux rayons X. C’est le prin­cipe qui a don­né nais­sance à SEKOIA.IO

Une des grandes attentes dans le secteur aujourd’hui est que la détection et la réponse puissent se faire en temps réel, et de manière automatisée.

Fred­dy Mile­si : SEKOIA est une socié­té fran­çaise de dimen­sion euro­péenne, nous sommes aujourd’hui l’un des pre­miers acteurs de sécu­ri­té en mode SaaS. Nous avons déve­lop­pé une pla­te­forme per­for­mante de détec­tion et de réponse éten­due (XDR : eXten­ded Detec­tion & Res­ponse), nom­mée SEKOIA.IO. Elle est qua­li­fiée d’ « éten­due », parce qu’elle fait par­ti­ci­per tout l’écosystème de cyber­sé­cu­ri­té d’une orga­ni­sa­tion, qu’elle est basée sur la connais­sance de la menace grâce au ren­sei­gne­ment, et parce qu’elle per­met une beau­coup plus grande auto­ma­ti­sa­tion des opé­ra­tions de lutte infor­ma­tique défensive.

Une des grandes attentes dans le sec­teur aujourd’hui concerne la détec­tion et la réponse pour qu’elles puissent se faire en temps réel, et de manière auto­ma­ti­sée pour sou­la­ger les équipes des centres des opé­ra­tions de sécu­ri­té (Secu­ri­ty Ope­ra­tions Cen­ter, SOC). La pla­te­forme a été conçue pour l’analyste qui tra­vaille dans ces équipes, et à ce titre notre tech­no­lo­gie s’adapte à toute taille d’entreprise, à tout niveau de matu­ri­té, qu’elle soit dans le pri­vé ou dans le public. Nous nous sommes appli­qué les meilleures pra­tiques des envi­ron­ne­ments SaaS : faci­li­té d’utilisation, flui­di­té du déploie­ment et capa­ci­té de mon­tée en charge.

Anto­nin : Il y a une vraie rup­ture par rap­port à ce qui se fai­sait aupa­ra­vant : de grosses équipes de consul­tants spé­cia­li­sés, des pro­jets longs, coû­teux, des dépas­se­ments de calen­drier ou de bud­get… Nous avons adop­té des logiques de concep­tion qui rendent le déploie­ment de notre solu­tion qua­si­ment ins­tan­ta­né. Le client nous four­nit les points d’entrée à sur­veiller et en quelques minutes, la pro­tec­tion est assurée.

Sans perdre en efficacité ?

A.C. : Abso­lu­ment pas : nous sommes au contraire plus effi­caces avec cette approche.

F. M. : Nous avons bâti notre concep­tion sur la connais­sance de la menace (Cyber Threat Intel­li­gence, CTI) : nous ne pou­vons pas pré­dire l’avenir, mais nous pou­vons l’anticiper. Nous nous inté­res­sons aux atta­quants, à leurs pra­tiques, et nous iden­ti­fions, détec­tons, neu­tra­li­sons leurs actions, avant que nos clients n’en subissent les impacts. D’une cer­taine façon, le ren­sei­gne­ment per­met de pilo­ter la pla­te­forme pour démul­ti­plier les capa­ci­tés de détection.

A.C. : Nous détec­tons les com­por­te­ments à risque, ce qui per­met d’intercepter les évé­ne­ments mal­veillants avant qu’ils puissent por­ter à consé­quence. Et cette détec­tion est éten­due : en croi­sant toutes les sources de don­nées et d’informations pos­sibles autour d’un sys­tème d’informations, des ter­mi­naux aux flux réseau, nous pou­vons réduire le plus pos­sible les fausses alertes. En rap­pro­chant auto­ma­ti­que­ment tous les évé­ne­ments avec les menaces connues, nous appor­tons aux ana­lystes des évé­ne­ments très enri­chis et contex­tua­li­sés. Ils gagnent ain­si consi­dé­ra­ble­ment en efficacité.

Quelle est plus particulièrement votre expertise, et la manière dont vous vous différenciez de vos concurrents ?

A.C. : Nous sommes par­mi les pre­miers à avoir appli­qué les prin­cipes de l’anticipation de la menace au pro­fit de la détec­tion et à avoir construit la pla­te­forme autour. La ten­dance du mar­ché est d’aller dans cette direc­tion, et nous y avons une lon­gueur d’avance.

F.M. : Un des gros avan­tages de notre pro­po­si­tion, c’est de sou­la­ger les équipes. Dans le contexte actuel, ça n’est pas neutre, car il manque chaque année en France et en Europe des mil­liers de spé­cia­listes en cyber. Notre pla­te­forme per­met de décu­pler leur effi­ca­ci­té et de leur rendre l’attrait de leur métier. Et comme nous avons voca­tion à nous foca­li­ser sur les exper­tises tech­no­lo­giques, nous avons besoin de ren­for­cer nos équipes par du recru­te­ment d’experts en ren­sei­gne­ment, en machine lear­ning, en déve­lop­pe­ment de solu­tions cloud natives.

A. C. : Dans notre équipe tech­nique, presque la moi­tié sont des experts du ren­sei­gne­ment sur la menace cyber, cer­tains par­mi les plus recon­nus. C’est un aspect qui illustre notre différence.

Quels sont pour vous les grands challenges actuels dans votre secteur d’activité ?

A. C. : Le sec­teur est rela­ti­ve­ment jeune. Beau­coup d’acteurs sont appa­rus ces der­nières années, et tech­no­lo­gi­que­ment le sec­teur arrive à une sorte de matu­ri­té. Il y a beau­coup de mou­ve­ments, chez les plus grands et chez les plus petits, à tra­vers des alliances, des par­te­na­riats, voire des consolidations.

F.M. : Le niveau de la menace n’a jamais été aus­si haut, et elle va conti­nuer à s’amplifier. Donc même si on fait par­tie des acteurs de taille impor­tante, il est capi­tal de jouer col­lec­tif. Le vrai rap­port de force va être d’une part entre nous Euro­péens et les mas­to­dontes amé­ri­cains, et d’autre part entre nous et les atta­quants. Il fau­dra tenir sur la durée, sur des enjeux majeurs, et jouer de manière collective.

Y a‑t-il selon vous encore beaucoup à faire en France au niveau de la cybersécurité ?

F.M. : Nous avons un très bon niveau aca­dé­mique, une admi­nis­tra­tion qui a bien pris le virage de la cyber­sé­cu­ri­té il y a plu­sieurs années, avec un socle très inté­res­sant. Depuis quelques années, l’industrie finan­cière s’intéresse au sujet de la cyber­sé­cu­ri­té et com­mence à lui allouer des moyens. Là où l’on n’a pas le même niveau de matu­ri­té, c’est sur la capa­ci­té à « ache­ter local ». La ques­tion de la sou­ve­rai­ne­té com­mence à appa­raître, mais le mar­ché a col­lec­ti­ve­ment des pro­grès à faire. Par exemple, dès que nous pré­sen­tons notre tech­no­lo­gie à des acteurs asia­tiques, amé­ri­cains ou euro­péens, ils paraissent sur­pris qu’une entre­prise fran­çaise puisse être à ce niveau. Et même en France, il reste un prisme anglo-saxon fla­grant sur la ques­tion cyber : je pense qu’il est temps de lais­ser leur chance à des acteurs français.

A.C. : L’écosystème cyber s’est mis en ordre de bataille ces der­nières années avec le lan­ce­ment d’initiatives publiques (Cam­pus Cyber, Star­tup Stu­dio) comme pri­vées (Cyber@StationF par Thales, Hexa­trust) ou encore sec­to­rielles (Alliance pour la Confiance Numé­rique). Il reste à faire fruc­ti­fier ces ini­tia­tives en jouant la carte de la col­la­bo­ra­tion pour faire face aux vrais enjeux glo­baux, et SEKOIA est plei­ne­ment inves­tie dans cet éco­sys­tème, en tant que co-ani­ma­teur de groupe de tra­vail au Cam­pus Cyber, que membre d’ACN, ou que co-créa­teur de l’OPEN XDR PLATFORM par exemple.


En bref

Ayant réa­li­sé l’année der­nière une levée de fonds de 10 mil­lions d’euros, SEKOIA emploie aujourd’hui 110 col­la­bo­ra­teurs, dont 95 ingé­nieurs. Elle a été sélec­tion­née comme « acteur majeur » par France cyber maritime.


Poster un commentaire