30.08.2021
| TÉMOIGNAGES
Parole d’expert avec Nicolas CAPRONI, Head of Threat & Detection Research Team SEKOIA.IO – Séquence n°2
Des échanges exclusifs entre SNS SECURITY et des spécialistes de son marché.
Séquence N°2 : les enjeux autour de la CTI (Cyber Threat Intelligence) dans la lutte contre la cybercriminalité.
Pour donner suite à l’interview de Nicolas DISSAUX, Directeur commercial et channel SEKOIA, nous vous proposons de faire une visite des coulisses de la Cyber Threat Intelligence de SEKOIA.IO. Une plongée inédite dans un univers hors du commun, assurée par une figure de notre écosystème, un homme reconnu par ses pairs comme un éminent expert de la cybersécurité : Nicolas CAPRONI, Head of Threat & Detection Research Team SEKOIA.
SNS SECURITY : Vous occupez le poste de Head of Threat & Detection Research Team chez SEKOIA.IO : quel est votre rôle au sein de l’entreprise ?
Nicolas CAPRONI : Je pilote le service TDR (Threat & Detection Research) de SEKOIA.IO qui se compose d’une vingtaine d’analystes spécialisés en Cyber Threat Intelligence (CTI) et en détection des cybermenaces.
L’équipe produit le renseignement sur les cybermenaces actionnables qui sera ensuite capitalisé dans notre base de CTI et exploité en temps réel dans notre produit SEKOIA.IO XDR. Nos activités regroupent l’analyse stratégique et des investigations techniques sur les cybermenaces.
Sur la partie plus opérationnelle, nous sommes en charge de la production d’indicateurs de compromission contextualisés et qualifiés, de rapports (FLINT ou Flash Intelligence Report) et de règles de détection comportementales, qui peuvent être liées à des TTPs (Tactics, Techniques and Procedures) de malware ou de groupe d’attaquants informatiques. Enfin nous développons des playbooks pour automatiser la fonction de détection et de réponse.
En tant que responsable de l’équipe CTI, je travaille bien entendu, en étroite collaboration avec les équipes Produit : Upscaling Team (UPS) qui développe SEKOIA.IO, Customer CARE et Sales & Marketing afin d’apporter et de valoriser au mieux les capacités de notre XDR.
En tant que responsable de l’équipe CTI, je travaille bien entendu, en étroite collaboration avec les équipes Produit : Upscaling Team (UPS) qui développe SEKOIA.IO, Customer CARE et Sales & Marketing afin d’apporter et de valoriser au mieux les capacités de notre XDR.
SNS SECURITY : Quels sont, d’un point de vue purement technique, les points forts de votre solution vs les solutions de SOC ou SIEM traditionnelles ? Comment vous positionnez-vous concrètement dans votre environnement concurrentiel ?
Nicolas CAPRONI : La plateforme SEKOIA.IO est la seule plateforme disponible sur le marché à intégrer nativement du renseignement cyber sur les menaces (CTI) avec des capacités de détection et de réponse aux incidents automatisées.
Cette architecture offre de nombreux avantages à nos clients : le coût de développement et de maintenance des intégrations est nul ; l’intégralité du contexte sur les menaces est conservée tout au long de la chaîne de traitement et toute l’information disponible est accessible au travers d’une unique interface. Le gain en temps des analystes, tant en investigation qu’en situation de réponse aux incidents, est considérable (de l’ordre de 80%).
Cette architecture offre de nombreux avantages à nos clients : le coût de développement et de maintenance des intégrations est nul ; l’intégralité du contexte sur les menaces est conservée tout au long de la chaîne de traitement et toute l’information disponible est accessible au travers d’une unique interface. Le gain en temps des analystes, tant en investigation qu’en situation de réponse aux incidents, est considérable (de l’ordre de 80%).
Nous avons également pris le parti de faire de SEKOIA.IO une plateforme ouverte, et largement interopérable avec d’autres solutions du marché, au travers d’une API publique exhaustive et du support natif du standard STIX 2,1. Cela permet une intégration fluide dans les systèmes d’information et de capitaliser sur les solutions SOC déjà en place chez nos clients.
SNS SECURITY : La Cyber Threat Intelligence est au cœur de votre solution. C’est aussi un terme à la mode : Qu’est-ce qu’il recouvre concrètement ? Quelles sont ses sources d’alimentation ? En quoi votre propre plateforme est-elle unique ?
Nicolas CAPRONI : Le point de vue que nous défendons chez SEKOIA.IO est le suivant : il n’est pas possible de se défendre contre les menaces cyber dès lors que nous ne les connaissons pas ou mal.
La Cyber Threat Intelligence ou renseignement sur les menaces cyber, consiste à s’intéresser aux menaces cyber en général et notamment aux attaquants informatiques. Le but est de mieux les connaître en identifiant leurs motivations, leurs capacités techniques, leurs modes opératoires (comment ils ciblent, comment ils compromettent des systèmes d’information, etc.), leur victimologie ou encore les malwares et les outils qu’ils utilisent.
La Cyber Threat Intelligence ou renseignement sur les menaces cyber, consiste à s’intéresser aux menaces cyber en général et notamment aux attaquants informatiques. Le but est de mieux les connaître en identifiant leurs motivations, leurs capacités techniques, leurs modes opératoires (comment ils ciblent, comment ils compromettent des systèmes d’information, etc.), leur victimologie ou encore les malwares et les outils qu’ils utilisent.
Notre plateforme SEKOIA.IO est unique en soi car elle incorpore de façon native une base de CTI produite et alimentée par une équipe d’experts dédiés. Elle possède des capacités de détection avancées s’appuyant sur l’écosystème des logs et produits déjà en place chez nos clients et partenaires et un orchestrateur (SOAR) pour automatiser le traitement et la réponse des incidents. Il n’y a plus de silos entre intelligence et opérations dans SEKOIA.IO et l’automatisation permet d’accélérer le travail du SOC / MSSP.
Autre point important : Le renseignement que nous recueillons, va être rendu actionnable dans notre XDR afin de lever des alertes de potentielles détections d’incident, qui seront ensuite qualifiées et contextualisées. Cela va permettre aux analystes type SOC d’avoir toutes les bonnes informations pour prendre de meilleures décisions et ne pas perdre de temps sur des faux positifs.
SNS SECURITY : Qu’est-ce que le renseignement sur les cybermenaces peut apporter dans le quotidien d’une direction informatique et en quoi un outil comme le vôtre, est-il promis à devenir un outil essentiel en matière de cybersécurité ?
Nicolas CAPRONI : Le renseignement sur les cybermenaces va apporter une capacité d’anticipation, indispensable aujourd’hui pour bien connaître les trop nombreuses menaces qui ciblent les entreprises publiques et privées.
Il est illusoire de croire que l’ancien modèle des « SIEM » avec des use cases et des règles de détection peu fiables, peut rivaliser avec des attaquants très agiles qui évoluent quotidiennement.
La CTI technique va apporter de nouvelles capacités de détection aux équipes opérationnelles. La CTI tactique et stratégique comprise dans notre base de CTI et qui est la capitalisation de la veille, de rapports, des fiches attaquants ou malwares va permettre aux managers de prioriser : l’ajout de nouvelles sources de données pour mieux détecter ou le « patch management ». Elle va permettre aussi de répondre aux questions de la Direction ou du COMEX sur les menaces cyber qui ont toujours des répercussions médiatiques.
SNS SECURITY : Quels retours d’expérience avez-vous aujourd’hui de votre solution et de sa plateforme ? Comment sont-elles exploitées en interne au quotidien ?
Nicolas CAPRONI : Notre produit SEKOIA.IO est très apprécié, autant pour ses interfaces et son UI/UX pensé d’abord pour des utilisateurs qui ne sont pas nécessairement des cyberexperts que pour son “Time to Value” très court.
Le produit en SaaS permet d’être opérationnel très rapidement et de valoriser les capacités de détection issues de la base de CTI en temps réel, avec un retro-hunting de plusieurs semaines.
En interne, l’équipe TDR (Threat & Detection Research) utilise quotidiennement SEKOIA.IO car c’est également notre outil de production de la CTI. Nous pouvons ainsi produire en temps réel du renseignement sur les menaces cyber et le rendre actionnable instantanément pour tous nos clients. De nouvelles fonctionnalités ou des « fixes » sont apportés et mis en production deux à trois fois par semaine par l’équipe UPS (UpScaling Team) pour une amélioration continue du produit.
SNS SECURITY : L’équipe CTI est basée à Rennes, en Bretagne. Pourquoi avoir fait ce choix ?
Nicolas CAPRONI : Exact, mon équipe est majoritairement basée à Rennes car nous sommes ainsi au plus proche des équipes de R&D de SEKOIA.IO qui travaille en permanence à l’amélioration de notre produit. Mais nous avons également des analystes à Paris et d’autres en « full-remote » un peu partout, à Bordeaux, à Annecy, etc.
Nous sommes attentifs depuis le début de notre histoire, à recruter les meilleurs profils pour notre équipe TDR et vous imaginez bien qu’ils ne vivent pas tous à Paris ou à Rennes. Notre stratégie vise à accueillir les nouveaux collaborateurs de tout horizon, où qu’ils soient, en France, en Europe et même aux quatre coins du monde. C’est dans cet esprit que nous travaillons et c’est aussi bien parti pour durer.
Nicolas CAPRONI a passé un tiers de sa vie dans la cybersécurité. Il a en l’espace d’une dizaine d’années seulement, balayé un large spectre des aspects des différents métiers du secteur : veille et renseignement sur les menaces, problématiques techniques et organisationnelles, enjeux stratégiques et géopolitiques, sensibilisation. Il a forgé son expérience et élargi ses compétences dans différents cabinets d’intelligence économique et spécialisés en cybersécurité et au ministère de l’Intérieur dans un service spécialisé dans la sécurité économique. Il a rejoint SEKOIA en juin 2018.
