Entretien avec Benoit Grunemwald, Directeur des opérations, ESET

Pouvez-vous nous parler d’ESET en quelques chiffres ?

Depuis 1997, nous avons de l’intelligence artificielle dans nos solutions pour traiter et classifier les 300.000 nouvelles menaces par jour qui entrent dans notre cyberespace. Nous disposons de plus de 100 millions d’agents déployés chez nos clients à travers le monde. ESET a triplé ses effectifs dans le domaine de la recherche pour contrer la menace cyber qui ne cesse de grandir.   

 

Pourquoi le Threat Intelligence comme sujet des assises ?

Les menaces évoluent et leurs nombres augmentent sans arrêt depuis ces dernières années. Les outils d’infections et post-exploitation  évoluent eux aussi sans arrêt, c’est pourquoi nous jugeons que le Threat Intelligence est indispensable dans une bonne analyse de risque afin de prendre en compte les outils utilisés par ces menaces sur le moment présent. Ces outils permettent de détecter une intrusion, récolter des informations pendant cette intrusion et permettra par la suite de prédire une attaque similaire aux précédentes en déterminant les “Tools, Tactics, and Procedures”.

 

Comment se passe le partage d’IOCs récoltés par vos agents déployés ?

C’est une histoire d’hommes. Il y a des coopérations avec les forces de l’ordre et de la cybersécurité pour des obligations de sécurité “nationale” où de protection d’infrastructures sensibles, mais aussi avec les entreprises de confiance ou partenaires.

 

Que pensez-vous des initiatives telles que ThreatConnect ou IBM Xforce, qui permettent de partager des IOCs gratuitement ?

En partageant des IOCs, nous espérons qu’elles soient diffusées plus rapidement afin de contrer les menaces. Par contre, diffusion ne veut pas dire intégration. Si des IOCs sont diffusées mais ne sont pas intégrées dans les équipements de détection, cela n’est suivi d’aucun effet. Théoriquement, cela rend la tâche plus difficile aux attaquants. Mais le fait que ces IOCs soient publiques les rend aussi accessibles par les attaquants, qui peuvent surveiller si leurs actions malveillantes sont découvertes.

 

Quels sont les différents “types” de Threat Intelligence ?

Je définis le Threat Intelligence sous 3 niveaux :

-        Ce que j'appellerai l’ “OpenDoor” : C’est à dire toutes les informations mises à disposition du grand public gratuitement pour se protéger.

-        Le Threat Intelligence que l’on fait en l’entreprise : Se protéger des attaques récurrentes dans notre secteur d’activité

-        Le Threat Intelligence de l’attaquant, qui se traduit par une phase de reconnaissance Pré-attaque, voir Post-attaque de la victime. Parmi les outils les plus utilisés par les attaquants lors de ces reconnaissances, on peut citer les réseaux sociaux, mais aussi les moteurs de recherche tels que Shodan et même tout simplement Google.

 

Que pensez vous de l’IA dans ce domaine, et en utilisez-vous chez ESET ?

Miser uniquement sur l’intelligence artificielle sans former l’humain est dangereux. L’intelligence Artificielle est une arme, mais une arme à double tranchant. Si on n’inclut pas l’humain dans son pilotage, ou sa création, il ne s’agit que d’un outil parmi de nombreux autres. Lorsque le marketing parle d’IA, nous sommes dans l’imaginaire collectif, avec l’IA qui pilote le monde, mais ce n’est pas encore le cas aujourd’hui. ESET utilise de l’IA depuis 1998, plus précisément des réseaux de neurones récurrents ainsi qu’un groupe de six algorithmes de classification.

 

Quel est le malware le plus intéressant que vous ayez pu analyser ?

GreyEnergy est un malware sur lequel nous avons publié un rapport. Il s’agit d’une reprise du malware ayant ciblé les centrales électriques ukrainiennes.

Lojax est un malware UEFI que nous avons réussi à analyser et détecter au sein de nos laboratoires. Il s’agit d’un des premiers qui aient été trouvés.
https://www.welivesecurity.com/fr/2018/09/27/lojax-premier-rootkit-uefi-sednit/

 

Comment se passe concrètement une analyse de programme par le moteur de l’antivirus ?

Une vérification de l’utilisation d’un obfuscateur ou packer est en général un premier indice qui fera monter le taux de suspicion. L’empreinte d’un programme est une preuve irréfutable pour savoir si ce dernier est un malware connu. Pour détecter une menace non-connue, l’antivirus utilise un ensemble d’outils permettant d’extraire des indices et marqueurs servant de “preuve”. En croisant ces preuves, on peut donner un “score” au programme en question. Ce concept est très similaire à une enquête policière, l’empreinte d’un malware connu est une preuve irréfutable, tandis que les indices forment des suspicions. Trop de suspicions peut impliquer le blocage pour des raisons de sécurité.

 

D’après vous quelle est la headline cyber dont nous devons nous souvenir pour 2018 ?

La maturité de la Threat Intelligence: Il était impossible il y a une dizaine d’années de s’attendre à vendre ses marqueurs, et encore moins pour des grosses entreprises de s’attendre à en acheter.

Les COMEX doivent se pencher sur les risques Cyber. Traditionnellement, les entreprises se confrontent aux risques naturels, concurrentiels ou politiques. Néanmoins, les dernières grandes attaques ont montré que les risques cyber, que l’on soit ciblé ou impacté comme dommage collatéral a des conséquences sur le fonctionnement de l’entreprise. Cette analyse doit intervenir  à tous les niveaux de l’entreprise.

Dernière publication

Retour sur Les Assises 2018 avec une série de questions/réponses de Benjamin Delpy, responsable du Centre de R&D en Sécurité de la Banque de France et créateur de mimikatz. 

Lire