Logis-Consult est une petite société d’Heusy spécialisée dans le conseil et les services de gestion intérimaire et, plus particulièrement, dans des contextes où les sociétés ont besoin d’une aide pour une gestion de crise ou pour remettre leurs activités sur les rails.

Un peu par hasard – quoique… -, Logis-Consult s’est retrouvée embarquée voici peu dans le maelström des cyber-risques (cyber-attaque, cyber-criminalité, failles, fuite de données…). Pas pour elle-même mais tout simplement parce que ces dangers se sont manifestés dans le cadre d’une mission de gestion de crise pour un client.

Ne possédant pas ce genre de compétences, elle s’est tournée vers une jeune pousse lyonnaise, Inendi, également croisée lors d’une mission (accompagnement au développement des activités) qui, entre-temps, avait été reprise par le groupe français ESI qui en a fait sa division Cyber Security.

Aujourd’hui, Logis-Consult opère donc comme distributeur de la solution sur les trois marchés du Benelux.

Particularité de la solution Inendi Inspector? Elle vise essentiellement à permettre la détection d’attaques IT et de failles par mise en évidence – sous forme graphique – de signaux faibles. “Il peut s’agir par exemple d’attaques déployées au départ de malware et vulnérabilités existant ou créés au sein de l’infrastructure, de failles existant quelque part sur le réseau – par exemple, un routeur dont on avait oublié l’existence, qui n’a pas été maintenu et qui a été compromis”, explique Elis Barbieri, responsable commercial et marketing de Logis-Consult.

Inendi Inspector n’est pas une solution totalement automatisée qui se charge d’elle-même de l’identification et de l’éradication de la menace. Bien au contraire, le principe qui en est à la base est de conserver un rôle essentiel à l’opérateur humain. “Si 90% du travail peut être fait par des systèmes de détection et de traitement automatiques, il reste vital qu’un être humain reste à la manoeuvre et prenne des décisions qui restaurent la sécurité”. Voilà le discours que tient Inendi.

Expertise humaine requise

Le logiciel collecte et agrège une multitude de paramètres, d’informations émanant de sondes qui sont préalablement déployées à des endroits-clé de l’infrastructure de la société: routeurs, serveurs, pare-feu… “Tout endroit, en fait, où on peut récupérer des données sur les volumes de trafic, les URL, les transactions…”, indique Elis Barbieri.

De cette multitude de données, Inendi fait émerger des anomalies, transforme des signaux faibles et anodins en révélateurs de failles et menaces. Et représente le tout sous la forme d’une représentation graphique, à codage couleurs. Adresses IP, heure d’une transaction, identifiant d’un utilisateur ou d’un terminal, volume de données, type de transactions se transforment en tableau de bord analysable. “Avec du temps et de la pratique, l’opérateur repère aisément les événements anormaux.” Exemple de “signal faible” révélateur d’une attaque? Des transmissions régulières en très petits volumes de ou à destination d’un système donné.

Inendi Inspector se positionne comme un outil d’aide à l’opérateur expert.

Le logiciel ne prend pas “l’initiative” d’émettre une alerte. Il se contente de cartographier, de représenter graphiquement la situation.

C’est l’opérateur humain qui, “sur base de sa connaissance du logiciel et du paysage historique des transactions de son entreprise et sa connaissance de l’état actuel des menaces”, décidera s’il s’agit ou non d’une situation anormale. “L’analyste s’habitue aux configurations graphiques normales qui caractérisent son entreprise. Dès que quelque chose change, il le détectera et pourra investiguer plus avant.”

L’essentiel est de permettre à une entreprise de détecter plus rapidement la survenance d’un problème, d’une cyber-attaque. “Une récente enquête de HP a encore révélé que le délai moyen de détection d’une attaque majeure était de… 200 jours”, relève Elis Barbieri. Cette enquête, menée à l’échelle mondiale, ne concerne que les grandes entreprises mais les sociétés de plus petite taille ne sont certainement pas logées à meilleure enseigne.

Une autre étude, effectuée par le Mandiant, bureau de consultance spécialisé dans la gestion de cyber-incidents, corrobore d’ailleurs ces chiffres. “Les organisations piratées mettent en moyenne 146 jours à détecter une intrusion. Dans plus d’un cas sur deux, le piratage n’est détecté que par une partie tierce, telle que la police ou une agence gouvernementale. Et dans ce cas, le temps moyen de détection est de… 320 jours.” Près d’un an!

D’où l’argument d’Inendi: “une surveillance régulière, avec mise en exergue des événements ou comportements atypiques, peut permettre de gagner un temps précieux.”

Un complément

Inendi ne prétend pas remplacer des solutions de sécurité existantes. “Nous nous intégrons dans les SOC des sociétés, en complément des solutions existantes”, souligne Elis Barbieri.

Mais en quoi Inendi complète-t-elle la multitude de solutions de sécurité anti-cybercriminalité sur le marché?

Exemple de graphes que génère l’Inendi Inspector…

“Inendi Inspector est un outil de recherche et de découverte des menaces inconnues. Elle opère non pas sur base de leur signature mais en mettant graphiquement en évidence les traces de leur activité dans les échanges de données dans les LAN et WAN des entreprises. Ces traces peuvent être multiples et diverses: micro-signaux, ouvertures de brèches, cartographie réseau incomplète qui ouvrent des failles de sécurité, comportements irresponsables ou déloyaux de membres du personnel, etc. C’est cette diversité qui fait que nous préconisons la combinaison de notre outil et d’une expertise humaine pour obtenir les résultats attendus.”

Pour Elis Barbieri, les solutions automatisées sont loin d’être la panacée, invoquant un autre argument: “les rapports automatisés habituels sont trop complexes à mettre en oeuvre. Il est difficile voire impossible de modéliser ce qu’un expert a en tête et de le synthétiser dans un rapport.”

Télé-surveillance

Le logiciel requiert donc qu’un opérateur humain, à un moment donné, reprenne la main. Cela suppose que la solution s’adresse à des sociétés disposant de ce genre de compétences en interne, si elles veulent déployer et gérer elles-mêmes la solution. Pour les autres, elles doivent pouvoir faire appel à un expert intervenant à distance. C’est là l’un des axes du positionnement commercial d’Inendi (ESI Cyber Security).

L’équipe (experts et ingénieurs réseau) et la plate-forme, installés à Lyon, prennent en charge la surveillance à distance. Elle s’adresse aussi bien à une cible de grands comptes qu’à une clientèle de PME, de banques, d’opérateurs télécom, d’industriels, d’acteurs des soins de santé… Sans oublier les installateurs réseau et les ensembliers.

Des réseaux industriels particulièrement vulnérables

L’un des terrains sur lesquels Inendi Inspector se propose d’apporter une solution est celui des réseaux industriels, “caractérisés par d’importances vulnérabilités, des infrastructures et matériels vieillis et des logiciels bien souvent propriétaires.”

C’est là une cible facile pour les cyber-criminels. “Ce qui s’est passé en Iran [Ndlr: l’attaque Stuxnet contre les centrifugeuses d’enrichissement d’uranium] peut très bien se reproduire, par prise de contrôle des équipements au travers des réseaux SCADA” (système de contrôle et d’acquisition de données), prévient Elis Barbieri.

L’Ukraine en a fait les frais en début d’année, avec une attaque visant son réseau électrique. Deux ans plus tôt, une aciérie allemande avait été prise pour cible. Tout comme l’industrie pétrolière norvégienne.

Sécuriser les infrastructures pourrait prendre… plusieurs décennies dans l’industrie lourde.

Lors d’une de ses missions, Logis-Consult a identifié de très importantes vulnérabilités dans l’infrastructure d’un acteur néerlandais de la pétrochimie. “Leurs systèmes industriels sont une véritable passoire. On en prend le contrôle quand on veut et on leur fait faire ce que l’on veut.

Mais si le problème a été identifié, il est loin d’être résolu. Le nombre de systèmes est à la fois énorme et disparate. Idem pour les types de données et de protocoles. Sécuriser impliquerait un investissement colossal.”

Quel conseil, dès lors, donner aux industriels? “Faire en sorte que tous les équipements que l’on remplace répondent à un certain nombre de critères, en termes de système d’exploitation, de protocole, de sécurité. Mais on peut faire une croix sur la solution qui consisterait à rétropédaler et à remplacer en bloc toute la base installée. On peut juste remplacer progressivement et cela pourrait parfois prendre… 25 ans dans l’industrie lourde.”