Thales et son rival Gatewatcher décrochent enfin la qualification ANSSI de leurs sondes « souveraines ». Celles-ci se destinent en priorité aux OIV et aux OSE mais aussi auprès des entreprises soucieuses d’améliorer leurs capacités de détection d’attaques avec une solution “Made in France”.
C’était un peu le serpent de mer qui agitait le petit microcosme français de la cybersécurité depuis plusieurs mois : les sondes de sécurité Cybels Sensor de Thales et sa concurrente Gatewatcher, Trackwatch Full Edition, ont enfin décroché leur certification ANSSI. Guillaume Poupard, directeur de l’ANSSI avait annoncé cette certification comme imminente lors du FIC, en janvier dernier, mais il aura finalement fallu attendre le 4 avril pour que celle-ci soit effective. « La LPM (Loi de Programmation Militaire) impose aux OIV d’utiliser des produits qualifiés par l’ANSSI afin de sécuriser leurs ressources, c’est désormais possible avec notre sonde Cybels Sensor » a ainsi expliqué Pierre Jeanne, directeur technique du projet Cybels Sensor chez Thales lors de l’annonce officielle.
Un processus de certification particulièrement long et exigeant pour les 2 éditeurs
On se souvient que Thales avait entrepris le développement de sa sonde il y a plusieurs années, l’annonce du projet étant rendue publique en 2016. Le projet Cybels Sensor franchit donc aujourd’hui une étape clé en bénéficiant du visa de l’ANSSI. Une annonce de l’ANSSI conjointe avec celle de l’autre sonde « souveraine » développée par son rival Gatewatcher. « Cette qualification signifie que notre sonde est conforme aux exigences techniques, réglementaires et de sécurité de l’ANSSI. C’est aussi une garantie de robustesse » a expliqué Pierre Jeanne. « Notre sonde a démontré son efficacité en détection, mais offre aussi une garantie quant à son propre durcissement. Nous l’avons protégée des attaques qui viseraient à découvrir ce que la sonde cherche à détecter. Ce durcissement nous permet d’assurer une totale confidentialité des stratégies de détection et ainsi pouvoir être alimenté des signatures souveraines élaborées par l’ANSSI. » Une capacité qui est aussi revendiquée par Gatewatcher comme l’assurait au même moment Philippe Gillet, le CTO de Gatewatcher.
Thales, qui dispose depuis peu de temps de sa propre cellule de Threat Intelligence, estime que la base de signatures d’attaques de Cybels Sensor devrait être alimentée de 100 à 500 nouvelles règles de détection par jour. La sonde Thales pourra en outre bénéficier d’algorithmes d’IA afin de détecter les comportements suspicieux et peut être complétée de Cybels Decision, outil d’aide à la décision qui réconcilie données techniques et métiers. D’autre part, Pierre Jeanne a souligné les capacités de génération automatique de métadonnées sur le trafic de la solution, des informations particulièrement utiles dans les tâches de forensic, d’analyse des scénarios d’attaque.
Les OVI sont la première cible, mais pas la seule
Les 250 entreprises OIV (Opérateur d’importance Vitale) et OSE (Opérateurs de Services Essentiels) sont, de facto, le premier marché de ces sondes souveraines, mais les éditeurs cherchent à élargir ce marché aux autres entreprises françaises ainsi qu’à l’international puisque ces sondes “Made in France” ne sont pas frappées d’interdiction à l’export. Thales a annoncé que le groupe La Poste teste sa solution depuis quelque temps déjà et que plusieurs dizaines d’exemplaires de Cybels Sensor ont été déployés afin de sécuriser Galileo, le système GPS européen.
Pour sa part, Gatewatcher revendique la vente de près de 200 sondes avant la certification, sans toutefois préciser de références clients.
Notez que l’ANSSI vient de publier la liste des systèmes de détection et prestataires de détection, une publication qui déclenche l’obligation pour les opérateurs d’importance vitale (OIV) de mettre en œuvre des systèmes de détection qualifiés exploités sur le territoire national par des PDIS (prestataires de détection d’incidents de sécurité, dont trois ont été qualifiés par l’ANSSI en février 2019).
Auteur : Alain Clapaud