La visibilité sur le réseau est devenue une vraie problématique alors que les systèmes d’information sont devenus hybrides. Si, avec les approches EDR/XDR, la protection des endpoint progresse, une solide surveillance du trafic réseau s’impose avec des solutions NDR (Network Detection and Response).
Alors que les systèmes d’information sont de plus en plus hétérogènes, avec des ressources on-premise, Edge ou dans le Cloud, un firewall ne suffit plus à contrôler l’ensemble des échanges de données entre l’entreprise et son écosystème. Les DSI doivent instrumenter leurs réseaux afin d’alimenter leurs outils de détection et leurs SIEM avec des trafics qui sont désormais hors de portée de leurs firewalls.
IT on-premise, Cloud et OT se rejoignent
Les spécialistes de la visibilité réseau ont adapté leurs offres à cette nouvelle diversité. Ainsi, Paessler propose désormais sa solution de supervision historique PRTG dans le Cloud sous le nom de PRTG Hosted Monitor. Une autre évolution de ce logiciel est de superviser non plus seulement les infrastructures IT, mais aussi l’informatique industrielle OT : « Un tableau de bord unique permet de piloter l’ensemble des installations avec le même personnel » explique Fabien Pereira Vaz, ingénieur avant-vente chez Paessler. Il ajoute : « Nous constatons que les industriels ont des besoins de supervision qui sont finalement très similaires à ceux de l’IT : leurs équipements sont de plus en plus connectés et exposés au risque. L’accroissement de la visibilité doit venir pallier les risques liés à cette ouverture sur Internet. » La solution peut s’assurer que les logiciels antivirus sont à jour, que les firewalls sont correctement configurés, mais aussi avoir un retour sur la bonne fermeture des locaux et vérifier les données environnementales pour éventuellement détecter un début d’incendie. « La notion de risque est intégrée au logiciel et vient en complément des outils de cybersécurité » explique l’ingénieur. « Le SIEM travaille sur les logs et nous venons nous placer en complément avec des informations qui sont récupérées auprès des équipements via des requêtes et de multiples protocoles, le but étant d’avoir une solution dont la couverture est la plus large possible avec les applicatifs, l’infrastructure et les objets connectés. »
Un expert de la métrologie, Keysight, s’intéresse lui aussi au marché Cyber. Cet acteur américain est issu d’HP / Agilent, aujourd’hui scindée en 2 entités. Keysight est présent sur l’activité électronique et a réalisé l’acquisition de l’entité Ixia qui lui a apporté des technologies de métrologie réseau des couches 2 à 7. « Nous faisons du test en pré-déploiement mais aussi, après une série d’acquisitions, de la visibilité sur les réseaux de production sur un socle commun de sécurité » résume Vincent Rouault, Senior-Regional Sales Manager chez Ixia. « Nous sommes capables de délivrer une analyse au niveau des paquets réseau. C’est important, car lorsque survient une attaque, il faut avoir une visibilité de tout l’enchainement pour pouvoir réaliser les corrélations nécessaires à sa détection. »
Outre ces solutions qui accroissent la visibilité réseau, le marché des solutions NDR (Network Detection and Response) monte. Avec des fonctionnalités d’analyse du trafic réseau en temps réel, les NDR cherchent à identifier les signaux d’attaque qui auraient pu passer outre la détection des firewalls.
L’essor rapide des NDR dans le portefeuille défensif
Ce type de solutions représentait un marché de 2,24 milliards de dollars en 2021 et, selon Research & Markets fera plus que doubler d’ici 2026.
Outre des géants de la Cyber comme Cisco, VMware ou Darktrace, une offre souveraine a émergé en France, avec une qualification par l’ANSSI qui leur a ouvert le marché des sites les plus sensibles. Avec Thales, Gatewatcher fut l’un des premiers à bénéficier du précieux sésame pour son offre TrackWatch. Depuis, l’éditeur propose la solution AIonIQ, une plateforme NDR qui peut être déployée soit dans le Cloud et le on-premise, avec un même niveau fonctionnel. « Quel que soit son mode de déploiement, AIonIQ offre un même niveau de détection avec de la détection statique et dynamique, des modèles de Machine Learning » argumente Jacques de La Rivière, CEO de Gatewatcher. « Une des particularités de notre offre est que l’ensemble des données sont gérées par le client ou son prestataire. En tant qu’éditeur, nous n’avons absolument pas accès aux données, ce qui est une garantie très forte donnée à nos clients, une garantie que tous les éditeurs ne peuvent apporter. » Outre AionIQ, l’éditeur français a commercialisé AIonBytes, une appliance complémentaire à AIonIQ qui est dédiée à l’analyse des éléments malveillants.
Si l’ouverture des systèmes d’information a rebattu les cartes de la cybersécurité et redéfini le rôle des firewalls, jamais il n’a été aussi nécessaire de garder un contrôle étroit de l’activité réseau.
