Qui êtes vous ?
Je suis David Grout, CTO pour Fireeye en Europe, au Moyen-Orient et en Afrique. J’ai effectué un parcours d’ingénieur en cybersécurité en alternance. J’ai intégré McAfee en 2003 en tant que support technique. En 2015, j’ai quitté l’entreprise en étant directeur technique pour l’Europe du Sud et le bassin méditerranéen. J’ai rejoint Fireeye en janvier 2016. J’ai deux fonctions au sein de l’entreprise. Je suis CTO mais également patron technique sur l’Europe du Sud. J’ai par conséquent des équipes dans plusieurs pays. Sous le rôle de patron technique, je fais de la réponse à appel d’offre, déploiement de technologies, support client, accompagnement de projet, en somme, un métier d’avant-vente. En tant que CTO, je représente Fireeye à la presse et au grand public. De plus, je m’occupe des relations avec les Etats, les gouvernements et les institutions (l’ANSSI et ses homologues étrangers par exemple). Enfin, je collecte les prérequis clients et marchés pour comprendre la direction dans laquelle l’entreprise doit aller (R&D et réglementations).
Qu’est-ce que Fireeye ? Quels sont vos activités ?
Fireeye est une boîte américaine de 3200 employés avec un CA de 850 M€ environ et nous comptons 8200 clients à travers le monde. Nous sommes arrivés sur le marché européen en 2013. En six ans, nous sommes passés d’une startup à une entreprise structurée. Nos clients sont principalement des grands comptes et des institutions gouvernementales. Le ratio grands comptes/institutions est plus équilibré qu’avant car les acteurs locaux ont un besoin urgent de sécurité ce qui n’était pas forcément le cas auparavant où ils n’étaient pas encore matures sur ce point. Nous sommes 300-400 personnes en Europe et nous représentons environ 25% du CA.
Nous avons trois grandes activités. La première est purement technologique. Nous vendons des technologies de protection, d’investigation et de forensics. Nous vendons des technologies de sécurisation d’emails, de endpoint, de réseau, de sandbox et visibilité/sécurité dans le cloud.
La deuxième activité se manifeste à travers la marque Mandiant. Nous sommes le leader mondial de la réponse à incident. Dans neuf cas sur dix, un client victime de cyberattaque fait appel à nous. Nous pouvons collaborer avec d’autres entités pour certains incidents mais nous sommes parfaitement autonomes. Nous intervenons uniquement pour des attaques de haut niveau technique de type APT par exemple et très peu sur le commodity malware. Ce qui nous a permis de nous démarquer sur le marché est l’automatisation et l’industrialisation de nos processus de live réponse et investigation.
La troisième activité est basée sur le renseignement. Nous sommes la première puissance non publique dans ce domaine. Cela représente environ 150 analystes répartis dans 30 pays avec 18 langues couvertes en natif. Des états sont parfois amenés à acheter nos services en demandant de l’information. En effet, des états ont souvent une bonne connaissance de leur terrain mais ils ont besoin d’information sur certains groupes étrangers. Nous vendons nos informations à nos clients. L’objectif est de pouvoir partager les informations entre les différentes entités afin de les rendre meilleures.
Nous avons utilisé des données de Fireeye dans un projet pour l’école provenant d’un github public. Mettez-vous encore à jour des IOCs publiques ?
Oui, mais c’est valable pour toutes les données antérieures à 2016/2017. Les données que nous fournissons au grand public sont sur le market fireeye. Nous publions beaucoup de blogs et nous joignons les IOCs qui se rapportent à ce blog à destination de nos clients. Nous faisons partie des blogs les plus techniques avec ceux de Kaspersky, Palo Alto et Talos. La vraie problématique des IOCs est qu’ils sont très volatils. La valeur d’un IOC décroît très rapidement. Dans la pyramide of pain, l’IOC se trouve en bas. Actuellement, nous nous concentrons plutôt sur la détection de méthode d’attaque.
Au vu de la qualité de votre service de renseignement, les entreprises commencent-elles aussi à se doter d’un service de threat intelligence ?
Aujourd’hui, nous avons constaté une évolution de la maturité. Jusqu'en 2016/2017, à part le secteur de la finance et les gouvernements, le niveau de maturité des entreprises au niveau de la cybersécurité était bas. Très peu de clients avaient des SOCs. Le niveau d’investigation était très basique. Ce changement radical est dû à l’arrivée de NotPetya. Le fait que cette attaque ait coûté énormément aux entreprises touchées à créer un besoin de sécurité au sein des entreprises et des budgets ont été alloués pour cet unique objectif. Ainsi, tous les secteurs ont un besoin en termes de cybersécurité.
Dans le cas de la threat intelligence, cela nécessite des équipes d’experts. Cependant, une majeure partie des entreprises ne sont pas encore arrivées à ce niveau de maturité. Par exemple, parmi les entreprises du SBF120, celles capables de faire de la threat intelligence de manière efficace et mature sont environ 35-40, soit environ 33%. Certaines essayent ce service mais ne se rendent pas compte qu’elles ne sont pas prêtes à cela. La structure organisationnelle à mettre en place est également très importante au-delà du service en lui-même. Des clients n’ont aussi pas la nécessité de le faire en externalisant ce métier (les hôtelleries par exemple). Ils préfèrent qu’un éditeur fasse ce travail.
Est-ce que Fireeye a déjà été compromis ? Est-ce que cela a été communiqué ?
Nous n’avons jamais été compromis et si cela aurait été le cas, nous aurions communiqué. Nous avons une obligation légale avec tous nos clients que si en cas de compromission, nous devrions communiquer avec eux et leur donner l’impact du périmètre de compromission. Nous avons eu un cas de doute qui a été rapporté dans la presse datant d’août 2017. Les investigations ont montré qu’il n’y a eu aucun accès au réseau de l’entreprise et en collaboration avec le FBI, nous avons pu remonter à la source et procéder à des interpellations envers les auteurs. Cet événement a déclenché une tôlée dans les médias et l’image de l’entreprise a pris un coup bien que nous ayons prouvé et documenté qu’il n’y avait rien de compromettant. Par exemple, notre indice boursier a descendu rapidement et comme tout indice boursier, c’est très long de temps de remonter la pente.
De par notre activité, nous sommes dans l’obligation de mener ce genre d’affaires proprement et avec la plus grande transparence sinon l’entreprise s’effondre. Le doute et l’incertitude n’ont pas lieu d’être.
Quels sont les challenges auxquels Fireye fait face aujourd’hui ?
Les grands challenges d’aujourd’hui sont les nouveaux supports (cloud et conteneur). Comment assurer la sécurité ou de l’investigation dans un environnement conteneurisé ? Comment appliquer nos méthodes et notre technologie sur ces nouveaux environnements ? Ce sont des questions auxquelles Fireeye et le marché portent attention aujourd’hui. De plus, il y a aussi un problème de visibilité dans le cloud, notamment pour les logs. C’est un défi majeur également pour les mois et années à venir.
Lorsque vous offrez vos services à l’un de vos clients, avez-vous accès aux données de l’entreprise ?
Nous ne pouvons pas travailler sans interagir avec les données métier d’un client. Nous avons deux modèles. Le premier, nous investissons dans les locaux du client et rien ne sort à l'extérieur. Cela rassure un client mais cela peut nous poser des problèmes sur nos investigations. Une investigation en remote est pour nous plus intéressante car nous pouvons mobiliser toutes les ressources nécessaires que ce soit humainement ou techniquement. Une investigation en remote est en général plus rapide qu’une investigation sur place.
Quels sont les plus grandes menaces cyber aujourd’hui ? Pour les entreprises et pour vous ?
Ce qui fait le plus peur aux entreprises c’est de perdre du business. C’est tout ce qui importe pour les entreprises. Les points d’entrées les plus courants sont le phishing, la fraude au président et le webshell. Ce dont on parle moins souvent sont les insiders (personnes licenciées, personnes mécontentes, espionnage…) et ce sont des choses quotidiennes.
Pour moi, les menaces les plus grandes sont les impacts géopolitiques et géostratégiques au niveau cyber. Par exemple, la Chine a lancé un plan nommé Made In China 2025 qui consiste à pouvoir dans dix domaines d’activités (aérospatiale, automobile, pharmaceutique) de produire 80% des ressources mondiales d’ici 2025. Les piliers de croissances sont les suivants : augmentation du niveau intellectuel des étudiants pour qu’ils puissent aider le pays dans tous les domaines. Ensuite, ils font du transfert de compétences. Si on veut travailler avec la Chine, il faut leur céder un peu de leur savoir-faire. Enfin, ils font du cyber-espionnage. Il existe énormément de groupes étatiques chinois connus sous le nom d’APT (APT17, APT41…). APT41 est spécialisé dans le pillage de R&D et de brevet. L’objectif final est de copier et reproduire les mêmes technologies pour un coût moindre et les vendre moins cher et ainsi conquérir le marché. C’est pour la plus grande menace aujourd’hui. Surtout, cela montre comment la Chine a gagné en influence à travers le monde en utilisant le cyber sur le long terme. L’impact moyen terme du vol de propriété intellectuelle et de l’espionnage industriel est critique.
C’est Fireye qui a créé le terme APT?
Le terme APT est attribué à Fireeye. On ne sait pas qui a créé le terme. L'appellation APT1 qui a été le premier rapport de Mandiant a ouvert cette notion aux attaques avancées étatiques. Quand quelqu’un utilise APT avec un numéro derrière, cela signifie que l’information de base a été découverte par FireEye. Le groupe a été vu en premier par FireEye.
