SDBR News: Mandiant a présenté des annonces sur le FIC 2022 qui s’est tenu en juin. Pouvez-vous nous les rappeler ?

David Grout : Mandiant publie régulièrement des annonces et cette année, du fait du salon RSA qui se tenait à San Francisco en même temps que le FIC à Lille, nous nous sommes partagés les annonces avec nos collègues américains. En Europe nous avons continué à faire des annonces sur le coté agnostique et sur l’extension de nos capacités à travers les outils tierces : notamment les nouveaux partenariats signés avec Sentinel One et avec CrowdStrike Falcon (qui fait de la protection endpoint). Depuis que FireEye est devenu Mandiant, nous avons comme objectif global d’être capable de délivrer de la sécurité à tous types de clients, quelles que soient les technologies qu’ils utilisent, et de l’axer sur l’expertise et le renseignement. Comment délivrer à un client, disposant d’une technologie X ou Y, la bonne expertise et le bon renseignement, soit pour le rendre meilleur soit pour lui permettre de s’auto évaluer et de mesurer son efficacité de sécurité ?

SDBR News : Pouvez-vous nous donner un exemple concret ?

David Grout : Lors de nos ateliers au FIC 2022, nous avons pu montrer « en live » comment utiliser la threat intelligence pour récupérer les scénarios d’attaques utilisés par les groupes d’attaquants (ex. APT28 du GRU russe ou Conti…) et l’ensemble des actions jouées. Nous allons ensuite jouer ces actions sur le réseau d’un client final et nous allons observer en temps réel comment chaque outil de sécurité réagit : est-ce que l’outil bloque ? Est-ce qu’il ne voit rien ? Est-ce qu’il génère une protection ? Etc. Nous allons ramener ces informations sur un visuel permettant à nos clients d’avoir une gouvernance de leurs forces et de leurs failles de cybersécurité sur tout leur réseau. L’idée est d’être capable d’évaluer sa posture de sécurité face à une menace particulière ou face aux menaces d’actualité. En faisant rejouer ces scénarios aux différents moments de propagation d’une attaque, le client peut observer les comportements de son système de sécurité à différents moments de l’attaque et évaluer ses possibilités de remédiation. Certains clients nous ont dit aussi avoir pu constater la rationalisation possible de leurs outils de cybersécurité, en fonction de leurs comportements face aux scenarios d’attaques réelles : pourquoi avoir plusieurs firewall ou agents qui finalement fonctionnent de la même façon sans apporter plus de sécurité ou de résilience ? Il y a des choix de rationalisation et de rentabilité à la clé.

SDBR News : Est-ce que vos scenarios sont actifs ou désactivés ?

David Grout : Nous jouons avec les deux options. Nous jouons avec de « l’inoculé » dont on a enlevé la charge virale, donc les actions ne peuvent pas avoir d’impact de production. Nous jouons aussi avec du « théâtre protégé » d’opération, ce qui est une sorte de bac à sable (machine virtuelle blindée sur laquelle on peut jouer jusqu’à la destruction). Exemple : nous récupérons de l’information sur le terrain du conflit ukrainien, tels des malwares destructeurs de l’environnement industriel, et nous les mettons à disposition de nos clients pour s’évaluer, soit sur l’ensemble de la chaine d’attaque mais sans détruire, soit sur un théâtre protégé et aller jusqu’à la destruction pour voir l’impact qu’ils pourraient subir en cas d’attaque. Notre double valeur ajoutée est :

• d’être sur le terrain : 1200 réponses à incident par an, 400 opérations de « red teaming » volontaires, dont 20% en environnement industriel, ce qui fait de nous le leader mondial de récupération d’information victimologique.

• Ces informations sont anonymisées et récupérées pour être mises à disposition de nos clients pour qu’ils s’évaluent. La plateforme Mandiant Advantage** permet d’insérer des informations propres du client ou du secteur pour initier d’autres scenarios. Le client peut décider de placer une plateforme ou plusieurs plateformes selon la taille et l’implantation géographique de son groupe.

SDBR News : Que se passe-t-il face à une attaque « Zero Day » ?

David Grout : Une fois découvert, nous devons découvrir au plus vite la preuve de concept d’exploitation du « zero day » (PoC - Proof of Concept)  et dès que nous l’avons, la réinjecter dans la plateforme ou de la documenter en threat intelligence sur son exploitation et son exploitabilité. Nous faisons toujours de la veille active, avec 350 chercheurs dédiés à la threat intelligence et au renseignement dont la mission est de traquer les « zero day » et leur exploitation. Les vraies questions pour nous sont : est-ce que la faille dont vous me parlez est exploitable ? Est-elle exploitée ? Nous apportons une vision de la réalité du terrain : rien ne sert de classer des failles comme extrêmement dangereuses (10 sur une échelle de 1 à 10) si elles ne sont pas exploitables. Avons-nous déjà vue telle vulnérabilité exploitée par un tiers ? Si la réponse est non, nous lui mettrons un 7 et non un 10 sur l’échelle de dangerosité. Au contraire, une vulnérabilité classée faiblement dans sa notation mais qui est exploitée tout autour de la planète sera classée par Mandiant à 10, car exploitée + exploitable: nous travaillons comme un CERT sur les vulnérabilités.

SDBR News : Quelle est la taille de Mandiant aujourd’hui ?

David Grout : Le groupe compte environ 2000 personnes pour environ 500 millions de dollars de chiffre d’affaires. Google a annoncé en mars 2022 le rachat de Mandiant et nous sommes actuellement dans la période de « due diligence ».   

* https://www.mandiant.fr

** https://www.mandiant.fr/advantage