Lors des Assises de la Cybersécurité, qui se sont déroulées du 12 au 14 Octobre 2022 à Monaco, j’ai eu l’occasion de rencontrer Yann Le Borgne, VP Threat Intelligence International at ThreatQuotient, et Ivan Fontarensky, Directeur Technique Lutte Informatique Défensive chez Thales, qui m’ont parlé de leur partenariat en matière de « Threat Intelligence » né en 2017.

Voici l’essentiel de notre entretien… Alain Establier

SDBR News : Pourquoi chez Thales utilise-t-on la solution ThreatQuotient (ThreatQ)?

Yann Le Borgne : Thales est un partenaire de ThreatQuotient depuis 2017. En 2016, lorsqu’avec Cyrille Badeau nous avons démarré l’activité de ThreatQuotient en France, nous avons été voir Ivan Fontarensky en charge de l’activité de Threat Intelligence chez Thales, et nous avons pensé que nous pourrions faire quelque chose ensemble : Thales avec ses cerveaux et ThreatQuotient avec son outil. Nous sommes arrivés à l’idée de monter un partenariat ensemble : Thales cherchant à organiser les informations que pouvaient récupérer ses chercheurs et ses analystes, et ThreatQuotient apportant son outil permettant d’organiser la Threat Intelligence de Thales. Nous avons donc monté ce partenariat pour permettre d’utiliser une partie des informations en interne à Thales et une partie pour la revente de ces informations à ses propres clients. L’idée était bien sûr de travailler ensemble pour aller sur le marché de la Threat Intelligence, avec un outil et du contenu.

SDBR News : Ivan Fontarensky, pourquoi étiez-vous en charge de monter une activité Threat Intelligence chez Thales en 2016 ?

Ivan Fontarensky : A l’époque nous avions identifié chez nos clients un besoin croissant en Threat Intelligence et nous avons cherché à structurer un département au sein de notre organisation. La Threat Intelligence est en fait une activité de Renseignement sur la Menace. Or nous ne pouvions imaginer nous défendre et combattre contre des attaquants si nous n’avions pas une équipe de renseignement. Cela parait logique du point de vue militaire mais il est utile de le rappeler en matière de cyber. C’est un des éléments qui nous a incité à l’époque à construire quelque chose. Pour monter rapidement en puissance, il nous paraissait logique de nous appuyer sur un partenaire disposant déjà d’un produit et d’y ajouter notre expertise en complément pour en faire un partenariat gagnant-gagnant. Le produit ThreatQuotient étant celui qui nous paraissait à l’époque le plus pertinent, nous avons signé un partenariat pour l’implanter dans nos SOCs et pour avoir de la Threat Intelligence dans nos produits. Nous avions développé des produits cyber et y ajouter une dimension Threat Intelligence était un plus bien évidemment.

SDBR News : Alors concrètement, est-ce qu’un matin ils sont arrivés avec une boite ThreatQ, ils l’ont pluggé et c’était parti ?

Yann Le Borgne : En 2017, la plateforme ThreatQ était déjà ouverte et adaptable à l’ensemble des environnements. Est-ce qu’elle a été modifiée pour pouvoir travailler avec les équipes Thales ? Non, mais elle a été configurée pour pouvoir travailler au sein des équipes Thales. Nous faisons un produit commercial mais nous voulons qu’il soit adaptable dans l’ensemble des environnements. On peut faire de la Threat Intelligence d’une manière générale, avec un modèle orienté STIX pour le « client lambda » ; mais on peut aussi adapter la plateforme pour suivre la fraude, pour surveiller le secteur de l’OT et pour de nombreuses applications. Donc je ne suis pas arrivé un matin avec la plateforme dans ma valise… En fait, Thales voulait implémenter un modèle de données particulier et l’intérêt de la plateforme ThreatQ est non seulement sa dimension commerciale, sa fonction support, sa robustesse, mais aussi son adaptabilité aux différents environnements : elle reste ouverte pour cela. Pour adapter ce modèle de données aux besoins tels que ceux de Thales, la plateforme le supporte et reste toujours accessible via des APIs et l’ensemble des fonctionnalités de base reste d’actualité.

SDBR News : Vos clients concernés sont-ils exclusivement régaliens ?

Ivan Fontarensky : Pas uniquement. Nous servons bien sûr nos clients régaliens et des OIVs, mais nous protégeons aussi beaucoup de clients civils qui ne sont pas des OIVs. Au début, nous avons commencé avec une solution que nous avons progressivement adaptées et, pour chaque client, nous avons pu ajouter des éléments pertinents pour eux : par exemple, dans le secteur Finance nous avons adapté nos données aux secteurs Financier. Nous avons relié la sécurité avec la sûreté et la sécurité avec la fraude. L’avantage d’une plateforme ouverte c’est de relier des mondes différents, ce que nous n’aurions pas pu faire dans un système trop fermé.

SDBR News : La plateforme ThreatQ est-elle intégrée dans un produit Thales ou bien dans des solutions Thales ?

Ivan Fontarensky : Nous proposons une offre de services SaaS qui s’appuie sur la plateforme ThreatQ. Nous pouvons aussi revendre la plateforme à nos clients « as a service » ou « on premise » en les accompagnant sur l’intégration et la définition des données à intégrer

Yann Le Borgne : Il n’y a pas de notion de multi-utilisateurs dans la solution ThreatQ : une plateforme – un environnement par client. Le renseignement qui est dedans, fourni par Thales, n’est pas le même selon ses clients : par exemple, les adversaires d’une banque ne sont pas forcément tous les mêmes que ceux d’un ministère régalien. D’une part, l’information stockée dans notre plateforme est spécifique lorsqu’elle vient de l’extérieur et, d’autre part, un service de renseignement est l’endroit où est stockée sa propre information, comme l’historique de ses incidents, etc. C’est différent d’un SOC managé où tout le monde bénéficie d’un même niveau de protection ; si un client veut sa propre Threat Intelligence, il aura sa plateforme dédiée dans laquelle il recevra des flux spécifiques, venant de l’équipe Thales, qui s’agrégeront à ce que lui-même fabrique de Threat Intelligence.  

SDBR News : Ce partenariat a-t-il eu un impact sur l’activité Lutte Informatique Défensive de Thales ?

Ivan Fontarensky : Très clairement, ce partenariat nous a permis de monter en puissance fortement auprès de nos clients et surtout, par voie de conséquence, tous nos produits et services en ont acquis une plus grande crédibilité. Cela a justifié chacun de nos investissements dans la cybersécurité.

SDBR News : Et coté Threat Quotient ?

Yann Le Borgne : Outre le fait d’avoir avec Thales une belle référence commerciale, nous recevons beaucoup techniquement de la part des équipes Thales, qui nous font remonter des éléments qui nous permettent de faire progresser nos solutions. La Threat Intelligence se gère sur le temps long.

SDBR News : Quel est l’avenir du partenariat Thales – Threat Quotient ?

Ivan Fontarensky : Depuis deux ans, nous rencontrons des clients souhaitant travailler sur des programmes de Threat Intelligence de 10 ans ou 20 ans, ce qui soulève de nouvelles complexités : imaginer ce que l’opérationnalisation de la  Threat Intelligence sera dans 10 ans ou 20 ans est un réel défi. Nous réfléchissons avec ThreatQ pour relever ce challenge des programmes de long terme. Regardez en arrière de 10 ans et vous comprendrez que l’évolution de la menace cyber aujourd’hui n’était pas facile à prévoir en 2012. Nous avons la même obligation d’imagination de la menace pour 2030 et 2040… Dans un milieu où le turn-over des collaborateurs est très fort, il est important d’avoir un endroit cohérent et une bibliothèque bien rangée avec l’historique des événements passés. Il est important aussi de pouvoir y retrouver les métriques des incidents. La plateforme ThreatQ nous met à disposition ces indicateurs pour pouvoir prendre des actions correctives. La Threat Intelligence est d’abord une question de maturité.

https://www.threatq.com

https://cyberthreat.thalesgroup.com

Crédits photos: ThreatQ