Ismet Géri, Directeur France et Europe du Sud chez Proofpoint, société connue pour ses solutions de sécurisation de messageries, explique le rachat, à la fin mai, de la firme NetCitadel pour contrecarrer les attaques ciblées et identifier plus rapidement les attaques inhabituelles: « Les pirates informatiques achètent sur le net des milliers d’adresses piratées et peuvent s’en servir pour cibler des personnes particulières en leur envoyant des courriers électroniques à priori sans risques. Ainsi face à un courrier électronique qui provient d’une personne se faisant passer, par exemple, pour un collaborateur de l’entreprise, on ne se méfie pas. Le fichier passe sans encombre les antivirus car il ne contient rien de dangereux mais le lien envoyé incite à jeter un œil sur un site d’actualités, dont une page Web a été infectée par un programme malveillant. Ces messages de phishing ciblés, assez sophistiqués, sont généralement imparables car c’est la victime elle-même qui va chercher le malware. Plus récemment, on a vu des serveurs de machines indépendantes, l’internet des objets n’y échappe pas, servir de relais et souvent l’on pousse la victime à se rendre sur un site infesté où elle va se contaminer. Il faut utiliser des outils qui créent une hiérarchie des risques et établissent des listes de réputation qui permettent de cerner toute requête inhabituelle.»
La solution ThreatOptics de NetCitadel qui permet d’identifier ces attaques ciblées est actuellement recommercialisée en tant que produit autonome sous le nom Proofpoint Threat Response, et est intégrée à la solution Targeted Attack Protection de Proofpoint. Selon la firme, les fonctions de vérification et de confinement des risques, à l’aide d’une plate-forme ouverte assurent la complémentarité des produits Proofpoint et ceux d’autres fournisseurs. L’homogénéisation des données d’analyse des menaces disparates, associée à une réponse automatisée aux incidents, permet de réagir aux menaces de façon plus rapide.
Big Data et Cloud pour identifier les attaques ciblées
L’étude de ces attaques particulières montre en effet que ces hackers ciblent principalement les VIP des entreprises et exploitent certains grands événements médiatiques pour masquer leurs interventions. Pour mieux centraliser les événements inhabituels, la firme propose la plupart de ses programmes en mode locatif ( SAAS) comme un service. En utilisant des techniques d’analyse de données (Big Data) et donc une architecture Cloud pour identifier les e-mails suspects contenant des URL malveillantes ou des pièces jointes malveillantes, le filtrage prend une nouvelle dimension. Cela permet aux entreprises d’ajouter des filtres supplémentaires de contrôle de sécurité, supérieurs aux solutions de sécurité traditionnelles et aux passerelles » classiques ».
Selon la firme, la protection contre les attaques ciblées proposée avec la suite Targeted Attack Protection représente la première solution d’analyse complète de courrier électronique de l’industrie.
Objectif : isoler les messages inhabituels. Pour lutter contre les menaces ciblées, elle utilise une approche complète du cycle de vie des mails, le suivi des messages suspects et les pièces jointes selon leurs provenance, et en observant les clics des utilisateurs qui tentent d’atteindre des sites inhabituels, elle les met immédiatement en garde face à des risques potentiels. Interrogé sur l’évolution permanente des réseaux et leur virtualisation, Ismet Géri précisait: » On travaille en partenariat avec Vmware depuis plusieurs années et cela fait déjà un certain temps que nous proposons nos programmes de sécurité sous forme de taches virtualisées. Au-delà des solutions de protection la firme dispose d’une collection étendue de programmes ». ( image ci dessous)
Qui est proofpoint?
La firme californienne qui est cotée en bourse depuis 2012 emploie 800 personnes à Sunnyvale et est la référence mondiale en terme d’outils de filtrage de mails. Elle a progressé depuis les deux dernières années par acquisitions et l’intégration de la firme Netcitadell s’est déroulée rapidement.
En France, la firme qui emploie 8 personnes en recrute 4 autres pour mieux suivre la demande. Elle a récemment confié la distribution de ses produits à Exclusive Networks et les vend désormais en mode indirect.
Jusque-là, la firme effectuait un grand nombre de ses ventes en direct et elle est devenue par exemple l’un des fournisseurs de l’Ugap, l’acheteur des grandes administrations. Elle est de ce fait connue dans ce secteur et est ainsi référencée dans plus de 40 hôpitaux de l’assistance Publique.
La firme est en concurrence avec un grand nombre de fournisseurs de système de sécurité avancés comme FirEye et Ironport, désormais revendu par Cisco.