C'est bien connu, en matière de sécurité les risques ne proviennent pas seulement de l'extérieur du périmètre de l'entreprise mais bien de l'intérieur. Téléchargement de fichiers non autorisés, vol de données confidentielles ou encore accès à des informations par un collaborateur ayant quitté depuis des mois l'entreprise sont, malheureusement, une réalité qui dépasse - parfois - de loin la fiction. Et bien souvent, à la base de cette problématique, on trouve une gestion et/ou une politique de gestion des droits d'accès défaillante ou en tout cas plus en mesure de répondre à une évolution malsaine des comportements.
« Le constat que l'on fait aujourd'hui est que d'une façon générale la sécurité des accès et la configuration des droits d'accès pour accéder à des applications ou données sont souvent les parents pauvres de la sécurité informatique », explique Sébastien Faivre, co-fondateur de Brainwave. « En général, le département informatique et les métiers se renvoient la balle en termes de responsabilités dans les cas où on se rend compte que des personnes qui ont quitté l'entreprise ou changé de département ont toujours accès à des informations sensibles ou que d'autres encore ont des droits d'accès excessifs à des données critiques ».
Des jeux d'API couplés à des algorithmes d'analyse
Pour faire face à ce type de menace, le jeune éditeur francilien Brainwave (créé en 2010) a développé IdentityGRC qui permet de récupérer toutes les informations de configurations de l'ensemble des systèmes de l'entreprise afin de proposer une cartographie de l'ensemble des droits d'accès aux applications. Et ce, des systèmes CRM, ERP, gestion financière (SAP, Salesforce.com, Microsoft Dynamics CRM...) que des solutions cloud de sauvegarde et de partages documentaires (Google Drive, Dropbox...) ou encore des grands systèmes (AS400, RACF, CA Top Secret...). Pour y parvenir, plusieurs jeux d'API ont été développés, couplés à des algorithmes d'analyse, brevetés depuis fin 2010, afin de pouvoir poser des questions en langage naturel de type « Quelles sont les personnes ne faisant pas partie des resssources humaines qui ont accès aux fiches de paye des salariés ? ».
Aujourd'hui, Brainwave va plus loin en matière de détection mais surtout de prévention de la fraude et de fuite des données. « La version 2015 d'IdentityGRC propose de l'analyse comportementale permettant de mettre sous surveillance des comportements anormaux comme par exemple identifier une personne qui récupère bien plus de fichiers que ses collègues, mais également d'automatiser le diagnostic et la résolution des comportements suspects », fait savoir Sébastien Faivre. Une approce différente selon Brainwave des traditionnelles offres de sécurité centrées davantage sur les flux de comportements au niveau des postes de travail que sur le comportement du point de vue des applications, indépendamment du reste de tout terminal.
A partir de 75 000 euros la licence perpétuelle
Distingué par le Gartner dans la catégorie des « cool vendors » dans son rapport Magic Quadrant 2013 en Identity Analytics and Intelligence, Brainwave n'a pas attendu pareille reconnaissance pour se tailler une place dans les entreprises. Surtout les grandes, avec des clients comme PSA Peugeot-Citroën, Natixis, Crédit Agricole, BNP Paribas, ou encore Aéroports de Paris et Eutelsat qui utilisent ses solutions. En tout, l'éditeur revendique une cinquantaine de références en France mais également au Bénélux, en Suisse, au Royaume-Uni, au Magrehb ou encore au Canada où il a ouvert récemment un bureau commercial. Autofinancée jusqu'en 2014, la société a levé 2,5 millions d'euros fin 2014 afin de donner un nouvel élan à sa croissance internationale mais également renforcer ses équipes R&D (une dizaine de personnes sur 30 collaborateurs au total). Brainwave a réalisé l'année dernière un chiffre d'affaires de 2 millions d'euros et indique être rentable.
IdentityGRC 2015 est proposée à partir de 75 000 euros en licence perpétuelle, auquel vient s'ajouter près de 20 000 de maintenance annuelle. Deux modes de tarification sont proposées : nombre de personnes sur lequel un audit sécurité est réalisé ou bien en fonction du nombre d'applications. Quant à la disponibilité de l'offre, elle est pour le moment uniquement en on-premise. « Nous ne proposons pas d'offre en mode cloud public. Nos clients considèrent que ce type de données est sensible et préfèrent donc un déploiement sur site. Cependant, certains clients ont choisi un déploiement dans un cloud privé chez un infogéreur », explique Sébastien Faivre.