S'il est un domaine sur lequel les éditeurs de sécurité s'attèlent depuis de nombreux mois, c'est bien celui de la détection comportementale des cybermances via des algorithmes de machine learning. Depuis le forum international de la cybercriminalité 2017, qui avait été l'occasion pour la rédaction de prendre la température de ce type de projets parmi les éditeurs, les annonces se sont multipliées aussi bien chez Balabit, ForcePoint, AVG et dernièrement Dynatrace. C'est également le cas chez Palo Alto Networks, spécialiste de la sécurité qui ne publie pas ces résultats financiers, ce qui ne l'empêche pas de connaitre une belle croissance de son activité.
Au cours de son dernier exercice, la firme a ainsi enregistré des revenus en hausse de 28%, alors que la croissance du marché se situe aux alentours de 7-8% par an. Cela se traduit par une forte hausse du nombre de ses clients qu croit tous les mois de plus de 3 000 entreprises pour avoisiner aujourd'hui 45 000. « On a commencé il y a 10 ans sur le firewall sans nous contenter de rester au niveau 4 [du modèle OSI, NDLR] pour ouvrir ou fermer des ports, mais d'aller jusqu'au niveau 7, applicatif, pour comprendre ce qui se passe au niveau des ports et des protocoles réseau », nous a expliqué à l'occasion de son passage à Paris la semaine dernière Greg Day, directeur de la sécurité (CSO) pour la région Europe Moyen-Orient et Afrique de Palo Alto Networks.
Des profils utilisateurs sur-mesure pour détecter les comportements anormaux
La firme américaine a pris pied sur le marché en choisissant une plateforme permettant de consolider un ensemble de briques sécurité : « L'objectif est d'arrêter des attaques, malwares, proposer du filtrage web, et la détection des vulnérabilités 0day aussi bien sur des plateformes matérielles que sur des machines virtuelles », poursuit Greg Day. Après ses appliances Wildfire, Palo Alto Networks s'est distingué avec Traps, une solution permettant de bloquer les attaques sur la base des comportements des utilisateurs plutôt qu'au travers d'une base de signatures. « Nous avons remporté un appel d'offres en France pour une banque. Le jour où la vulnérabilité Petya est arrivée, elle a pu être arrêté », nous a glissé Raphaël Bousquet, vice-président EMEA Sud de Palo Alto Networks.
Surfant sur la tendance - loin d'être un écran de fumée - de la détection et l'analytique comportemental des menaces (UBA), la société californienne annonce son offre cloud Magnifier, conçue en partie sur le rachat en mars 2017 de LightCyber. Permettant de construire un profil utilisateur sur la base de plusieurs caractéristiques (adresse IP, origine de la connexion, type de contenus consultés...), la solution détermine à l'aide de technologies d'apprentissage machine et d'algorithmes maison différents comportements utilisateurs et classe ces personnes dans différents groupes pour détecter ceux qui sont anormaux. « Dans nombre de cas, les infections apparaissent 1 an avant et la détection des comportements permet de prévenir les risques. Alors que les solutions concurrentes nécessitent le déploiement de capteurs, avec Palo Alto ce sont les firewalls qui agissent comme des capteurs », explique Raphaël Bousquet. Avec à la clé des gains de temps et des économies de déploiement. A noter qu'aucune donnée n'est hébergée dans les infrastructures cloud de la société californienne, qui dispose d'un datacenter en Europe à Amsterdam (GDPR oblige).
Un pare-feu certifié par l'ANSSI
En termes de tarification de ses offres, l'éditeur met en avant la variété des cas d'usage, empêchant de fournir un tarif « de base », et dont les modèles de commercialisation passent par de l'indirect (MSSP, revendeurs ou des fournisseurs de services cloud comme AWS et Azure). En France, l'éditeur a décroché de beaux contrats, dont un s'élevant à 5 millions d'euros, sachant que pour d'autres le ticket d'entrée oscille aux alentours de 50 000 euros.
Une des particularité de Palo Alto Networks est d'être le seul acteur étranger dont la solution de pare-feu est certifié par l'ANSSI, les autres étant français (Stormshield, Deny All, Stonesoft France...). Via son « Unité 42 », un centre de veille spécialisé dans l'évaluation des risques cyber liés au dark web et aux nouvelles menaces, Palo Alto Networks est amené à travailler de près avec les ministères de l'Intérieur, la Police et la Gendarmerie Nationale et l'ANSSI. Ses solutions se retrouvent chez plusieurs fournisseurs et non des moindres comme Orange Cyberdéfense.