Darktrace, une boite noire dédiée à la cybersécurité

Avec sa boite noire auto-apprenante, Darktrace suit à la trace le comportement des employés dans les entreprises pour détecter des anomalies et prévenir des fuites ou des attaques externes

Il y aurait donc une vie après Autonomy, c'est en tout cas ce que l'on peut comprendre au vu des start-ups - Darktrace, Sophia Genetics, Taggar - soutenues par le fond Invoke Capital de Mike Lynch. Rappelons que ce dernier a réussi à vendre l'entreprise Autonomy 10,3 milliards de dollars à HP avant de quitter le navire avec fracas et un confortable trésor de guerre. Nous avons rencontré le dirigeant France et Espagne de Darktrace à Paris, à savoir Emmanuel Meriot, pour discuter de l'arrivée de la start-up sur le marché hexagonal. Lui même ancien d'Autonomy, comme bon nombre de cadres de la jeune pousse britannique basée à Cambridge, il met en avant DCIP (Darktrace Cyber Intelligence Platform), une solution de cybersécurité mettant en oeuvre en technologie empruntant ses analogies au système immunitaire du corps humain. La plate-forme de Darktrace permet de surveiller en temps réel le trafic réseau d'une entreprise sur une base 24/7, et notamment les risques qui pourraient provenir des propres employés de la société.
Julien Fistre, responsable technique chez Darktrace, et lui aussi issu d'Autonomy, nous a expliqué que cette solution repose sur une approche probabiliste associée à une technologie d'« auto-apprentissage continue » (deux semaines environ au démarrage) pour analyser le réseau, les échanges, le comportement des utilisateurs et des dispositifs. Une fois cette base de références établit, la solution entre en action et peut avertir les responsables IT et les décideurs de l'entreprise des écarts par rapport à « aux modes de vie normales dès qu'ils se produisent ». Darktrace ne vient pas remplacer les firewalls et les systèmes de sécurité déjà présents dans l'entreprise mais se positionne plutôt comme un complément.

Une boite noire au coeur du réseau de l'entreprise

La plate-forme - fournie sous la forme d'une appliance physique - repose sur CentOS associé à une base de données distribuée pour stocker les métadonnées (entêtes IP, Ethernet et logs applicatif) pour suivre toutes les interactions internes et externes de l'enteprise. Pour une question de sécurité, de confidentialité - et bien sûr de capacité de stockage - , les données brutes ne sont bien sûr pas stockées par l'appliance. « Nous nous distinguons des autres modèles [Checkpoint, Palo Alto Networks..] avec notre analyse des comportements  (les dimensions en mathématiques). Notre algorithme gère jusqu'à 400 dimensions mais le modèle est ouvert et peut être enrichi ».

Lors de la détection d'une anomalie, une alerte est envoyée à l'administrateur avec copie des métadonnées si nécessaire. Bon point : l'interface HTML (Threat Visualizer) proposée par Darktrace est très simple avec une topologie du réseau et des postes et une navigation 3D plutôt intuitive. Parmi les premiers clients de la jeune pousse, on peut citer Virgin Trains, Drax (énergie également en Angleterre), et trois clients français seraient en train de tester la solution actuellement. Pour le tarif de la solution DCIP, la dirigeant a botté en touche en refusant de répondre. Place à la négociation donc...

REF.: