Palo Alto Networks a débuté autrefois avec l'un des premiers pare-feu de la prochaine génération, mais elle progresse depuis quelque temps déjà sur la route SASE. Qu'est-ce que cela signifie pour la Belgique? C'est la question que avons posée au country manager.

Avec un système SASE (Security Access Service Edge) bout-à-bout, Palo Alto Networks a en 2019 résolument opté pour une ouverture vers les plus grandes entreprises et les services spécialisés. Cette année, elle y a ajouté une solide focalisation sur les services gérés, surtout orientés vers les entreprises.

Au début de cette année, il y a donc eu ce pas accompli vers les très grandes firmes. Etait-ce bien planifié?

RAF PEETERS (country director Belux chez Palo Alto Networks): Nous tentons de prendre les devants sur les demandes que nous comptons recevoir des clients. Et ces derniers veulent savoir comment élaborer une cybersécurité uniforme dans un monde, où tant les applications que les utilisateurs sont très mobiles. Comment couvrir cela d'une carapace qui sécurise tant SaaS, le nuage privé que les applis auto-développées dans le centre de données? Pour nous, le travail ne correspond plus à un emplacement, mais à une activité pour laquelle il faut prévoir une sécurité uniforme.

En tant qu'industrie, nous avons toujours créé une nouvelle solution pour chaque problème qui se manifestait. Cela n'a pas simplifié la vie des clients. Nous en sommes partiellement responsables, mais nous voulons y mettre fin. Voilà pourquoi nous investissons à présent pour pouvoir offrir une plate-forme qui chapeaute le tout. L'un des gros problèmes auxquels sont confrontés les entreprises, c'est le manque de capital humain: trouver, former et conserver les collaborateurs. Voilà pourquoi nous devons étendre nos solutions. Nous estimons que l'année prochaine, il manquera quelque 3,5 millions de professionnels de la cybersécurité.

Ce qui explique la présence de davantage de solutions d'automatisation des SOC (Security Operations Centers, gestion centralisée de la sécurité, ndlr)?

PEETERS: En effet. La machine doit pouvoir accéder à tout ce qui peut être automatisé. La grande question ici est de savoir comment faire en sorte que des agents ne soient pas occupés toute la journée à visionner des milliers d'alarmes. Ils ne doivent se concentrer que sur les incidents à risque. Et donc le défi à relever pour les SOC, c'est veiller à ce que les agents voient apparaître les incidents qu'ils doivent absolument visionner. Pour ce faire, il convient de collecter des données de différentes sources et de les placer bout à bout, afin d'en tirer des notions et de les présenter à l'analyste.

STEVEN DE PAUW (systems engineering manager Belux chez Palo Alto Networks): Nous voulons surtout faire faire aux analystes des choses pour lesquelles l'intelligence humaine est nécessaire. Les SOC traditionnels se voient souvent confier des tâches similaires: ils reçoivent un avertissement de l'endpoint security, après quoi ils doivent nettoyer ou réinstaller le PC en question. Sur la durée, cela devient monotone, et ces actions peuvent prendre beaucoup de temps. Ce n'est pas cela qui fait la valeur de ces gens. On pourrait intégrer plusieurs plates-formes, afin d'automatiser ces tâches répétitives. Lors de la réception de ce genre d'avertissement, il convient par exemple de bloquer automatiquement l'utilisateur infecté dans le répertoire actif, sur le pare-feu, peut-être même envoyer un message au manager, afin qu'il soit au courant, etc. Ce faisant, les collaborateurs du SOC s'occupent des alertes à haut risque et passent à côté de moins de choses. Sans compter qu'ils s'enrichissent nettement plus. Supposons que vous voyiez un incident d'hameçonnage, vous pouvez alors indiquer automatiquement si vous rencontrez aussi ce malware dans d'autres boîtes mail. Vous offrez ainsi plus de contexte pour que l'analyste voit mieux ce qui se passe. Le temps de réponse en sera nettement réduit, et on passera à côté de moins de choses.

A quoi ressemble ce genre d'automatisation?

DE PAUW. Il s'agit surtout d'une combinaison d'outils, tant des nôtres que ceux d'autres entreprises. L'important ici, c'est le besoin d'un bon apport. Il faut démarrer avec des données correctes, comme c'est toujours le cas avec l'intelligence artificielle et l'apprentissage machine. Notre logiciel va collecter de nombreuses données différentes d'un seul incident. Pensez par exemple à un écart spécifique par rapport au comportement normal. S'il y a chaque un nombre x d'actions sur les contrôleurs de domaine et que nous observons qu'il y en a une fois nettement plus, nous le signalons. Plus nous constatons ce genre de choses, meilleure deviendra l'AI dans l'identification des écarts.

Etes-vous ainsi également débarrassé des faux positifs?

DE PAUW: Il y aura assurément encore des faux positifs, mais il s'agit d'une plate-forme vivante. Les tâches automatisées doivent également encore être adaptées pour faire face aux nouvelles stratégies d'attaque. Ce n'est certainement pas une solution qu'on installe et à laquelle on ne touche plus pendant cinq ans.

Palo Alto Networks édite des logiciels professionnels. Qu'est-ce que cela signifie pour l'organisation belge? Nous sommes quand même surtout un pays de PME.

PEETERS: Nous sommes certes un pays de PME, mais nous avons pas mal de clients internationaux qui ont ici leur siège central ou leur pouvoir de décision. Nous ne sommes pas le genre d'entreprise proposant des solutions pour le boulanger ou le boucher. Même pas pour les entreprises de vingt à cinquante employés. Nous misons véritablement sur les segments mid size et large enterprise, en toute verticalité. Mais je pense que le marché ici est plus que suffisamment grand pour une représentation locale. Nous collaborons dans ce but avec des partenaires. Notre route-to-market est à cent pour cent indirecte.

On observe aussi chez vos concurrents qu'il y a un focus sur la sécurité soit des entreprises, soit des consommateurs. Y a-t-il une vague de spécialisation dans le secteur de la sécurité?

DE PAUW: L'environnement domestique est à présent tout à fait différent d'un environnement industriel. Il n'y a pas là d'administrateur par exemple. L'infrastructure est également plus limitée. Il est donc question d'un tout autre défi à relever que celui pour lequel nous développons actuellement nos solutions. Nous possédons certes aussi des solutions pour les terminaux, PC et serveurs, mais qui se basent sur le fait que quelqu'un y jette un coup d'oeil de temps à autre.

Quelles sont alors les principales menaces pour les plus grandes entreprises?

PEETERS: Les entreprises que nous affrontons, en sont précisément. Ce sont des entreprises basées SLA et pilotées par un modèle commercial, qui lancent des services sur le marché pour attirer du ransomware. Plus question de l'ado en hoodie. Nous voyons aussi ces organisations recourir elles-mêmes à l'automatisation. Elles misent sur l'AI et sur l'apprentissage machine. C'est également la raison pour laquelle nous, en tant qu'industrie de défense, devons utiliser ces principes, pour veiller à pouvoir réagir plus rapidement qu'un agent humain. Les dernières variantes de notre pare-feu sont par conséquent basées sur l'intelligence artificielle. Nous luttons contre une industrie, ce qui change la donne.

