ZeroKit, la mallette innovante de la startup Malizen qui visualise les intrusions informatiques
Mis à jour le 28/06/2021
Startup née dans le sillage de recherches menées à CentraleSupélec et au centre Inria de Rennes, Malizen conçoit une solution de visualisation des intrusions dans les systèmes informatiques. Appelé ZeroKit, cet outil innovant va permettre aux experts en sécurité de travailler de façon plus intuitive et de réagir plus rapidement en cas de cyberattaque.
Au départ de l'action, se trouve la Direction générale de l'armement. Et plus précisément sa branche cybersécurité.
En 2013, elle décide de financer une thèse de doctorat qui sera réalisée par Christopher Humphries au sein de Cidre, une équipe de recherche commune à CentraleSupélec, Inria, le CNRS, et l'université de Rennes 1 (commune à l'UMR IRISA).
Le thème : la visualisation des événements suspects. Ces travaux vont aboutir à un prototype donnant aux analystes une vision beaucoup plus claire des tentatives d'intrusion sur les systèmes. Pour permettre un transfert de cette technologie vers l'industrie, la décision est prise de créer une startup avec le soutien d'Inria. Cette société s'appelle Malizen. Implantée à Rennes, au cœur du Pôle d'excellence cyber (PEC), elle est opérationnelle depuis janvier 2020.
ZeroKit
Le logiciel, lui, se nomme ZeroKit. Une allusion aux attaques dites "zero day" : des méthodes d'intrusion jamais encore utilisées et donc inconnues des antivirus automatiques. Contre ces malwares, l'analyste expert en sécurité constitue souvent l'ultime rempart. C'est lui qui va devoir repérer la petite anomalie, s'étonner de la lenteur inhabituelle d'une machine, remarquer des connexions réseau un peu incongrues. Mais parfois aussi réagir à un incident de sécurité. Tenter de comprendre. Chercher l'origine de l'intrusion. Évaluer l'ampleur du problème. Une vraie enquête policière.
Verbatim
Dans le fond, les analystes font un travail de Sherlock Homes et nous leur fournissons la loupe !
Auteur
Flavien Auffret
Poste
responsable de l'expérience utilisateur chez Malizen
Comment fonctionne cet outil ? En récupérant les logs, c'est-à-dire les journaux où sont consignées toutes les activités des machines : affichage d'une page web, ouverture d'une porte à digicode, baisse de tension électrique sur un site industriel, etc. « L'écran principal représente une vue d'ensemble de tous ces événements qui seraient susceptibles d'avoir un intérêt pour comprendre rapidement la situation, explique Christopher Humphries, président de l'entreprise. Sur ce tableau de bord, nous affichons tout ce qui va aider l'expert. Il peut visualiser la quantité d'événements et leur distribution dans le temps. Dans un système d'analyse classique, il faudrait beaucoup de configuration pour produire l'information pertinente. Avec notre outil, le travail devient plus intuitif. La visualisation permet d'avoir beaucoup plus d'informations au même endroit et de les comprendre plus facilement. C'est un accélérateur. L'utilisateur n'a pas besoin d'éplucher des manuels, de chercher de l'aide auprès de collègues » ou de taper des lignes de commande dans un langage spécifique.
Verbatim
Grâce à cette interface, l'analyste va voir des motifs apparaître. Par exemple une forte activité inhabituelle en pleine nuit sur le serveur d'une banque. L'expert va pouvoir afficher les adresses IP, les ports machine... Puis remarquer des connexions étranges. Les corréler avec d'autres événements. Nous affichons aussi une carte qui représente la structure des machines impliquées. Sur un site industriel, on peut analyser la zone de production, les bâtiments administratifs, etc.
Auteur
Damien Crémilleux
Poste
Directeur technique chez Malizen
Qui seront les clients de Malizen ? « D'abord des entités au fait des enjeux de cybersécurité, répond Christopher Humphries. Donc des acteurs déjà équipés d'outils pour résoudre les problèmes. Notamment les opérateurs à importance vitale (OIV) contre qui une attaque pourrait avoir un impact de sécurité nationale. » Sites militaires, centrales nucléaires, etc. « Mais aussi les opérateurs de services essentiels (OSE) qui, de par la loi, ont des obligations de pouvoir réagir aux attaques. » Parmi eux figurent par exemple les hôpitaux ou encore certains hébergeurs de données sensibles.
SOC et CERT
Au-delà de ce premier périmètre, « beaucoup d'entreprises ou d'organismes déploient maintenant des moyens spécialisés, indique Simon Boche, responsable de la sécurité du système d'information. Ces entités possèdent des SOC, c'est-à-dire des centres opérationnels en cybersécurité. Ce sont des centres d'appels organisés pour recevoir les alertes, surveiller et réagir. Certains groupes disposent aussi de CERT (Computer Emergency Response Team). Il ne s'agit plus alors d'un help desk, mais d'une équipe mobile qui va se déplacer pour répondre à une alerte sur un site. Certains opérateurs font d'ailleurs le choix d'externaliser ces prestations vers des sociétés dont c'est le métier comme Orange Cyberdefense ou Amossys par exemple. »
Une mallette embarquant ZeroKit pour intervenir sur les sites
Afin de répondre à ces besoins nomades, la solution ZeroKit peut être embarquée sur un serveur de calcul livré dans une mallette. « Pour réagir aux incidents de sécurité, les CERT doivent souvent se déplacer sur les sites de production à l'autre bout de la France ou à l'autre bout du monde, explique Christopher Humphries. Or les moyens techniques pour l'analyse se trouvent au siège du groupe. Résultat : il faut faire des allers-retours pour récupérer les données, les ramener et ensuite seulement pouvoir les traiter. Ces déplacements font perdre beaucoup de temps. Nous avons donc imaginé cette solution d'intervention qui permet à l'expert de travailler directement sur les lieux. Il va collecter les données, lancer les calculs et effectuer son analyse de la situation. C'est beaucoup plus pratique. »
Disponible sous forme de licence, ZeroKit se compose d'un socle modulable sur lequel l'entreprise greffe des briques qui permettent de rajouter des fonctionnalités ou de connecter d'autres sources de données. « Il y a une phase d'adaptation au système d'information du client. Ce n'est pas la même chose si l'on équipe une raffinerie ou un réseau de chemins de fer. Nous développons une brique spécifique pour prendre en compte chaque situation particulière. »
Garder un pied dans la recherche
Le logiciel va, en outre, continuer d'évoluer. L'entreprise accueille actuellement un étudiant de master de CentraleSupélec qui travaille sur la recommandation d'exploration. « Il s'agit de fournir des conseils à l'analyste effectuant son inspection de sécurité, explique Romain Brisse. ZeroKit va lui proposer de visualiser les données d'une certaine façon ou d'aller explorer les endroits qu'il aurait manqués en fonction de connaissances que nous allons lui fournir. » À la rentrée 2020, cet étudiant débutera une thèse de doctorat financée par l'entreprise dans le cadre du dispositif Cifre.
« Nous souhaitons effectivement garder un pied dans le monde de la recherche, conclut Christopher Humphries. Dans les laboratoires publics, il y a beaucoup de technologies qui pourraient intéresser l'utilisateur mais qui ne sont pas forcément transférées vers l'industrie. Nous trouvons cela un peu dommage. Nous souhaitons rester liés aux équipes CentraleSupélec et Inria dont nous sommes issus pour continuer de demeurer à la pointe et contribuer à faire passer ces innovations vers l'industrie. »