Custocy suit les cyber-intrus à la trace

La start-up détecte les menaces une fois que celles-ci ont pénétré le réseau, à partir de plusieurs algorithmes d’intelligence artificielle.

Pour assurer une visibilité complète du réseau de son entreprise et de son patrimoine digital, il faut plusieurs briques dont une brique réseau comme le NDR (Network detection and response) qui surveille les interactions entre assets. « C’est une arme de détection des menaces internes quand le cyber-intrus est dans le réseau », résume Sébastien Sivignon, directeur général de la start-up Custocy. Et c’est un enjeu crucial : selon une étude IBM datant hélas un peu (2020), le temps moyen entre l’accès initial d’une intrusion et sa détection est de 212 jours, soit plus de six mois pendant lesquels l’intrus se déplace par rebonds pour trouver les endroits profonds dans le réseau, télécharger des data ou crypter les disques.

Custocy examine les flux à l’échelle de la milliseconde

C’est dans cet intervalle que le NDR de Custocy va tenter de détecter les intrus, soit à partir des signatures connues de malwares grâce à son intégration de sources de threatening telles que Suricata, soit en utilisant ses 27 moteurs d’IA (ML), supervisés ou non, pré-entraînés dans ses propres labos, et qui agissent sur différentes échelles de temps pour les attaques sans signature. C’est une des principales innovations de Custocy : il ne se contente pas d’examiner les flux à l’échelle de la seconde, mais à celle de la milliseconde.

Les attaques, signées ou non, utilisent en effet différentes techniques : droits d’accès usurpés, DDOS (distributed denial of service) ou encore mouvements latéraux (déplacement de machine en machine pour atteindre la cible finale). Ces différentes stratégies sont mieux détectables en utilisant différentes échelles de temps pour l’observation des flux.

Custocy observe la dynamique de la menace

Une autre IA, non supervisée, se charge par ailleurs de l’analyse comportementale sur les groupes d’assets, c’est-à-dire les adresses IP à surveiller (PC de la comptabilité, serveurs PC de calcul…) pour modéliser les comportements anormaux. « Au-dessus de toutes ces IA dédiées, nous avons une IA globale, MetalEarner, qui indique sur cette échelle de temps où il faut monitorer en priorité tel ou tel événement », ajoute Sébastien Sivignon. Custocy observe la dynamique de la menace, depuis le moment de la dépose d’une charge malveillante et tout au long de sa montée en dangerosité, pour représenter le cheminement de cette menace dans sa globalité. L’outil déclenche ensuite une projection MITRE (framework mondial de décomposition des attaques) et va la transférer à un analyste pour qu’il puisse faire une remédiation par rapport aux solutions proposées. « Notre parti pris est d’être en complément des analystes dans les SOC (Security operation centers), d’autant que nous sommes convaincus que le marché n’est pas encore prêt pour la remédiation automatique », précise Sébastien Sivignon.

Les IA ont besoin d’une phase d’adaptation au réseau

Custody peut fournir sa solution en direct aux clients qui souhaitent opérer la solution et sont responsables de réagir une fois la détection effectuée. Mais le produit est également disponible au travers d’un réseau de partenaires distributeurs qui vont assurer le service managé de la solution et prévenir le client en cas d’événement cyber sur son réseau. À noter que le NDR Custocy n’est pas intrusif et n’a besoin pour fonctionner que d’une sonde installée en une demi-journée. Par contre, les IA, même pré-entraînées, ont besoin d’une phase d’adaptation au réseau du client d’environ une semaine pour un démarrage, et d’un mois pour être pleinement opérable.

LE PITCH

Sébastien Sivignon (directeur général de Custocy) : « Custocy repose sur un modèle mathématique qui permet, en empilant des IA dites “faibles”, d’aboutir à un modèle fort. »

L’ENTREPRISE

CRÉATION : 2018
SIÈGE : Labège (31)
ORIGINE : X
EFFECTIF : 15 collaborateurs dont 30 % de doctorants
FINANCEMENT : IMS Networks à 75 %
RÉFÉRENCES : Bêta-testeurs en France et en Belgique. Prospects dans un groupe BTP.

À LIRE AUSSI :

Secu

Defants exploite la sémantique pour «mitiger» les attaques

Pierre Berlemont

31 Juil

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !