Tribune libre de Jean-Nicolas Piotrowski, président de iTrust
Le fondateur et PDG d’iTrust, éditeur en cybersécurité et exploitant ses SOC, revient sur l’aventure de l’entreprise, se tourne vers le passé avec son franc-parler, et vers l’avenir. C’est le cri du cœur d’un entrepreneur français de la cybersécurité…
C’est la vie d’une Startup Cyber devenue PME en forte croissance. Une lutte de tous les instants pour promouvoir des solutions de cybersécurité françaises qui peuvent concurrencer des poids lourds de solutions étrangères : Splunk, IBM, … et l’on y arrive !
Je me souviens de mes premiers mois de 2007 où je venais présenter nos idées au bureau Industrie de l’ANSSI qui m’expliquait qu’il n’y avait pas d’avenir pour le logiciel Cyber français et qu’il me fallait aller créer mon entreprise aux Etats-Unis….
En ce temps-là, Nessus venait d’abandonner la France aux sirènes de Tenable à NewYork, Qualys à SanFrancisco, Vupen suivait, NSOne coulait, HSC se vendait à Deloitte pour ne plus exister, nous fondions la Fédération française des tests d’intrusion avec XMCO, Devoteam, …La Cyber se professionnalisait, les malwares apparaissaient, ils n’étaient évidemment plus détectés par les systèmes de protections basés sur des patterns (attaques connues).
Analyser le comportement des logs
Notre idée était là en germe quand, en 2009, le Groupe Leclerc se fait pirater. Ils nous demandent d’intervenir sur un virus inconnu qui a bloqué l’ensemble du système. 20 millions de perte. Ils soupçonnent un concurrent. Les équipements de protection n’y ont vu que du feu. 3 groupes de travail interviennent, IBM, nous et une équipe interne. Nous arrivons à identifier le « patient zéro » : un collaborateur a activé un malware involontairement sur sa messagerie personnelle, qui s’est propagé, à son insu, en interne. 5 jours plus tard : Déni de service, vol de données, extraction de données confidentielles.
Nous identifions la source, la trace et recevons les félicitations du groupe. Mais l’attaque est passée. Nous concluons qu’il était possible de bloquer l’attaque en analysant le comportement des logs.
Le modèle comportemental de détection est né : nous comprenons que l’avenir est à l’analyse multidimensionnelle (qui s’appellera le Machine Learning plus tard ou encore l’UEBA, pour « User and Entity Behaviour Analysis »).
Utiliser les logs est la méthode la plus performante, non impactante sur le SI, sans agents à installer, une possibilité de réaliser de la défense en profondeur, une capacité de traiter de très grands volumes de données, cloud compatible. Un modèle permettant de détecter les signaux faibles en amont.
Utiliser les logs est la méthode la plus performante, non impactante sur le SI, sans agents à installer, une possibilité de réaliser de la défense en profondeur, …. Un modèle permettant de détecter les signaux faibles en amont.
Ce sera une rupture sur le marché : Reveelium ! La première solution SIEM XDR UEBA CTI française (Les termes sont barbares dans nos métiers) permettant de bloquer les attaques avant qu’elles n’apparaissent.
ITrust accélère ; une équipe Red Team (parmi les plus anciennes et reconnues de France), un scanner de vulnérabilité, Un SIEM, un SOC.
Quand un échec entraîne un succès
Splunk souhaite mettre en place un partenariat avec nous. Ils veulent notre technologie. Nous travaillons dessus, nous resserrons les liens. Ils pourraient proposer Reveelium Machine Learning en complément de leurs produit SIEM (Upselling). Nous pourrions toucher un grand nombre de clients et les protéger avec une solution souveraine. Au dernier moment, avant le lancement commercial, ils rachètent Caspida 200 millions. Une startup californienne qui nous concurrence sur l’UEBA. Elle ne fait que 500K$ de Chiffre d’affaires (!). Le partenariat tombe à l’eau avec Splunk.
Les clients nous demandent d’utiliser notre technologie sans Splunk. Nous créons le SIEM Reveelium. Ce sera un succès.
En 6 ans, tout a changé
Ces 6 dernières années le marché et les besoins ont beaucoup évolué : la doctrine de défense en profondeur s’est imposée, les systèmes de protections historiques, indispensables mais non suffisants ne protègent plus que contre 4% des techniques d’attaque. Les SIEM/UEBA/XDR, SOAR, se sont imposés comme des solutions performantes, les SOC MDR sont l’avenir, et permettent de couvrir 100% des techniques d’attaque, les NDA analyseurs de trames sont limités aux flux non chiffrés, le cloisonnement des réseaux devient la norme, la traçabilité par bastions et logs est indispensable, l’anti phishing est incontournable.
Une page s’est tournée, notamment en grande partie avec l’ouverture des systèmes d’information de l’entreprise étendue et du cloud et la professionnalisation des attaques lucratives. L’IA et le MDR
Des chiffres-clés 2022
35% de croissance l’année dernière. Un récurrent produit qui représente 87% des revenus. Un résultat net au-delà des 10%. 4,5ME investis ou en charges dans l’écosystème local français. Une offre SOC Citoyen à 1 Euro pour soutenir la nation face aux menaces de malwares sur les hôpitaux et services publics.
Des nouveaux clients ETI, services publics et Grands comptes, 500 nouvelles TPE/PME en 2022. Plus de 10 millions d’IP scannées ou supervisées. Un taux de conservation client supérieur à 98%. Huit nouveaux partenaires revendeurs / distributeurs dans 4 pays. 2 sorties produits majeures développées, Reveelium (SIEM XDR UEBA) V11 et V6 Ikare (Scanner de vulnérabilité). 2000 nouvelles règles de détections créées, beaucoup (trop) de nouvelles CVE, 4 millions de données de Threat Intelligence ajoutées à Reveelium.
Des billions d’évènements traités en 2022 (je n’ai pas le chiffre exact), 283 280 Alertes traitées, 21 396 Menaces levées et 5 incidents majeurs bloqués. Soit 100% des attaques déjouées chez tous nos clients. Et une certification ANSSI PASSI (Prestataire d’audit de sécurité)
Plus de 75% des charges sont affectées à la R&D. 41 recrutements. Le développement de l’actionnariat salarié, des actions gratuites pour un capitalisme participatif.
Mais… Pas de levée de fonds de 20 millions annoncée chez nous, pas de « trophées du meilleur SIEM/SOC mondial », pas de Quadrant Gartner, pas d’EDR transformé en XDR ou de SIM transformé en SIEM, pas de rançons payées, aucuns leaks des informations de nos clients, pas d’offre souveraine en partenariat avec Microsoft…On essaie juste de faire notre job avec passion, honnêteté, implication et de le faire bien pour nos clients…2023 sera dense avec beaucoup d’innovations.
Jean-Nicolas Piotrowski
