[Interview] Mandiant, de l’Ukraine à Google Cloud
L’un des représentants de la firme de cybersécurité Mandiant, rachetée en septembre dernier par Google Cloud, fait le point sur son action en Ukraine et ses nouvelles ambitions.
![[Interview] Mandiant, de l’Ukraine à Google Cloud](/mediatheque/6/1/1/001441116_896x598_c.jpg)
Ils ont été des observateurs privilégiés du conflit. Les experts de Mandiant, le spécialiste américain de l’investigation et de la réponse à incidents, ont été en première ligne informatique en Ukraine après l’invasion de la Russie. Une action par exemple déjà documentée dans un rapport récent du groupe d’analyse des menaces de Google.
David Grout, l’un des cadres de Mandiant, responsable technique et directeur préventes pour l’Europe de l’Ouest, revient dans une interview pour L’Usine Digitale sur le bilan de l’action de l'entreprise en Ukraine et sur ses perspectives après son rachat par Google Cloud.
L’Usine Digitale : Un an après l’invasion russe, quel bilan faites-vous de vos opérations en Ukraine ?
David Grout : En Ukraine, nous avons été sollicités pour de l’investigation, de la réponse à incident et de l’accompagnement à la remédiation. Nous sommes ainsi intervenus sur plus de 35 réponses à incident. Cela a représenté 200 équivalent temps plein mobilisés de janvier à septembre. Les activités de nos experts ont recouvert trois principales dimensions: les opérations contre des wipers, ces virus destructeurs, celles contre des opérations d’influence et d’hameçonnage, et enfin les actions de lutte contre l’espionnage, principalement russe mais également d’origine chinoise.
On peut par exemple remarquer que derrière l’utilisation des wipers, il y avait une volonté de déstabiliser et de semer la panique. Ces opérations se sont inscrites dans le temps : il n'était pas rare d'avoir une organisation victime visée par plusieurs vagues. Quant aux techniques d’attaques, elles sont restées relativement classiques. Elles profitaient également de l’obsolescence de certains logiciels utilisés en Ukraine, dont certains étaient d’ailleurs des versions piratées.
Ceci dit, il est difficile de qualifier plus globalement l’intensité des opérations en cours en Ukraine. A quels chiffres peut-on la comparer ? Par contre, nous pouvons confirmer que le cyber fait bien partie de la stratégie militaire de la Russie. C’est l’un des composants, parmi d’autres, de leur doctrine. Mais ces formes de cyberguerre, comme par exemple un wiper lancé contre un réseau électrique, passent au second plan quand des bombardements causent des morts. Enfin, on peut rappeler que la crainte d’une attaque informatique débordant largement des frontières, une sorte de nouveau Not-Petya, ne s’est finalement pas réalisée. Ce qui a pu faire dire à certains qu’il ne s’était pas passé grand-chose sur le front cyber. On voit que ce n’est pas vraiment le cas.
Ce nouveau théâtre de crise a-t-il entraîné un changement dans vos façons de travailler ?
Nous avons changé nos méthodologies, mais comme nous l’aurions fait dans d’autres crises majeures, comme par exemple une catastrophe naturelle. Cela demande d’être relativement flexible et force d’adaptation. Nos experts peuvent ainsi être privés d’internet, d’accès au réseau électrique ou à leur machine. Finalement, cela ressemble aux situations que l’on peut trouver chez un client après une attaque par rançongiciel, où parfois il n’y a plus rien qui fonctionne : pas de téléphone pour caler la réunion lançant les investigations numériques, ou un partage de données suspendu à la création d’un compte gmail de secours, par exemple.
Avec un tel degré d’activité en Ukraine, Mandiant peut-il être considéré comme l’une des parties du conflit ?
Nous avons la volonté d’être neutre dans nos activités. Nous répondons d’abord à des demandes d’interventions d’organisations basées en Ukraine. Mais contrairement à ce dernier marché, nous n’avons jamais vraiment eu d’activité en Russie. Peut-être d’ailleurs parce que nous avons beaucoup publié sur des APT apparentées à la Russie? Moscou n’était donc pas vraiment un marché pour nous, à la différence d’autres industries qui ont dû faire des choix après l’invasion.
L’importante implication des entreprises du numérique en Ukraine a été soulignée, pensez-vous que cette guerre marque un tournant ?
Je ne saurai dire s’il s’agit d’un changement ou d’un virage, nous n’avons pas assez de recul. Mais ce conflit démontre une nouvelle fois notre dépendance au numérique. Il est désormais consubstantiel à nos sociétés, cela a déjà été souligné à plusieurs reprises. Que ce soit à la suite d’une catastrophe naturelle ou à cause d’une défaillance informatique, les crises à fort impact mettent forcément à contribution les géants du numérique. La crise actuelle n’a pas échappé à cette règle.
Quelles sont les ambitions de Mandiant, après son rachat par Google Cloud ?
Notre feuille de route est centrée autour de la sécurité opérationnelle. Il s’agit de construire une approche homogène de la sécurisation de la transformation numérique, de la PME à une administration ou une multinationale. Même si cette fusion entre Mandiant et Google Cloud est très récente, des synergies commencent à se construire. Nous avons ainsi déjà fait des annonces communes, comme par exemple à propos de notre produit Breach Analytics.
Nous voulons notamment être plus rapides dans la détection, et rendre encore davantage actionnable l'information que nous collectons au cours de notre travail de renseignement sur les cybermenaces. Nous avons également la volonté de rester agnostique en matière de technologie, que ce soit les outils utilisés par nos clients ou leur choix de cloud. Nous devons ainsi être capables de travailler dans tous les environnements.
Que représente le marché français pour vous ?
C’est un marché significatif pour Mandiant : la preuve, mon poste est basé en France. Nos clients sont plutôt des groupes de taille moyenne à grande, publics ou privés. Nous avons l’ambition de continuer à croître correctement sur la réponse à incident, le renseignement sur les cybermenaces et sur la soixantaine de services que nous proposons, du reverse engineering au management de la surface d’attaque. Mais si nous sommes en concurrence avec des acteurs variés suivant les sujets, le marché global est en forte demande, ce qui permet une compétition relativement saine.
[Interview] Mandiant, de l’Ukraine à Google Cloud
Tous les champs sont obligatoires
0Commentaire
Réagir
