Emmanuel Le Bohec

Global Security Mag : Pouvez nous présenter votre entreprise ?

Emmanuel Le Bohec : Corero est une société côtée au London Stock Exchange & qui s’est spécialisée dans la fabrication d’équipements de sécurité (IPS & DDoS). En mars dernier, elle a racheté Top Layer, société basée aux Etats-Unis, près de Boston & créée en 1997 par des anciens du MIT. Dès 1997, Top Layer était spécialisée dans l’analyse applicative (couche 7 du modèle OSI) avec un switch applicatif, utilisé rapidement comme loadbalancer pour IDS. En 2001, avec la "mort" de l’IDS & l’avènement de l’IPS (qui peut agir sur la session, à l’inverse de l’IDS), la 1re génération de Top Layer IPS était née, intégrant dès le début des technologies anti-DoS/DDoS brevetées (6 au total à ce jour).
Dès son lancement, le Top Layer IPS a été validé par le NSS (2005).
Entre 2006 & 2009, la solution a évolué pour ajouter des fonctionnalités de détection très fines : Deep File Inspection (pour analyser les fichiers & vérifier que les pièces jointes sont conformes afin d’éviter notamment les Buffer Overflows) et deux modules d’analyse Protocolaire - PVM - et des Données - DVM, anti-malware de flux & base de réputation de sites C&C (commande des Botnets), pour lutter contre la corruption des serveurs & postes de travail notamment.
La solution Top Layer IPS est la seule solution IPS certifiée Critères Communs EAL4 (depuis 2009).
Enfin, en 2010, l’équipement a été entièrement repensé pour s’affranchir de la rigidité de l’ASIC & passer sur l’utilisation des dernières générations de processeurs, dits "massivement multi-coeurs" : avec des processeurs 64 coeurs Tilera, assurant performances maximales avec une latence la plus faible du marché.
Aujourd’hui, Corero a décidé de de développer massivement à l’international, ouvrant des bureaux en Grande Bretagne, en France en Allemagne et tout récemment en Espagne. En effet, fort de sa technologie unique (la protection 3D - IPS/Firewall/anti-DDoS développée & améliorée depuis 2004), Corero apporte une réponse parfaite à la problématique sécurité du moment : les attaques & intrusions, qu’elles soient motivées par l’hacktivisme ou l’espionnage industriel. Ainsi, depuis les 4 derniers mois, notre équipe s’est renforcée de 15 personnes qui ont en moyenne une expérience de 10 à 15 du marché de la sécurité, des grands comptes et du Channel.

Guillaume Delomel

Global Security Mag : Comment fonctionnent vos solutions ?

Guillaume Delomel : Nos solutions intègrent ce que nous appelons la protection 3D : nous sommes les seuls à proposer les 3 briques complémentaires sur un même équipement : un firewall statefull, un IPS et une protection DoS/DDoS.

Côté anti-DDoS, notre algorithme propriétaire breveté permet de donner des notes aux adresses IP (demerit score), fonctionnant comme un permi à point pour les sessions IP & autorisant ainsi une action différenciée en fonction de leurs actions : soit laisser passer si le trafic est légitime, soit temporiser voire interdire la connexion afin d’éliminer cette menace. Côté IPS, nous intégrons un Firewall stateful transparent (donc sans charge d’exploitation supplémentaire, ni impact sur l’architecture réseau), nous avons un Protocol Validation Module (PVM) et Data Validation Module (DVM) pour vérifier que les données transitant sont bien ce qu’elles prétendent être : validation du type & de la longueur des caractères dans un champ HTTP par exemple ou, côté fichiers, conformité d’un PDF en vérifiant que les failles connues ne sont pas exploitées. Ceci nous permet, sans signature spécifique, de protéger nos utilisateurs souvent avant même que la vulnérabilité soit révélée donc l’exploit possible (du vrai "zero-day") mais surtout de limiter le nombre de faux positifs & d’optimiser les performances et latences. Ainsi, les équipements, en plus de protéger contre les dernières attaques HTTP Get et DNS, protégeaient "nativement" contre la fameuse faille dite Apache Killer.

En plus de ces 3 briques, viennent s’ajouter un anti-malware de flux ainsi qu’une base de réputation de sites web dangeureux et de C&C, les serveurs de contrôle des Botnets.

Notre gamme granulaire va de 300Mb/s à 20Gb/s par équipement. La haute-disponibilité est native (Actif/Actif), permettant d’augmenter les performances en créant un cluster : des mécanismes de loadbalancing sont intégrés, permettant de mettre de 4 à 8 équipements en cluster pour atteindre 80Gb/s de flux nettoyé. Cerise sur le gâteau, nos équipements font pour la plupart 1 U, et consomment moins de 100W, le tout avec moins de 50 microsecondes de temps de latence.

Nous avons bien sûr un laboratoire et une équipe de veille de sécurité qui permet d’alerter nos utilisateurs et de les informer sur les règles à appliquer. Nous proposons aussi à nos clients un reporting une administration centralisée...

Global Security Mag : C’est votre première participation aux Assises de la Sécurité, pourquoi venir à cet événement ?

Emmanuel Le Bohec : L’évènement des Assises de la Sécurité représente une occasion unique pour les éditeurs et les DSI/RSSI des grands comptes français de se rencontrer & de discuter sur des problématiques variées mais toujours orientées sécurité. De par son ampleur et la qualité de la représentation des responsables informatiques et de la sécurité des réseaux, de la production et des SI, il était évident que nous devions y participer dès notre arrivée en France.

Global Security Mag : Qu’allez-vous présenter sur les Assises de la Sécurité ?

Emmanuel Le Bohec : Ayant rejoint les équipes de Corero début août et ouvert le bureau français par la même occasion, nous sommes arrivés tardivement sur cet événement et avons dû nous contenter d’un stand sans présentation, le calendrier étant complet. Nous essayerons néanmoins d’y présenter, en petits comités, l’offre Corero de lutte contre les attaques en déni de service (DDoS), de protection contre les botnets & contre les intrusions (IPS). Nous détaillerons notamment les avantages fonctionnels et technologies brevetées (DDoS notamment) liés à l’optimisation matérielle et logicielle menée depuis maintenant près de 15 ans.

Global Security Mag : Comment va évoluer votre offre ?

Emmanuel Le Bohec : Notre offre vient déjà de s’étoffer il y a quelques jours, avec l’annonce d’un nouveau modèle très hautes performances de notre sonde de prévention d’intrusion (IPS). D’ici la fin du mois, la gamme va encore s’étoffer par l’ajout d’une nouvelle gamme d’équipements spécialisés dans la lutte contre les attaques en déni de service distribuées (DDoS), en parallèle d’une nouvelle version majeure de notre CoreOS. En 2012, nous prévoyons le lancement de modèles entrée de gamme, orientés principalement interconnexion des sites distants, mais également par des plateformes de type châssis, afin de nous adapter aux besoins sans cesse croissants des Grands Comptes & Opérateurs mais surtout pour résister à des attaques en DDoS applicatives de plus en plus évoluées.

Global Security Mag : Quelle sera votre stratégie commerciale pour 2012 ?

Emmanuel Le Bohec : Gagner en visibilité via des opérations de communication régulières, recruter peu de partenaires mais des experts dans le domaine de la sécurité : privilégier qualité à quantité.

Global Security Mag : Quel est votre message aux RSSI ?

Emmanuel Le Bohec : Venez nous rencontrer à l’occasion des Assises et vous nous quitterez convaincus de l’avance technologique de nos solutions !