Global Security Mag : Pouvez-vous nous présenter votre entreprise Stamus Networks ?

Eric Leblond : Stamus Networks est une société française éditrice d’appliances de surveillance réseau basées sur l’IDS/IPS Suricata, lui-même distribué sous licence libre. Stamus Networks comporte dans ses membres fondateurs des personnes de l’équipe de développement de Suricata. Nous sommes donc au plus proche de Suricata et nous proposons des solutions clefs en main dont l’objectif est de donner aux équipes en charge de la sécurité informatique la possibilité de se focaliser sur les tâches à haute valeur ajoutée, comme l’analyse des événements et la mise en œuvre de moyens de détection spécifiques à leur structure. Nous avons constaté que l’implémentation de sondes réseaux basées sur Suricata pouvait être extrêmement coûteuse en temps pour les organisations, notamment lorsque les prérequis en termes de bande passante supportée sont élevés. De plus, Stamus Networks se responsabilise sur les performances et le bon fonctionnement de ses boîtiers déployés en production.

GS Mag : Quel est votre produit ou service phare ?

Eric Leblond : Il s’agit de nos boîtiers de surveillance réseaux. Ils offrent à la fois des fonctions de type détection d’intrusion (IDS) et des fonctions de journalisation des événements réseaux (NSM pour Network Security Monitoring). Leurs performances élevées en termes de bande passante (jusqu’à 10Gbps pour les modèles actuels) permettent de les déployer dans la quasi totalité des entreprises et administrations sans sacrifier la qualité de l’inspection réalisée, et donc le niveau de sécurité de l’entité.

GS Mag : Pouvez-vous nous détailler les caractéristiques techniques de votre technologie ?

Eric Leblond : Le moteur de nos boîtiers au niveau de l’analyse réseau est le logiciel Suricata, qui est à la fois un moteur IDS et NSM.

Sur la partie IDS, il offre une analyse pertinente et performante. Au nombre de ses avantages, on peut signaler la reconnaissance protocolaire. Nos boîtiers déterminent ainsi les protocoles indépendamment des ports utilisés. Cela est notamment très intéressant pour détecter les canaux de contrôles des virus qui utilisent souvent HTTP sur des ports arbitraires. Cette reconnaissance protocolaire va de pair avec une analyse protocolaire poussée qui permet d’extraire des champs des protocoles et d’écrire des signatures précises et fiables. Une des fonctionnalités clefs est aussi l’extraction de fichiers des flux. Actuellement disponible pour HTTP et TLS, elle permet de stocker sur disques les fichiers échangés sur le réseau de manière à les examiner de manière approfondie. On peut par exemple penser à une analyse antivirale ou à des scripts d’IOC propres à l’organisation.

Au niveau NSM, l’extraction des informations se fait sur les protocoles HTTP, DNS, SSH et TLS. Les événements extraits par le moteur Suricata sont stockés et consultables depuis une interface Web.

Enfin, l’un des points clefs de nos boîtiers est l’accessibilité de toutes ces informations par le client. Grâce aux conteneurs RYOD (Run Your Own Defense), le client a accès via une machine virtuelle directement installée dans l’appliance à toutes les informations générées par le moteur d’analyse et est donc à même de réaliser ses propres tâches à haute valeur ajoutée.

GS Mag : En quoi est-ce novateur sur le marché de la sécurité ?

Eric Leblond : L’approche mixte NSM/IDS du moteur Suricata apporte à nos boîtiers une vision très claire et approfondie sur la réalité du réseau dans lequel ils sont déployés. Le reporting fourni par l’intermédiaire de nos tableaux de bords permet une analyse rapide et visuelle tant de la menace que de l’activité réseau. Il permet donc l’identification très rapide de la menace. Mais c’est sans doute l’utilisation de ces informations dans les conteneurs RYOD qui est une des innovations les plus intéressantes de nos équipements. Nos clients peuvent ainsi déployer leurs propres tâches d’analyse, comme par exemple des Indicator of Compromise ou un agent de collecte SIEM.

GS Mag : A quels segments de clientèle vous adressez-vous ?

Eric Leblond : Nous nous adressons principalement à des sociétés et organismes ayant des équipes de sécurité structurées. Il s’agit donc à ce jour de grands comptes. Mais nous sommes aussi persuadés que nos produits pourraient intéresser des MSSP, tant à cause des capacités de management multisites des appliances que des possibilités de personnalisation et la richesse offertes par les conteneurs RYOD.

GS Mag : Comment est organisé votre réseau commercial ?

Eric Leblond : À ce jour nous proposons à nos clients d’entrer directement en contact avec eux. Nous réfléchissons à la mise en place d’un réseau de partenaires intégrateurs pour la France et l’étranger, afin de pouvoir couvrir un périmètre commercial plus large, car nous sommes certains que la demande est présente aujourd’hui.

GS Mag : Quid de votre support technique ?

Eric Leblond : Le support technique est totalement pris en charge à ce jour par l’équipe actuelle de Stamus Networks. Là aussi, lorsque nous aurons un réseau d’intégrateurs, le premier niveau pourra être assuré par nos partenaires.

À noter toutefois que nous conserverons toujours le dernier niveau de support, en particulier parce que nous serons toujours très proches de l’équipe de développement de Suricata, dont nous faisons toujours partie.

GS Mag : De quelle manière devrait évoluer votre offre dans les mois à venir ?

Eric Leblond : Nous réfléchissons à une déclinaison de notre offre actuelle dans plusieurs directions. L’une d’elle est d’élargir la gamme pour supporter de manière concurrentielle les réseaux à plus faibles débits que le Go ou les 10 Go. L’autre consiste à proposer des boîtiers orientés vers les activités d’investigations, notamment pour les équipes de réponse sur incident.

GS Mag : Pour conclure, quel serait votre message à nos lecteurs ?

Eric Leblond : Le slogan de notre entreprise est « I Do See » et je suis persuadé que la visibilité et la compréhension du réseau est un point sur lequel les entreprises doivent progresser. Sans maîtrise de cette information, la détection des attaques et la réponse sur incident sont beaucoup plus difficiles et donc coûteuses.