00:03Je reçois aujourd'hui Olivier Arouss, fondateur PDG d'Ogo Security dans notre Focus Solutions.
00:10Bonjour.
00:11Bonjour.
00:11Alors vous, votre spécialité c'est la protection des applications web.
00:15Tout à fait.
00:15Qu'est-ce que ça a de différent par rapport au reste du système d'information en matière de protection
00:20?
00:20Quel défi spécifique ça pose ?
00:22Alors, Ogo c'est une société qui protège tout ce qui est site web, application web, API.
00:30Alors, il y en a des solutions évidemment sur le marché, beaucoup de solutions américaines principalement,
00:33mais nous on a pris les choses un peu à l'envers et on s'est dit qu'il fallait
00:37répondre à un besoin du marché
00:38qui est en gros les PME, les grosses ETI et les sociétés qui n'ont pas les ressources pour se
00:44protéger
00:45en leur proposant une solution à base d'IA et avec la promesse qu'il n'y ait pas de
00:49faux positifs à la fin,
00:50que ça marche entre guillemets tout seul et que l'IA fasse de l'analyse comportementale
00:54pour mieux protéger les applications web et les sites web.
00:57D'accord, mais pourquoi spécifiquement sur les applications web ?
01:01Qu'est-ce que ça engage comme problème particulier de sécurité ?
01:06L'application web fait partie des premières surfaces d'attaque en fait.
01:10Donc, quand vous avez un hacker qui essaie de rentrer dans une société,
01:13la première chose qu'elle va faire, c'est scanner les applications web,
01:19essayer de trouver des vulnérabilités, essayer de rentrer dans le système d'information
01:22via cette application, via même des API, et on a beaucoup entendu parler dans le passé
01:27d'API, donc d'échanges entre entreprises, entre partenaires et entreprises,
01:31qui s'étaient fait hacker parce qu'une des parties n'était pas sécurisée.
01:35Donc, il y a une obligation aujourd'hui avec le développement du web
01:38de sécuriser tout ce qui est application web, si on veut minimiser la surface d'attaque des entreprises.
01:44Et j'imagine que, comme dans tous les domaines, vous voyez les attaques augmenter, la menace croître ?
01:49Ah oui, oui, ça ne fait qu'augmenter, et avec l'apparition de l'IA, encore plus.
01:53On voit un gros trafic, même plus de 30% du trafic aujourd'hui qui est à base d'IA,
01:57et on voit beaucoup de nos sites protégés recevoir des attaques ou des tentatives d'attaque
02:03à base d'IA directement.
02:05Le cloud, c'est un moyen de mieux sécuriser ces applications,
02:11ou au contraire, c'est un problème supplémentaire ?
02:14Alors, le cloud, ça permet de rendre son application plus accessible, plus scalable, on va dire,
02:23mais ça veut dire qu'il faut se protéger encore plus,
02:25ça veut dire qu'il faut quand même mettre des barrières,
02:27que l'application soit dans les infras du client ou dans le cloud,
02:31il y a le même niveau, le même besoin de sécurité,
02:34parce que le cloud ne fournit pas, en tout cas les fournisseurs de cloud ne fournissent pas,
02:37ce n'est pas leur spécialité de fournir de la cyber en fait.
02:40Et aujourd'hui, les outils de sécurité des applications web sont adaptés aux nouvelles menaces ?
02:48Alors, de plus en plus, les anciennes, non.
02:51Soyons clairs, les anciennes, c'est je vois un attaquant ou je vois une requête
02:55où je réponds par oui ou par non.
02:58Aujourd'hui, nous, ce qu'on fait, c'est dire le oui et le non existent,
03:02mais il y a le peut-être aussi, qui nous permet de suivre l'attaquant
03:06dans son process d'analyse de l'application avant de faire son attaque.
03:10Et donc, on est capable aujourd'hui de ne pas faire de faux positifs,
03:13ce que font beaucoup d'anciennes solutions,
03:16et de suivre l'attaquant jusqu'à décider au dernier moment de le bloquer ou pas.
03:20Ce qui fait que, comme on analyse le comportement...
03:22C'est-à-dire qu'il est en peut-être, je continue à observer l'activité.
03:26Exactement. On le suit tout au long de sa vie au sein de l'application
03:29jusqu'à se dire, là, il va trop loin, on va le bloquer.
03:32L'avantage de cette philosophie, en fait, c'est qu'on est indétectable, finalement.
03:37Donc, plus dur pour les attaquants de nous reconnaître.
03:40Et comme on fait du comportemental sur l'utilisateur, sur l'IP d'utilisateur,
03:44on arrive à déterminer quel est le bon comportement
03:47que doit avoir un utilisateur face à l'application.
03:49Et ça nous permet d'être de plus en plus précis dans la reconnaissance de l'attaque.
03:54Mais enfin, avec l'intelligence artificielle aussi,
03:57ils apprennent à se comporter comme des humains non-attaquants, j'imagine ?
04:01Oui, mais ils utilisent toujours les mêmes systèmes.
04:03Et on retrouve toujours le même système d'attaquants
04:05qu'on a une IA aujourd'hui.
04:07Et le fait d'avoir, nous, une visibilité sur ce que font les bons utilisateurs
04:11face à l'application,
04:13on compare quelque part ce que font les bons.
04:15Donc, vous entraînez, vous aussi, des modèles ?
04:17Exactement.
04:17Sur les comportements des utilisateurs,
04:19ils sont différents selon les applications, selon les sites ?
04:24Oui et non.
04:25C'est-à-dire qu'on retrouve beaucoup de comportements à peu près identiques,
04:27mais après, en fonction du type d'application,
04:29les comportements changent.
04:30Mais comme on existe depuis 8 ans,
04:33donc l'avantage, c'est qu'on a une base d'informations assez forte,
04:36assez complexe, on a énormément de logs,
04:38donc on a une avance là-dessus,
04:39et ça nous permet de mieux déterminer les modèles des attaquants aujourd'hui,
04:43voire de détecter des attaques avant qu'elles soient annoncées sur le marché.
04:47Comment on fait ça ?
04:48On voit des comportements qui sortent de l'ordinaire,
04:51et on les bloque,
04:52alors que la vulnérabilité n'a pas encore été annoncée,
04:55ça nous est déjà arrivé une ou deux fois.
04:56Vous avez un exemple précis ?
04:58Il y en a un, c'était, je crois, Lock4j,
05:01c'était une attaque il y a deux ans, je crois,
05:03et tout le monde s'est réveillé un jour en disant
05:05il y a une faille, il y a une vulnérabilité,
05:07le jour même, il y a eu beaucoup d'attaquants,
05:08et en fait, on avait déjà bloqué les tentatives
05:10avant que tout ça soit annoncé.
05:11On ne savait pas que c'était cette faille-là,
05:13mais après, on a mis à jour nos systèmes
05:16pour annoncer c'était leur faille.
05:19Donc vous parlez en fait de boucliers adaptatifs, c'est ça ?
05:22Oui, tout à fait.
05:23Et sur la partie protection, justement,
05:27de ces applications web,
05:28aujourd'hui, il y a des obligations,
05:30il y a des règles à respecter ?
05:33Il y a pas de contraintes ?
05:35Alors, il y a les contraintes pour les grandes entreprises
05:36de se protéger,
05:37il y a toutes les normes qui existent aujourd'hui,
05:40que ce soit Nice 2, RGPD,
05:42qui oblige en gros les entreprises à se protéger,
05:44mais il n'y a pas plus de contraintes que ça.
05:46Oui, c'est pas plus décrit, en fait ?
05:49Non, mais la protection de l'application, finalement,
05:54tout Internet, toutes les sociétés,
05:56ont une visibilité sur Internet.
05:58Si vous ne protégez pas votre image sur Internet,
06:02c'est dommage pour vous.
06:03Donc ça devient une obligation par naissance,
06:05par induite, en fait,
06:07de se protéger directement.
06:08Ça, je pense que tout le monde en a conscience.
06:10Après, est-ce que tout le monde a conscience
06:11que les outils traditionnels
06:13ne sont plus forcément efficaces ?
06:15Ça, c'est autre chose.
06:16Mais après, il y a toute une évangélisation
06:17à faire encore sur l'utilisation de l'IA
06:19dans la cybersécurité.
06:21Merci beaucoup, Olivia Roux.
06:23Je rappelle que vous êtes le fondateur,
06:24le PDG d'Ogo Security.
06:26Merci pour ce Focus Solutions Ensemble.
06:28C'est l'heure de notre rendez-vous
06:30Culture Cyber.
06:31Merci.
Commentaires