La cybersécurité est un domaine ingrat. Le défenseur doit s’assurer que l’ensemble de son système est sécurisé, là où l’attaquant a besoin d’une unique faille pour atteindre son objectif. La gestion d’incident cyber implique de collecter et d’analyser minutieusement les journaux des différentes applications et serveurs, comment faire pour s’assurer de ne passer à côté d’aucune info clé ?

Dans l’épisode #21 du podcast Post Mortem, je reçois François Khourbiga et Thomas Raffineau Maréchal, les deux co-fondateurs de Defants – une solution d’investigation d’incidents de cybersécurité.

On revient sur ce qui les a poussés à entreprendre dans le domaine du cyber, leur vision de la gestion d’incidents cyber et la façon dont une startup peut pénétrer un domaine où les process sont bien ancrés et comment un nouvel outil et méthode peuvent trouver leurs places.

Bibliographie

• Defenders think in lists. Attackers think in graphs. As long as this is true, attackers win. 26 avril 2015, John Lambert, Distinguished Engineer, Microsoft Threat Intelligence. Billet de blog cité en ouverture de l'épisode.

• Mandiant, leader de la threat intelligence.

• Les différents rapports de l’ANSSI, excellente ressources, notamment : Rapport d’activité 2020, 2021, rapport Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique

• Une ressource pas cité explicitement dans l'épisode mais intéressant de connaître son existence : le MITRE - recense les modes opératoires de plusieurs organisations cyber. Utiles pour identifier un attaquant en fonction des traces qu'il a pu laisser sur le SI et déterminer un scénario d'attaque https://attack.mitre.org/resources/getting-started/

• EDR - Endpoint Detection and Response - en sécurité informatique, désigne une catégorie d’outils et de solutions qui mettent l’accent sur la détection d’activités suspectes directement sur les hôtes du système d'information, source wikipedia