Trouver une aiguille dans une botte de foin, analyser les fameux « minority reports » car ce sont précisément ces anomalies imperceptibles dans les flux qui caractérisent une probable activité anormale, une menace, permanente ou soudaine. En d’autres termes, Red Owl est spécialisée dans l’analyse des métadonnées au sein de flux et de stockages très importants (bigdata) générés par une entreprise. De manière sommaire, Reveal (c’est ainsi qu’a été baptisé le produit phare de cette start-up) affiche sur un tableau de bord qui sont les personnages et documents importants, les périodes d’activités, les comportements et les échanges entre individus au sein d’un même réseau. Les traces du logiciel sur l’analyse des contenus et les périodes d’activités sont exploitables en cas de recherche de preuve (analyse forensique), pointe du doigt les conséquences de failles de sécurité ou de conformité (notamment en matière de gestion de droits d’accès) et peuvent servir de base à l’optimisation du management et de l’analyse organisationnelle du S.I.
Mais Red Owl n’était pas la seule jeune pousse remarquable dans la« Sandbox » de la RSA Conf. Sur les dix entreprises présentes, la majorité était constituée de spécialistes de la détection/prévention de menaces. Ainsi White Op, chasseur de BoTnets, qui fournit aux professionnels du e-business (marketing, spammeurs légaux etc.) des moyens d’analyse portant sur l’efficacité de leur trafic IP. Le programme génère également des histogrammes impressionnants destinés aux « clients » ayant sous-traité leur campagne promotionnelle.
Cylance travaille plus ou moins dans le même secteur, celui de l’analyse des flux massifs et la détection d’infimes variations à des fins de détection de malwares. « Notre modèle de fonctionnement ne repose pas, à l’instar de ses concurrents, sur une classification des « bons » et des « mauvais » logiciels ou contenus, mais sur un traitement mathématique et statistique des données en flux ou stockées ». Le catalogue Cylance est déjà riche d’un outil de protection du poste de travail, d’un système de collecte de preuves et d’un outil de défense à réaction instantanée de menaces (APT/ZDE, destiné aux grands SOC d’entreprises). En préparation, un « cordon sanitaire pour site e-commerce », sorte de logiciel de détection chargé de signaler les navigateurs infectés par un cheval de Troie et susceptibles de compromettre un service Web.
Defense Net appartient à la nouvelle génération des entreprises spécialisées dans la « défense musclée ». On ne parle pas de contre-attaque, mais de résistance/résilience aux attaques en déni de service distribuées. L’entreprise propose même une infrastructure de secours qui fonctionnera en cas d’écroulement des premières lignes de défense (si celle-ci a été déployée auparavant). Les attaques en déni de service sont en constante augmentation, visant essentiellement d’ailleurs les infrastructures… de communication, et notamment les opérateurs télécom.
Light Cyber pratique la religion de la « détection prédictive d’intrusion ». La jeune entreprise commercialise notamment des appliances situées à proximité des équipements de réseau (LAN) qui détectent les postes client compromis et engage une procédure de remédiation. Les détails de l’attaque sont remontés vers un logiciel de traitement qui fournit à son tour une image globale de la santé du réseau et son éventuel état de compromission. Un service Cloud, de son côté, émet les mies à jours des appliances Light Cyber (des « analyses, pas des signatures ! Insistent les concepteurs du système)
Egalement présentes, Skycure, un nouveau venu dans le monde de la protection Byod, et surtout Co3 systems, un spécialiste de l’automatisation de réponse sur incident qui a récemment nommé Bruce Schneier au poste de CTO, peu de temps après son départ fracassant de BT.