• La solution est alimentée par la base de connaissance des menaces d’Orange Cyberdefense pour identifier précisément la nature des attaques.
• Les caractéristiques de ThreatNet sont une capacité de traitement décentralisé de données importantes, la vélocité et la précision dans l’identification des menaces.
Les enjeux de souveraineté numérique et de protection des données sont cruciaux pour les entreprises de toutes tailles. C’est dans ce contexte que les experts en cybersécurité d’Orange ont développé ThreatNet, en démonstration à Orange OpenTech.
La solution ThreatNet analyse l’activité du réseau interne en continu pour identifier toute menace potentielle en temps réel.
Surveiller l’activité du réseau interne en continu
ThreatNet est une sonde d’analyse de flux conçue pour assurer la protection du réseau interne du groupe Orange. Cette solution de cybersécurité analyse de façon continue l’activité du réseau IT dans son ensemble. Pour ce premier cas d’usage, elle contrôle l’ensemble des requêtes (entre dix et cent mille événements par seconde). Fuite de données (dataleaks), rançongiciels (ransomwares) ou autres logiciels malveillants (malwares) : en analysant l’ensemble du trafic DNS interne, ThreatNet détecte toute activité anormale sur le réseau de l’entreprise et l’identifie en temps réel avec précision. Les superviseurs reçoivent instantanément une information qualifiée sur la nature de la cybermenace. Cette dernière étant associée à l’adresse IP d’un ordinateur ou tout autre équipement actif sur le réseau interne de l’entreprise, les équipes en charge de la sécurité des flux peuvent réagir efficacement, préservant ainsi l’intégrité du réseau.
Mathieu Langlais, concepteur du projet ThreatNet, explique : « ThreatNet est un outil d’analyse en périphérie de réseau ( ) capable d’identifier toute menace connue par une base de cybermenaces (threats). C’est une sonde capable de croiser l’activité du réseau avec des bases de threats de plusieurs millions d’entrées pour signaler toute anomalie ou attaque. Son objectif premier est de remonter les évènements pertinents. Nous souhaitions émettre uniquement des signaux qualifiés, correspondant à une cybermenace avérée. En interne nous avons ainsi pu empêcher plusieurs attaques en les identifiant rapidement. Modulaire, la solution sait identifier tous les noms de domaine proches de celui d’Orange, identifier des domaines de type « » (« Dynamic Generation Algorithms »), créés avec un algorithme pour des besoins cyber éphémères. »
Rapide grâce à Rust et efficace avec le datalake d’Orange
Les scénarios d’analyse sont construits à partir de briques élémentaires. On peut ainsi créer ou ajuster ses scénarios analysés au gré des besoins sans repasser par la case développement en langage . D’autre part, ThreatNet est alimenté par le Datalake d’Orange Cyberdefense, une base de données dédiée à la connaissance des cybermenaces. Ce datalake alimente ainsi la sonde au fil des signalements et sans délai. Cette combinaison apporte des bénéfices concrets en termes de réactivité pour lutter efficacement contre les menaces.
Un développement itératif, collectif et évolutif
Incubé au sein de la Cyberfactory d’Orange qui regroupe des experts, chercheurs en cybersécurité et développeurs, ThreatNet est le fruit d’une maturation faite d’itérations successives et de synergies internes… Mathieu Langlais revient sur ce processus d’innovation : « Repartant d’une page blanche après un projet qui avait pour vocation d’identifier le taux d’infection de notre réseau, j’ai souhaité réutiliser les travaux issus de la solution DiagNet dédiée à la qualité de service réseau. Je me suis demandé dans quelle mesure on pouvait valoriser ce socle logiciel mature pour faire de l’analyse en cybersécurité. J’ai alors lancé une phase d’exploration en créant des nouveaux composants d’analyse spécifique aux traitements cyber. Avec ces nouvelles briques logicielles (« Temporal Event Sequence Summarization »), codées en Rust, la solution est devenue compatible avec notre écosystème cyber. Nous étions sur la bonne voie car nous avons hérité de composants de traitement ultra efficaces et complètement matures. Aujourd’hui, nous travaillons également avec les équipes cyber d’Orange de Caen, en charge de la partie exploratoire du datalake opéré par Orange Cyberdefense. »
Orange France a ensuite choisi le projet pour assurer la surveillance du réseau de l’entreprise, explique Philippe Calvet, manager au sein de la Cyberfactory : « ThreatNet est une co-innovation entre la Cyberfactory, les équipes sécurité d’Orange France et Orange Cyberdefense pour la partie base de menaces. C’est un projet qui illustre parfaitement notre dynamique de travail : on ne travaille pas en silo mais en équipe intégrée. Cette approche transverse nous permet de faire évoluer la solution vers de nouveaux usages, auxquels nous n’aurions pas pensé dans un cadre de travail plus classique. Nous sommes surtout à l’écoute des besoins en provenance du terrain, en particulier Orange France. En croisant les innovations des domaines réseaux et cyber, nous pouvons offrir des solutions pour sécuriser notre Groupe. Elles pourraient être déployées à terme pour protéger les clients entreprise, en France et à l’international. »
L’informatique en périphérie de réseau est localisée au plus près du besoin final, à l’opposé d’un hébergement cloud distant.
« Dynamic Generation Algorithm ». Un algorithme conçu pour générer dynamiquement des solutions ou des données.
Mathieu Langlais
