Close

Harfang Lab, HarfangLab, plateforme de détection et de neutralisation des cyberattaques

 

Entretien avec Xavier Boreau, Directeur général délégué

 

La société

 

Créée en avril 2018, la société HarfangLab est composée d’une équipe de 6 experts anciens de l’ANSSI, du ministère des Armées et de grands acteurs privés de la cybersécurité spécialistes de lutte informatique.

 

En partenariat avec la société Gatewatcher, leur solution d’investigation numérique à distance Hurukai a remporté en 2019 le défi cyber du ministère des Armées.

 

 

La technologie

 

Reflétant une approche intégrée de la cybersécurité sur les terminaux et serveurs d’un parc informatique, cette solution permet de combiner des capacités de :

  • Détection (Remontée automatique d’informations des terminaux) ;
  • Investigation (Qualification d’un incident de sécurité) ;
  • Remédiation (Ciblage et élimination d’une menace).

 

Cette solution, duale par nature, est utilisable à la fois par les acteurs de la défense et par les acteurs civils, notamment dans les secteurs dits critiques ou stratégiques pour les opérateurs d’importance vitale (OIV) ou les opérateurs de services essentiels (OSE). Elle est ainsi utilisée à la fois par les RSSI comme instrument de maîtrise des risques et par les SOC et CSIRT comme un outil de détection des compromissions et d’appui à l’analyse dans le cas d’un incident de sécurité.

 

Cet outil se positionne ainsi sur le marché des EDR (Endpoint Detection and Response) qui est en forte croissance et traditionnellement dominé par des sociétés basées aux États-Unis.

HarfangLab se distingue par une solution :

  • conçue initialement pour être déployée au sein de l’infrastructure du client, c’est-à-dire « on premise», ce qui garantit ainsi à l’utilisateur le stockage en interne de ses données plutôt qu’un stockage sur un cloud externe pouvant être hébergé à l’étranger comme c’est le cas dans la plupart des solutions EDR américaines,
  • flexible, capable de fonctionner hors ligne et à distance, ce qui constitue un véritable avantage dans certains contextes opérationnels,
  • intuitive qui permet de baisser le niveau de qualification requis pour utiliser toutes les fonctionnalités.

 

Hurukai se distingue aussi par plusieurs technologies et dispositifs innovants

 

Les innovations

 

  1. Une solution ouverte, caractérisée par la connexion native avec les sondes de Gatewatcher, qui permet d’enrichir automatiquement les alertes de la sonde réseau par les données de télémétrie issues de l’EDR afin d’accélérer la détection et la qualification des compromissions ;

 

  1. Une plateforme d’investigation collaborative qui permet d’associer experts confirmés et opérateurs, à la fois sur les volets « analyse » et « qualification » des alertes, mais aussi dans le cadre d’activités de cyberdéfense comme le hunting (recherche de compromission proactive). Ce dispositif permet un gain de temps et d’efficacité. Il facilite la formation et la montée en compétences des opérateurs moins expérimentés.

 

  1. Une solution intégrée qui couvre l’ensemble de la chaîne, de la détection à la remédiation en passant par l’investigation.

 

  • Détection: la présentation des alertes sous forme d’arbres de processus permet de visualiser simplement les alertes. Un rapprochement automatique avec une base de renseignement sur la menace (Threat Intelligence) et le modèle MITRE ATT&CK apporte de la contextualisation à ces alertes.
  • Investigation: le moteur d’analyse et de collecte intègre continuellement de nouveaux éléments techniques pour détecter les nouvelles menaces et les moyens de persistance. L’interface avec des outils tiers (base de réputation de malwares, sandbox…).
  • Remédiation: l’utilisateur peut déclencher des opérations active pour neutraliser des menaces sur des terminaux ciblés (isolation) ou sur des groupes (neutralisation de process en mémoire, effacement de fichiers, modification de registres…).

 

 

Perspectives

 

  • En février 2019, HarfangLab a été choisie par le comité de sélection du Village by CA Paris pour intégrer, avec 8 autres startups son programme d’accélération de 2 ans.
  • En juin 2019, La solution d’HarfangLab a été sélectionnée par le jury des Assises de la cybersécurité parmi les trois solutions les plus innovantes sur plus de 20 candidatures.