Security Defense Business Review

View Original

Interview de Grégoire Germain - CEO d’HarfangLab

Cette interview a été réalisée lors des Assises de la Cybersécurité qui se sont tenues à Monaco du 13 au 16 octobre 2023    

SDBR News : HarfangLab* a reçu en 2019 le Prix du Comcyber des mains de la ministre des Armées. Que s’est-il passé depuis pour votre jeune entreprise ?

Grégoire Germain : En 2019 nous avions décidé de faire une solution EDR** d’excellence et c’est ce que nous avons fait, en mettant toutes nos forces dans cet objectif, sans nous disperser, et en concentrant nos moyens pour atteindre rapidement l’Excellence. Depuis 2019, il s’est passé beaucoup de choses. Nous avons levé des fonds en 2021 auprès d’Elaia, qui nous soutient toujours aujourd’hui, pour rendre le produit encore plus robuste et plus qualitatif. Nos équipes, qui ont été renforcées, ont été très investies sur le plan technique. Aujourd’hui, en 2023, nous avons franchi un nouveau “milestone” et je suis assez fier du chemin parcouru. Nous avons passé les tests de MITRE pour la première fois et les résultats nous placent à côté des grands noms avec 100% de détection. Nous sommes à l’état de l’art et nous aurons un million d’« endpoint » en protection d’ici fin 2023. HarfangLab compte aujourd’hui 90 collaborateurs et nous avons passé les 10 millions de revenus récurrents annuels. Aujourd’hui nous avons franchi une nouvelle étape et nous souhaitons vraiment être positionnés comme le leader européen de l’EDR.

SDBR News : Qu’entendez-vous exactement par « endpoint » ?

Grégoire Germain : Ce sont les ordinateurs, les machines virtuelles et les serveurs, le noyau central d’un système d’information, là où on trouve les informations en clair.

En ce qui nous concerne, c’est ce sur quoi nous concentrons nos capacités de détection et de réponse. L’agent HarfangLab y remonte de la télémétrie et/ou envoie des alertes vers un « data Lake » ou un manager, qui en général a besoin d’être supervisé par un prestataire de services et qui peut être un MSSP*** ou un SOC.

SDBR News : Qu’apporte l’EDR en plus des protections traditionnelles ?

Grégoire Germain : On observe à la fois une complexité des attaques, une vulgarisation de l’arsenal cyber (les armes numériques sont accessibles sur Internet) et une professionnalisation des attaquants, grâce à l’argent injecté par des mafias ou des Etats dans l’écosystème du piratage informatique. Tous les jours, de nouvelles menaces encore inconnues sont découvertes et détectées sur les postes, ce qui rend les antivirus traditionnels, qui fonctionnent sur le principe de signatures, vulnérables. L’EDR qui dispose de différents moteurs de détection, basés sur des IOC, des analyses comportementales et de l’IA, permet de repérer les comportements suspects et de remonter les attaques avant qu’elles ne pénètrent au sein du système d’information. Conclusion : sans EDR vous n’êtes pas bien protégés et vous n’avez pas suffisamment de préavis sur la menace pour pouvoir réagir plus rapidement.

SDBR News : Cela c’est en théorie, non ?

Grégoire Germain : La cybersécurité n’est pas qu’une question d’outils, les organisations en sont bien conscientes et nous aussi. C’est d’ailleurs pour cette raison qu’on a une approche 100% indirecte qui permet aux MSSP d’apporter un service de qualité aux entreprises qui consomment, elles, cette cybersécurité sous forme de services, de plus en plus fréquemment. Fournir les outils qui permettent de faciliter l’analyse et le travail de l’humain, c’est la clé.

Bien évidemment, pour que l’EDR fonctionne correctement, encore faut-il que quelqu’un regarde ce qu’il se passe, que l’EDR soit bien configuré, voire en mode blocage automatique comme nous le proposons, et qu’il soit installé partout dans l’organisation. L’EDR est positionné sur le « endpoint » mais a la capacité de regarder le réseau pour voir ce qui entre et sort du endpoint à l’instar d’une sonde réseau. Cependant nous ne remplaçons pas le NDR**, qui apporte une visibilité à ce qui se passe sur le réseau, mais nous sommes complémentaires.

SDBR News : La version 2023 de votre EDR est-elle toujours la même que la version 2020 ?

Grégoire Germain : Le produit a bien sûr été énormément développé. Le cœur du sujet de la détection est en perpétuel mouvement pour s’adapter aux évolutions des attaquants. Pour avoir un temps d’avance sur les menaces inconnues, nous avons développé depuis 3 ans un département IA, avec des chercheurs qui ont mis au point des algorithmes pour pouvoir faire du prédictif en se nourrissant des nouvelles télémétries, grâce à des moteurs de détection améliorés. Nous avons créé de nouvelles télémétries pour que les modèles puissent s’entrainer et gérer de nouvelles choses, dans des buts d’anticipation des menaces : analyser les comportements de la machine, de l’utilisateur et du système proprement dit. Depuis 3 ans, nous avons tout redéveloppé en langage RUST pour obtenir plus de performances, plus de robustesse et moins de consommation de ressources sur le poste. C’est ce qui a permis la certification et probablement demain la qualification de notre produit par l’ANSSI.

SDBR News : La certification ANSSI vous a-t-elle permis d’accéder aux marchés de la DGA ?

Grégoire Germain : Absolument. Le Minarm est notre client dans un tas de domaines. Nous avons construit une relation de confiance avec nos clients pour comprendre leurs enjeux. Cela nous a amenés à proposer une architecture de déploiement unique et flexible, du cloud (OVH) au « on-premises ». Cependant, nous sommes « cloud agnostic » et si l’espace de confiance du client est chez Amazon, nous l’accompagnons. Mais si son espace de confiance est à l’intérieur de son réseau et protégé, comme c’est le cas du Minarm par exemple, nous lui fournissons une solution isofonctionnelle « on-premises ». Nous sommes les seuls à le faire et cela nous a permis de gagner l’essentiel du secteur de l’industrie de défense (Safran par exemple), les ministères, des collectivités territoriales et des hôpitaux... La solution est facilement intégrable par nos 40 partenaires : par exemple, Advens, Cap Gemini ou Orange Cyberdéfense.

SDBR News : Qu’entendez-vous par intégrable ?

Grégoire Germain : Nous avons conçu notre solution de façon à ce qu’elle soit facilement intégrable par nos partenaires, pour leur permettre de créer un maximum de valeur tout en apportant un service de qualité. Cela signifie qu’ils peuvent intégrer notre EDR à leur SOC facilement et qu’on fonctionnera quels que soient les autres briques technologiques intégrées sur ce SOC. Nous avons fait le pari de la transparence avec eux, sur la configuration du produit et sur leur capacité à récupérer toutes les données pour les faire remonter. Les partenaires ont apprécié et nous sommes aujourd’hui tirés par le business des entreprises privées (PME, ETI) grâce à eux.

SDBR News : Avez-vous une stratégie de diversification ?

Grégoire Germain : Nous réfléchissons à nous positionner éventuellement sur la protection des « workloads cloud » et des conteneurs. Techniquement, pour nous il est tout à fait possible de mettre un agent sur les conteneurs. Mais au plan commercial, c’est rarement la même personne de l’entité qui traite la sécurité du Cloud et la sécurité du « endpoint », ce sont deux personnes séparées. Y aura-t-il convergence et vont-ils se rejoindre dans le futur ? C’est possible. Donc stratégiquement nous souhaitons nous positionner. La question est de savoir si nous le faisons nous-mêmes ou bien si nous travaillerons avec un partenaire pour intégrer une brique technologique tierce. Nous verrons bien.

SDBR News : Vous venez d’opérer une levée de fonds de 25 millions d’euros. Pour quoi faire ?

Grégoire Germain : Grâce à nos investisseurs qui nous font confiance aujourd’hui avec cette levée de fonds, nous allons continuer à investir dans la recherche et le développement. Cette levée de fonds n’a pas été faite pour favoriser des acquisitions, mais pour franchir une nouvelle étape dans la commercialisation et la valorisation de notre solution en Europe, en mode agile : Allemagne, Autriche, Suisse et Benelux. Nous avons des partenaires sur qui nous appuyer pour ce développement européen. Nous continuerons à privilégier une stratégie raisonnée, sur nos trois axes: excellence technologique et innovation, privilégier nos partenaires pour les aider à créer de la valeur, confiance et autonomie stratégique.

* https://harfanglab.io

**EDR: Endpoint Detection and Response - NDR: Network Detection and Response

*** MSSP : Managed Security Service Provider - SOC : Security Operation Center

**** RUST https://www.rust-lang.org/fr

Crédit photo: GSM