Renforcer la résilience cyber en Afrique : Comment HarfangLab aborde les défis de cybersécurité sur le continent

David DUFOURCQ

Dans un monde numérique en évolution rapide, les menaces cybernétiques ne cessent de croître en fréquence et en sophistication. Pour les organisations africaines, la résilience cyber est devenue un enjeu majeur alors qu'elles naviguent dans un environnement géopolitique de plus en plus complexe, et font face à des attaques sophistiquées, des pénuries de talents en cybersécurité, et un manque global de ressources.

Dans cette interview exclusive, David DUFOURCQ, Responsable du développement business d’HarfangLab en Afrique partage la vision stratégique de l’entreprise et les solutions innovantes développées pour aider les organisations africaines à renforcer leur posture de sécurité et à se défendre efficacement contre les menaces actuelles. Des solutions avancées en sécurité des terminaux (EDR) au monitoring IT, en passant par les partenariats locaux avec les MSSP, HarfangLab propose une approche complète et personnalisée pour répondre aux défis cybernétiques uniques du continent africain.

Africa CyberSecurity Mag : Pouvez-vous résumer la vision stratégique d'HarfangLab pour le continent africain, et comment votre approche s'aligne-t-elle sur les besoins spécifiques des organisations africaines en matière de cybersécurité ?

David DUFOURCQ : HarfangLab a pour mission d’aider les organisations à ne plus se faire surprendre par la réalité des cybermenaces actuelles. La croissance des cyberattaques, et leur sophistication ne cesse de croitre et cible les organisations stratégiques internationales à des fins financières, géopolitiques, économiques, etc. Selon plusieurs études récentes, le Maroc se positionne comme l’un des pays au monde les plus ciblés au monde par les cyberattaques, ce qui s’explique aussi par son dynamisme économique. 

Depuis 2023, et sa dernière levée de fonds, HarfangLab mène une stratégie de développement à l’international et compte tenu de ce contexte, ainsi que de la maturité du Maroc d’un point de vue cyber, le Royaume s’est présenté comme une région prioritaire pour notre développement.

C’est pourquoi nous sommes ravis de venir à la rencontre des partenaires MSSP et des organisations publiques comme privées lors de l’événement SIT Africa, qui se déroule à Marrakech du 13 au 16 mai. 

Nous avons conçu nos solutions sur des bases solides de performance, de confiance, et d’intuitivité afin d’offrir aux organisations la possibilité de sécuriser leurs terminaux avec des technologies à l’état de l’art, sans compromis sur la confidentialité de leurs données, leur autonomie et leur indépendance vis-à-vis des éditeurs. Le Maroc valorise grandement la souveraineté numérique, notamment dans le contexte de l’Atlas Cloud Service et notre expertise est d’autant plus légitime pour apporter une réponse technologique à ces ambitions. 

Africa CyberSecurity Mag : Quels sont les défis les plus courants auxquels les entreprises africaines sont confrontées dans le domaine de la cybersécurité, et comment HarfangLab répond-il à ces enjeux ?

David DUFOURCQ : Selon le rapport d'évaluation des cybermenaces d'Interpol de 2023, le Maroc est le pays africain le plus touché par les trojans bancaires et stealers, le deuxième le plus ciblé par les attaques de ransomwares (8 % de toutes les attaques détectées). Le risque cyber est la priorité numéro 1 des risques à traiter pour les entreprises marocaines en 2024. 

La montée en résilience des entreprises marocaines, et globalement à l’échelle internationale, est indispensable et urgent compte tenu de la croissance des activités et des actifs numériques, et en parallèle, de la cybercriminalité et des attaques. Les nouvelles technologies apportent en même temps de nouvelles vulnérabilités pour les entreprises, et à la fois des opportunités pour le secteur de la Défense. 

HarfangLab est une entreprise spécialisée dans la protection des endpoints, à savoir le système nerveux d’un système d’information. De par ses solutions, et les technologies embarquées (l’intelligence artificielle, les moteurs de signature, comportementaux, etc.) notre solution permet de détecter, bloquer, et répondre aux cyberattaques connues comme inconnues. Mais ces technologies nécessitent des experts capables de prioriser les alertes et prendre les bonnes décisions. C’est pour cette raison que nous travaillons surtout de manière indirecte, avec des entreprises MSSP qui connaissent leurs clients, disposent d’experts pointus, et peuvent ajouter une couche de service aux technologies en tant que telles. Nous sommes convaincus que c’est l’approche la plus pertinente pour répondre aux défis actuels de montée des attaques, et de manque de ressources pour y faire face. 

Africa CyberSecurity Mag : Pouvez-vous nous parler des investissements en recherche et développement que vous avez fait pour mieux répondre aux menaces cyber spécifiques à la région ?

David DUFOURCQ : Notre entreprise dispose d’un fort ADN technique, et nous sommes convaincus que l’innovation, et le développement continu de nos capacités technologiques nous permettront de continuer à répondre aux enjeux de cybersécurité de nos clients sur le long terme. C’est pourquoi plus de 60% de nos effectifs sont dédiés à la recherche et au développement. 

Parmi les vecteurs sur lesquels nous avons le plus investi depuis notre levée de fonds : 

  • La Threat Intelligence : La CTI permet de déployer des règles de détection, basées sur la connaissance de la menace pour affiner perpétuellement les capacités de nos outils. Dès que des IoC (indicateurs de compromission) sont relevés, les indicateurs sont ajoutés à notre moteur de signature afin de contrer les fichiers identifiés comme malveillants. 
  • Depuis 2023, nous avons également recruté une équipe de chercheurs d’élite, qui permet d’observer les tactiques, techniques et cibles des groupes d’attaquants (et notamment des acteurs APT). Leurs travaux mènent à des rapports, qui permettent de faire monter en connaissances l’écosystème global de la cybersécurité, et accroissent la contribution d’HarfangLab à une mission plus globale de lutte contre les cybermenaces, d’où qu’elles viennent et quels que soient leurs objectifs.  
  • L’Intelligence Artificielle : Notre équipe en intelligence artificielle développe un de nos moteurs de détection (notre solution embarque cinq (05) moteurs de détections complémentaires) qui permet notamment de détecter des menaces encore inconnues, basées sur des comportements suspects par exemple. La combinaison du machine learning et du deep learning permettent d’affiner la détection et de réduire la quantité de faux positifs, afin d’accroitre l’efficacité des analystes. À l’avenir, dans notre moteur antivirus, l’IA permettra aussi d’agir automatiquement pour bloquer des cyberattaques, ou encore de produire des rapports détaillés sur les incidents.
  • La technicité du produit en tant que telle : nous développons en RUST qui est un langage à la fois robuste et léger, pour permettre de consommer le moins de CPU possible sur les postes des entreprises. Ce, afin de ne pas faire de compromis entre sécurité et efficacité des métiers


Africa CyberSecurity Mag : Quels types de campagnes APT (Advanced Persistent Threats) ont été observés récemment en Afrique, et comment les organisations peuvent-elles s'en protéger ?

David DUFOURCQ : Les attaques APT sont menées généralement par des acteurs disposant de gros moyens, et bien souvent sponsorisées par des États. Elles ne représentent qu’un pourcentage infime de toutes les cyberattaques répertoriées quotidiennement, mais sont souvent très médiatiques, très subtiles, et peuvent être lourdes de conséquences. Les attaques APT sont ciblées et mènent souvent des objectifs servant des intérêts régaliens « adverses » : espionnage, collecte et fuite d’information sensibles, sabotage, déstabilisation. 

Récemment, nos chercheurs ont rédigé un rapport sur un acteur APT, MuddyWater, réputé pour être proche du renseignement iranien, et qui a mené de nombreuses activités au Moyen-Orient et en Afrique. Ils sont connus pour compromettre des logiciels de Remote Management and Monitoring légitimes pour ensuite prendre le contrôle des appareils des victimes. Entre octobre 2023 et avril 2024, les victimes identifiées de cette campagne, que les chercheurs de HarfangLab estiment n’être qu’une petite partie de l’ensemble de la victimologie, sont des compagnies aériennes, des sociétés informatiques, des sociétés de télécommunications, des sociétés pharmaceutiques, des fabricants automobile, des sociétés de logistique, des sociétés de voyage et de tourisme, des services d’immigration et des petites entreprises en Israël, Algérie, Inde, Turquie, Italie et Égypte.

Malheureusement, il est toujours difficile pour les organisations de détecter les attaques APT, et dans le cas de Muddywater, l’utilisation abusive des logiciels RMM, en particulier lorsqu’ils sont identifiés comme étant légitimes. Si l’organisation ne surveille pas étroitement l’utilisation de ces logiciels, ou si elle ne les bloque pas complètement, il est probable que l’infection initiale ne sera pas détectée. Nous ne pouvons que recommander vivement aux entreprises de sensibiliser leur personnel à être très prudent avec les courriels contenant des liens, et à prêter attention aux tentatives d’hameçonnage. 

De manière générale, les règles de cyber-hygiène de base de maintenir les logiciels à jour, de patcher les vulnérabilités identifiées, et d’utiliser des solutions de cybersécurité (et de les paramétrer et opérer correctement) ne peuvent qu’être encouragées. Utiliser des services, ou lire à minima des rapports de threat intelligence pour rester informés sur les menaces ciblant son type d’organisation est également une bonne manière d’anticiper les risques les plus plausibles et de prendre les mesures adéquates. 

Africa CyberSecurity Mag : Comment les avancées en intelligence artificielle sont-elles intégrées dans vos solutions pour aider les entreprises à faire face aux menaces croissantes ?

David DUFOURCQ : Outre la détection de menaces connues, un EDR sait identifier les menaces inconnues, qui ne sont pas répertoriées dans les bases de virus, et c’est notamment grâce au concours de l’Intelligence Artificielle. En effet, l’IA a vocation à compléter le travail de détection des moteurs Indicateurs de compromission, basés sur signature, comportementaux, etc. ces algorithmes sont régulièrement réentraînés afin d’être en permanence adaptés à la réalité de la menace, évolutive elle-aussi. Dans cette optique, grâce à l’automatisation de la mise en production des modèles d’apprentissage, le niveau de protection des terminaux est assuré en continu et suit l’évolution du paysage de la menace cyber. 

Nos solutions ont pour vocation d’aider les analystes à être les plus efficaces possible dans leur travail de protection et de management des outils de cybersécurité. C’est notamment dans ce cadre que l’intelligence artificielle, et les LLM, peuvent être excessivement utiles pour mener des actions de routine au niveau de la détection, du blocage et de la réponse aux incidents de cybersécurité. L’automatisation d’un certain nombre de tâches, permise par l’IA, permet aux experts de se concentrer sur les actions à plus forte valeur ajoutée et sur les menaces qui pèsent lourdement sur leur organisation. 

Africa CyberSecurity Mag : Pourquoi la sécurité des terminaux est-elle une priorité pour HarfangLab, et comment votre nouvelle suite de protection répond-elle aux besoins de résilience des organisations africaines ?

David DUFOURCQ : La mission d’HarfangLab, depuis sa création, c’est d’offrir aux organisations des outils de cybersécurité aussi performants que les outils utilisés par les cyberattaquants. Parce que nous identifions le endpoint comme le cœur névralgique du système d’information, HarfangLab développe un logiciel EDR. Avec l’évolution du paysage des menaces, et des besoins des organisations, nous avons souhaité adresser la problématique de la sécurité dans son ensemble, en réponse à la réalité des besoins de nos partenaires et en lien avec nos convictions, et capacités technologiques. 

Aujourd’hui, notre monde est en tensions. En plus des conflits armés qui se poursuivent, c’est aussi une guerre informationnelle parfois discrète, mais souvent redoutable. C’est l’utilisation des outils cyber pour déstabiliser, désinformer, espionner, perturber des organisations, ou pour bénéficier d’avantages compétitifs, permettant d’asseoir la domination de certains, entreprises comme États ou la soumission d’économies tout entières. C’est pourquoi il est plus que jamais crucial de proposer des technologies à la fois efficaces et qui garantissent l’autonomie des organisations. Sujet au cœur aujourd’hui des préoccupations au Maroc, qui légitime la possibilité de choisir un déploiement d’outils de cybersécurité au sein d’un cloud plutôt qu’un autre, d’une approche SecNumCloud, ou directement dans sa propre infrastructure.

Africa CyberSecurity Mag : Comment les nouvelles offres de monitoring IT d'HarfangLab peuvent-elles aider les entreprises africaines à avoir une meilleure visibilité sur leur surface d'attaque ?

David DUFOURCQ : Cette offre d’IT monitoring, complémentaire à notre solution EDR permettra d’offrir de nouvelles fonctionnalités clés pour protéger les actifs des organisations. Il permettra donc de lutter contre le Shadow IT en détectant tout nouveau endpoint ou application non répertoriés afin de garantir un contrôle de son réseau. Ensuite, un scan de vulnérabilités permettra aussi d’identifier les failles éventuelles pour mieux comprendre où se trouvent les points faibles du parc informatique, et définir la surface d’attaque, et ce, pour mieux pouvoir prioriser les actions de sécurité. Enfin, il permettra de mener des audits en continu, pour obtenir une visibilité rapide sur son parc informatique. L’agent permettra d’évaluer les progrès en matière de sécurité, encore une fois, pour mieux prioriser les actions urgentes à mener dans un objectif de résilience cyber. 

Africa CyberSecurity Mag : Face à la pénurie mondiale de talents en cybersécurité, comment les solutions d'HarfangLab aident-elles les entreprises à maximiser l'efficacité de leurs équipes existantes ?

David DUFOURCQ : Notre approche de cybersécurité permet d’apporter un élément de réponse à ce manque de compétences, en permettant aux entreprises d’externaliser la gestion de leur cybersécurité, ou de leur SOC complet, auprès d’entités spécialisées, disposant d’experts formés, et d’outils de mutualisation de la gestion des clients. Ensuite, notre outil est designé pour être le plus simple possible, pour apporter le plus de contexte possible aux analystes pour que ces derniers puissent se concentrer sur les tâches les plus critiques dans leur gestion de la sécurité au quotidien. Nos technologies sont conçues pour être le meilleur allié des experts, afin qu’ils puissent être les plus efficaces possibles, perdre le moins de temps et d’informations possibles et continuer à monter en compétences. 

En dehors de nos solutions, nous sommes aussi investis dans la formation : à la fois des experts à nos outils, et à la fois des futurs experts en cybersécurité. Nous sommes partenaires de plusieurs écoles supérieures auprès desquelles nous fournissons outils, et formations de la part de nos experts, nos salariés. En fournissant également des capacités de renseignement sur la menace, nous œuvrons pour accroitre les connaissances globales du paysage de la menace et ainsi décupler l’efficacité des organisations à se défendre contre les attaques ciblées sur leur secteur d’activité. 

Africa CyberSecurity Mag : Quelles sont les opportunités pour les MSSP (Managed Security Service Providers) et les autres partenaires locaux de collaborer avec HarfangLab pour apporter des solutions aux organisations africaines ?

David DUFOURCQ : Nous sommes convaincus que pour répondre aux enjeux actuels de cybersécurité, la parfaite combinaison entre la technologie, l’humain et la proximité est la meilleure approche possible. C’est dans ce cadre que nous prônons la cybersécurité as a service, et que nous commercialisons notre offre uniquement via des partenaires MSSP, qui pourront, eux, ajouter une vraie valeur ajoutée de service, adaptée à la réalité du client, qu’il connait parfaitement, sur une solution à la fois robuste et souple. 

Notre objectif, est que les partenaires MSSP puissent bénéficier du meilleur outil possible pour apporter de la valeur à leurs clients. Nos solutions sont intuitives, permettent d’augmenter les compétences des analystes et sont personnalisables en fonction des besoins et exigences du client.
 
Nous proposons ainsi aux MSSP d’intégrer notre EDR dans des offres SOC, SCIRT et MDR. Nos outils permettent d’accroitre la réactivité des analystes dans la réponse à incident grâce à la mise à disposition des instances rapidement après incident, à une résilience de l’EDR qui évite la compromission additionnelle. Le MSSP peut également écrire ses propres règles pour adapter la réponse à la réalité des menaces de l’entreprise pour ne faire aucun compromis entre l’efficacité métier et la sécurité. 

Africa CyberSecurity Mag : Comment vos solutions s'adaptent-elles aux exigences de souveraineté et d'autonomie stratégique, en termes de déploiement dans des environnements cloud et sur site ?

David DUFOURCQ : Nos solutions ont été conçues, by design, pour être déployées et efficaces dans toutes les architectures possibles. Notre vision, c’est que le client est le mieux placé pour décider quel est son espace de confiance, quelle architecture correspond à son besoin, à ses valeurs, à ses exigences. Les solutions Harfanglab sont aujourd’hui les seules à pouvoir être déployées, à fonctionnalités identiques dans n’importe quel cloud : public, ou privé, ou au sein même de l’infrastructure du client (on-premise). De la même manière, parce que nous estimons que l’infrastructure de sécurité d’un client dépend de chacun, nous avons déployé une solution flexible et 100% APIsable, qui peut être connectée avec la plupart des technologies leaders du marché. Nous ne demandons pas au client de s’adapter à nous pour pouvoir bénéficier d’une sécurité optimale, nous nous adaptons à lui. 

Africa CyberSecurity Mag : Quelle est la stratégie d'expansion d'HarfangLab en Afrique pour les prochaines années, et comment l'entreprise prévoit-elle de s'intégrer davantage dans l'écosystème cyber régional ?
 

David DUFOURCQ : Pour l'Afrique, nous priorisons pour le moment le développement de partenariats robustes au Maroc, qui devraient ensuite nous ouvrir les portes d’autres marchés africains dans un second temps. Nous avons toujours préféré une approche par petits pas, pragmatique, en tissant les bons partenariats, et en démontrant notre capacité à répondre aux besoins d’un marché, d’entreprises sensibles etc. 

Nous proposons une approche et des solutions en ligne avec les ambitions et les exigences des entreprises marocaines, et espérons réussir à les convaincre de nos valeurs communes, et de notre pertinence technologique. Grâce à des partenariats stratégiques avec des entreprises qui rayonnent sur tout le continent africain, et aux bons retours sur la fiabilité de nos technologies, nous avons pour ambition de décupler notre présence sur le continent dans les prochaines années, et le Maroc en sera indéniablement le moteur.  

Africa Cybersecurity Mag