Publié à l'origine dans The Marker, Cyber Magazine.
In an era where hackers conceal malicious code within pixels and metadata, OPSWAT utilizes Deep CDR™ Technology that deconstructs every file to its raw elements and rebuilds a completely clean version. Noam Gavish, a cybersecurity architect, explains the rationale behind the technology and together how they form a multi-layered defense system.
At one of Israel’s security organizations, the internal cybersecurity team began shifting uneasily in their seats due to a threat from an unexpected direction. Their concern wasn’t about infiltration — the common cyber threat — but rather about what might leak out, unnoticed. They feared that sensitive information — such as code names, locations, and identities — could be hidden inside seemingly innocent files: Word documents, image metadata, or even within the pixels themselves. DLP systems failed to detect it, experts didn’t know what to look for, and the situation felt like an invisible threat with no solution. That gap was bridged by OPSWAT’s Deep CDR™ Technology that breaks down the file to its essential components and rebuilds it from the necessary objects only.
“The idea is simple and based on the assumption that every file is suspicious, under the Zero Trust approach,” says Noam Gavish, a cybersecurity architect at OPSWAT. “The Deep CDR™ Technology system breaks down each file, retains only the elements necessary for its functionality, and rebuilds it — identical to the original, but completely clean. The end user’s ability to use the file remains the same, and the system allows tailoring the module's behavior based on file type and the specific channel. We don’t try to determine whether something in the file is good or bad. If it’s not essential — it doesn’t go in.”
Pour illustrer cette logique, M. Gavish fait référence à l'attaque à l'anthrax de septembre 2001 - une semaine après le 11 septembre - au cours de laquelle des lettres contenant des spores d'anthrax ont été envoyées à divers médias américains et à deux sénateurs, tuant cinq personnes et en infectant 17 autres. "Appliqué à notre technologie, si un client reçoit une lettre par la poste, notre système la réécrit mot à mot sur une nouvelle page, sans inclure la poudre blanche suspecte que quelqu'un aurait pu saupoudrer à l'intérieur.
Ainsi, au lieu de vérifier si un fichier est dangereux, vous supposez qu'il l'est - et vous ne le laissez pas entrer du tout ?
"Exactement. Tout ce qui n'est pas nécessaire - même si nous ne pouvons pas expliquer pourquoi - ne passe tout simplement pas. Il n'est pas nécessaire de déterminer si c'est malveillant. Si ce n'est pas nécessaire, c'est exclu", souligne M. Gavish. "L'objectif n'est pas la détection, mais la réduction de la surface d'attaque au strict minimum. Même si une menace n'est pas visible, elle n'a aucune chance. Cette approche repose sur des connaissances psychologiques approfondies : Les gens craignent ce qu'ils ne comprennent pas, et nous traitons les fichiers de la même manière. C'est une sorte de mécanisme de survie".
Équilibrer la cybersécurité et la disponibilité de l'information
The technology Gavish describes — Content Disarm and Reconstruction, or CDR — is not new to the market, but OPSWAT has enhanced it to handle highly complex files, including archives, media files, and documents with active macros. This expanded capability earned it the name Deep CDR™ Technology.
Still, Gavish emphasizes that Deep CDR™ Technology is just one component in a complete platform designed to protect organizations — especially critical infrastructure — across all information exchange channels. This begins with email systems, extends to USB devices connected to endpoints, and includes internal system interfaces. Every file, from any source, undergoes a multi-layered security scan.
Cela devient de plus en plus important à mesure que les surfaces d'attaque s'étendent, en particulier avec les attaques de la chaîne d'approvisionnement, où les pirates ciblent des tiers pour accéder à une organisation. Les pirates identifient également les points faibles des organisations - par exemple, les services des ressources humaines, qui reçoivent quotidiennement des dizaines de CV, souvent sous forme de PDF ou d'images, derrière lesquels se cachent des systèmes d'exploitation complets. Les équipes RH ont tendance à être celles qui reçoivent le plus de fichiers Office, alors qu'elles sont souvent les moins sensibilisées à la cybersécurité. Autre point faible : les supports amovibles, qui peuvent contenir des logiciels malveillants.
“We don’t rely only on Deep CDR™ Technology because no single module can address all challenges,” Gavish explains. “Before a file reaches CDR, it goes through multiple antivirus engines — over 30, depending on the package. Then it passes through Deep CDR™ Technology, and next to OPSWAT’s Sandbox system, which decodes the file, analyzes the code, and determines what it does — or would do — with specific input.”
The organizing principle is not to rely on a single detection mechanism, but on layered security: If antivirus misses something, Deep CDR™ Technology rebuilds the file. If Deep CDR™ Technology removes nothing suspicious or further clarity is needed, Sandbox analyzes its behavior. Only if nothing is deemed suspicious is the file allowed into the organization.
To demonstrate the power of OPSWAT as a comprehensive platform, Gavish compares the company’s security architecture to medieval castles — which used layered defenses to wear down attackers. “In cybersecurity, it’s all about layers. Like a castle: first a moat, then an iron gate, archers, and boiling oil poured from above. Deep CDR™ Technology isn’t magic — it’s another brick in the wall. And a castle without walls isn’t a castle.”
Il s'agit donc à la fois d'une combinaison technologique et d'une série de processus ?
“Yes, because Deep CDR™ Technology is good for some things, Sandbox for others — together they provide full coverage. Alone, they can’t handle every scenario. For example, we combine Deep CDR™ Technology with antivirus scans and Sandbox to detect sophisticated attacks that each layer alone might miss. We’re not just offering a point security solution — but a multi-layered platform. We’ve built a circular security platform, not isolated barriers: multi-engine scanning, behavioral analysis, and the core — Deep CDR™ Technology that rebuilds each file cleanly, without asking questions.”
La plateforme prend actuellement en charge 190 types de fichiers (DOC, PDF, ZIP, images, audio, vidéo, etc.), soit le double de la norme du secteur. Elle adapte également les niveaux de sécurité au chemin d'accès, à la configuration et à la destination du fichier.
"La protection couvre l'ensemble du paysage des menaces, mais chaque menace a sa propre nature", explique M. Gavish. "Nous ne voulons pas non plus interrompre le flux de données ou retarder les opérations. L'idée n'est pas de bloquer le monde, mais de le réintroduire d'une manière propre, en équilibrant la sécurité et la disponibilité. C'est comme boire de l'eau d'un ruisseau potentiellement contaminé : on utilise une tablette de purification et on perd des minéraux dans le processus. Mais si la tablette était plus intelligente, elle pourrait purifier et préserver les minéraux. C'est notre objectif : fournir des données dans leur structure d'origine, sans le contenu malveillant caché, toujours en fonction de vos besoins.
Sécuriser chaque point d'entrée de l'organisation
Fondée en 2002 dans le but de protéger les infrastructures critiques contre les cybermenaces, OPSWAT compte aujourd'hui quelque 2 000 clients dans plus de 80 pays. L'entreprise possède des bureaux en Amérique du Nord, en Europe (notamment au Royaume-Uni, en Allemagne, en Hongrie, en Suisse, en Roumanie, en France et en Espagne), en Asie (Inde, Japon, Taïwan, Vietnam, Singapour et Émirats arabes unis), etc.
En Israël, OPSWAT fournit des solutions de cybersécurité à des centaines d'organisations de premier plan.
M. Gavish est lui-même plongé dans la cybersécurité depuis 2007, passant de l'offensive à la défensive. Il a commencé dans l'industrie de la défense et a ensuite travaillé dans des entreprises cybernétiques en tant qu'"équipe rouge" et "équipe bleue". OPSWAT est réputé pour sa protection des infrastructures critiques - eau, électricité, transport et défense - mais en fait, sa plateforme de cybersécurité convient à n'importe quelle organisation.
Je suggère d'élargir la définition d'"infrastructure critique". Chaque organisation a quelque chose de critique. Si un journal ne peut pas imprimer parce qu'un logiciel malveillant bloque les presses, c'est un désastre. Pour lui, les presses sont une infrastructure critique. Si un assureur maladie laisse filtrer des données sensibles sur ses clients, c'est un désastre. Dans ce cas, ce sont les données qui constituent l'infrastructure critique. Si un pirate informatique perturbe un contrôleur d'ascenseur - un scénario très réel - le contrôleur devient critique. Tout point de contact avec les données - entrée ou sortie - représente un risque potentiel, et nous sommes prêts à le protéger. Je dis toujours : lorsque vous défendez des systèmes critiques, ne pensez pas seulement à l'internet, mais à toutes les portes possibles. Parfois, il ne s'agit pas d'un serveur ou d'un port, mais d'une porte dérobée au 30e étage. Dans un monde où l'on peut être attaqué par le biais d'un courriel ou d'un fichier apparemment innocent, seuls ceux qui pensent sous tous les angles sont vraiment prêts. Le système OPSWATest conçu pour cela : il protège les terminaux, les serveurs de messagerie, les kiosques permettant de connecter des appareils externes et même les systèmes de transfert de fichiers à sens unique (Data Diode). Dans un monde où même un simple fichier image peut contenir un code d'attaque intégré, le fait de le décomposer et de le reconstruire proprement est parfaitement logique - ce n'est pas de la paranoïa".
En phase avec l'époque, dans quelle mesure utilisez-vous l'IA ?
"L'IA est devenue un mot à la mode, mais OPSWAT ne l'utilise pas pour la forme, mais uniquement lorsqu'elle est vraiment utile. 99 % des moteurs antivirus qui prétendent utiliser l'IA utilisent le ML (Machine Learning). Cela dit, l'IA est excellente pour créer de nouvelles techniques d'attaque, c'est pourquoi il est essentiel de mettre en place des défenses à plusieurs niveaux. Nous ne nous fions pas uniquement aux signatures connues".
Cependant, même une sécurité à plusieurs niveaux n'est pas étanche. En matière de cybersécurité, il n'existe pas de protection à 100 %.
"C'est exact - et chez OPSWAT, nous le comprenons. C'est pourquoi notre approche neutralise les menaces, qu'elles soient détectées, connues ou répertoriées dans une base de données. Le jeu du chat et de la souris entre les attaquants et les défenseurs ne s'arrêtera jamais - c'est pourquoi nous n'essayons pas de le gagner avec un seul outil. Nous construisons des murs, des portes, des ponts et nous plaçons des archers. Il n'y a pas de 100%, mais il y a une plateforme en laquelle vous pouvez avoir confiance".
