- stock.adobe.com
Digital Guardian ajoute une couche d’analyse comportementale à son offre DLP/EDR
L’éditeur mise sur l’apprentissage automatique pour détecter les comportements anormaux susceptibles de trahir une potentielle fuite de données, qu’elle soit due à une menace interne ou externe.
Digital Guardian a profité de l’été pour annoncer l’intégration d’un moteur d’analyse comportementale (UEBA) fait maison à sa plateforme de protection des données. Et ce ne devrait pas manquer d’ouvrir des perspectives intéressantes. Car l’une des originalités de la plateforme de Digital Guardian est l’intégration de fonctionnalités de prévention des fuites de données (DLP) avec d’autres, de détection et de remédiation sur l’hôte (EDR).
Un temps, ces dernières furent apportées par la technologie de Countertack, le temps que Digital Guardian ne développe la sienne propre. Vincent Dely, architecte solution chez Digital Guardian, pour la région EMEA, souligne l’intérêt de l’approche : le DLP vise à protéger contre les fuites trouvant leur origine dans la menace interne, tandis que l’EDR permet de traiter les risques touchant aux données mais venus de l’extérieur. Voire d’aller plus loin dans le traitement de la menace interne. En somme, pour Vincent Dely, il y a là une véritable complémentarité.
Les deux volets fonctionnels sont assurés par le même agent, « qui identifie les données les plus sensibles et surveille ce qui leur arrive » et, surtout, qui est en mesure de « pondérer sa réaction en fonction de leur criticité ». Historiquement remontée de manière périodique – sauf en cas d’incident avéré, qui déclenche une communication immédiate – à un serveur déployable en local, la télémétrie doit être envoyée à un serveur cloud, hébergé sur AWS, pour profiter du moteur d’analyse comportementale.
Sans surprise, ce nouveau moteur doit permettre d’aller au-delà de la simple analyse statistique pour modéliser le comportement typique des utilisateurs et des hôtes du système d’information afin d’en détecter les déviations, et déclencher des alarmes. A terme, il devra même permettre de visualiser la chaîne de responsabilités dans la hiérarchie pour faciliter l’étude d’impact d’un incident observé.
Avec cette annonce, Digital Guardian apparaît se relancer face à des concurrents comme Forcepoint, notamment. Ce dernier avait acquis un spécialiste de l’analyse comportementale fin août 2017, RedOwl, dont la technologie s’intégrait déjà avec sa solution de DLP. Mais rapidement, Forcepoint en a profité pour ajouter l’UEBA à sa passerelle d’accès cloud sécurisé (CASB).
Du côté de Digital Guardian, il n’est pas question, pour l’heure, d’aller directement sur le terrain du CASB. Mais Vincent Dely souligne toutefois une relation étroite avec Netskope. En fait, comme d’autres, plutôt que chercher à proposer un portefeuille toujours plus complet, l’éditeur apparaît préférer se positionner comme une brique disponible pour des stratégies dites best-of-breed et miser sur des partenaires technologiques et des intégrateurs.
Surtout, Vincent Dely revendique, pour Digital Guardian, une approche de la protection des documents à la source. De quoi notamment simplifier le traitement de leur protection et de leur contrôle sur des terminaux mobiles où l’intégration n’est apparemment pas simple entre un iOS verrouillé du sol au plafond et un monde Android miné par son hétérogénéité.
Alors toujours pour rester au plus près de la source, Digital Guardian mise par exemple sur des intégrations avec Microsoft pour traiter le cas des documents gérés dans Office 365, avec chiffrement et gestion des droits numériques. Et au-delà, Vincent Dely évoque des travaux conjoints avec l’indien Seclore, toujours dans cette perspective.