Forcepoint place le comportement au cœur de son approche de la cybersécurité
Le groupe prolonge l’orientation prise en 2017 avec le rachat de RedOwl au travers de sa division X-Labs. Là, il met notamment à profit l’expertise de Margaret Cunningham pour tenir compte des spécificités du comportement humain.
« Traduire une réalité complexe en solutions de sécurité qui fonctionnent, qui aident les analystes dans les centres opérationnels de sécurité (SOC), en s’appuyant sur la compréhension des comportements ». C’est ainsi que Margaret Cunningham, ancienne psychothérapeute et chercheuse en sciences cognitives, résume les efforts des équipes de la division X-Labs de Forcepoint.
C’est en mars dernier que le groupe a annoncé la création de cette nouvelle division de recherche et développement. Nicolas Fischbach, directeur technique de Forcepoint expliquait alors qu’elle a « pour vocation de comprendre les identités numériques et les cybercomportements associés à chacune, en particulier en cas d’interaction avec des données de grande valeur et de propriété intellectuelle ».
Au cœur de cette approche, on trouve l’Adaptive Trust Profile (ATP), « un ensemble d’attributs de modèles et d’inférences au sujet des entités, qui déduit, par l’application de l’intelligence artificielle et de l’analytique, un niveau de risque pour chacune d’entre elles ». De quoi permettre de concentrer les efforts sur ce qui présente le niveau de risque le plus élevé.
Cette approche s’inscrit dans la droite ligne de la stratégie décrite par Heath Thompson, vice-président senior et directeur général de Forcepoint en charge de la sécurité d’entreprise, à l’occasion d’une opération clé pour le groupe : l’acquisition de Redowl, une jeune pousse spécialisée dans l’analyse du comportement des individus et des entités du système d’information (UEBA). A l’époque, Heath Thompson le soulignait : « comme Forcepoint, Redowl s’est concentré sur une approche de la sécurité focalisée sur l’humain ».
La technique, pour combler les failles de l’humain
Quoi de plus naturel, alors, que de faire appel à des profils comme celui de Margaret Cunningham pour X-Labs ? Comme elle le dit elle-même, « l’humain est partout. Quel que soit le système considéré, il y une personne qui fait un choix, à un moment donné, avec ce qu’on lui fournit et qui affecte une autre personne, ailleurs dans le système ». Difficile dès lors, pour elle, d’appréhender la sécurité du système « si l’on ne comprend pas la manière dont chacun perçoit les choses ».
Mais pourquoi ne pas utiliser la compréhension de l’humain, de ses failles, de ses biais, pour miser sur la formation ? Parce que, pour Margaret Cunningham, si elle est utile, son impact reste limité – et est voué à le rester. Et de faire un parallèle pour illustrer son propos : « on n’entraîne pas à la lutte contre les incendies avec Powerpoint, mais se plaçant en condition, dans des pièces avec chaleur et fumée ». Car là, il est possible de faire appel à l’émotion. Tandis qu’avec une brèche de sécurité, l’impact émotionnel, le ressenti des conséquences, est considérablement plus limité.
Pour autant, pas question pour la chercheuse d’accepter des idées reçues telles que celle selon laquelle le problème se situe dans l’interface entre la chaise et le clavier. De son point de vue, attribuer la faute à l’utilisateur final, « c’est un peu une échappatoire pour les ingénieurs », une façon d’éviter de se pencher sur la manière dont fonctionne le système pour y trouver des améliorations.
Car si cet examen peut s’avérer lourd et difficile, « une fois que l’on a identifié les composants et leurs relations, on peut faire mieux que de la formation » pour viser les domaines à fort impact sur la sécurité.
Repenser de nombreuses approches
Pour Margaret Cunningham, l’un des points clés consiste notamment à dépasser des approches fantasmées, irréalistes. Et de citer en exemple une idée de système de contrôle d’accès pour plateforme aéroportuaire ayant échoué, tout simplement parce que trop éloigné de la réalité des pratiques de ceux qui auraient été amenés à s’y confronter. Pour la chercheuse, il faut aussi arrêter d’imaginer que les utilisateurs vont faire les choses comme l’on veut qu’ils les fassent, suivant des procédures conçues de manière déconnectée de la réalité.
Mais Margaret Cunningham n’en est pas moins très prudente vis-à-vis de l’application revendiquée par un nombre croissant d’acteurs de la sécurité de l’intelligence artificielle ou de l’apprentissage automatique. Et cela, tout d’abord parce « on peut déjà faire beaucoup simplement avec les statistiques ». Mais aussi parce qu’il convient « d’être très stratégique dans le choix du domaine où appliquer l’apprentissage automatique. Honnêtement, les cas d’usage sont limités », notamment en raison des questions de disponibilité des données d’entraînement des modèles : « pour la protection contre le hameçonnage ciblé, oui ; parce que l’on peut apprendre dans la durée à partir du contenu ».
Mais de manière générale, pour elle, « les affirmations de certains sont assez choquantes. Les modèles dépendent du savoir d’experts. Les gens qui prétendent faire de l’analyse comportementale sans avoir un psychologue, un sociologue, voire même un anthropologue, c’est très audacieux selon moi. Et même si vous avez réuni tous ces experts, il peut rester des problèmes de biais dans les algorithmes complexes ».