Pour ITrust, le Big Data ouvre une nouvelle ère de la sécurité
Spécialiste du test d’intrusion, ce français travaille depuis plusieurs années à l’analyse comportementale pour détecter les signaux faibles d’attaques furtives. Une approche à laquelle le Big Data a ouvert de toutes nouvelles perspectives.
ITrust fait partie de ces PME de la cybersécurité à la française regroupées sous la bannière du club Hexatrust. Fondée début 2007, l’entreprise s’est construite sur une activité de services, historiquement centrée sur l’audit intrusif. Mais Jean-Nicolas Piotrowski, son PDG, explique qu’ITrust s’est progressivement tourné vers le métier d’éditeur « en voyant que l’on pouvait industrialiser notre activité en développant des produits ». D’où un premier produit, IKare, dédié à la gestion des vulnérabilités.
Répondre à la menace des attaques ciblées
Reste que l’objectif revendiqué par Jean-Nicolas Piotrowski portait sur un autre domaine : l’analyse comportementale, « la recherche de signaux faibles qui trahissent des comportements anormaux, de machines comme d’utilisateurs ». Et c’est l’objet du produit IT-Tude, qui doit bientôt changer de nom, au profit de Reveelium.
Un besoin important car, si les systèmes de gestion des informations et des événements de sécurité (SIEM) peuvent déceler ce type de signaux, ce n’est qu’après que l’attaque s’est produite : « historiquement, les SIEM ne font pas du temps réel ».
Ce qui n’empêche pas les outils d’ITrust de fonctionner avec des SIEM, et en particulier avec Splunk, ou encore de s’interfacer avec applications, flux de données XML et JSON ou encore Rabbit MQ, et bien sûr IKare ou encore l’annuaire Active Directory pour obtenir la connaissance de l’environnement.
Pour son fonctionnement, IT-Tude ne s’appuie donc pas sur des capteurs mais exploite les logs. Pour Jean-Nicolas Piotrowski, les agents de captation de données sur les postes de travail souffrent « d’effets de bord considérables », quand le sandboxing, montre ses limites. Certains, préférant la mise en bac à sable par émulation et décriant celle par virtualisation, ne le contrediront probablement pas. Petite subtilité toutefois : le PDG d’ITrust précise s’intéresser aux API vShield de VMware ou à celles d’OpenStack pour la surveillance des signaux faibles dans les environnements virtualisés.
Mais, pour lui, c’est bien avec les logs « que l’on obtient le plus d’informations que l’on peut exploiter et analyser rapidement ». Et d’assurer avoir pu tester et comparer des technologies signées HP, FireEye ou encore IBM avec les siennes, jusqu’à montrer la supériorité « d’algorithmes sur lesquels nous travaillons depuis 7 ans ».
Sur le terrain de l’algorithmique comportementale, Jean-Nicolas Piotrowski se reconnaît quelques concurrents, dont en particulier le britannique Darktrace et l’américain Lastline.
Quand le Big Data ouvre de nouvelles perspectives
Mais pour certains, les logs n’offrent qu’une visibilité limitée. Un Sophos, avec son projet Galileo, ne contredirait pas cette analyse. Mais le patron d’ITrust non plus : « plutôt que de chercher à monter une usine à gaz, pour tout voir, au risque de ne pas être capable de tout détecter, je préfère me concentrer sur une source qui me permettra déjà de voir des choses que d’autres technologies ne permettent pas de distinguer ».
Et face à des attaques commençant de plus en plus par de l’ingénierie sociale combinée à du hameçonnage ciblé, Jean-Nicolas Piotrowski reconnaît travailler à l’analyse des flux au niveau des systèmes de messagerie pour chercher les signaux faibles trahissant des anomalies : « on pourrait commencer à le faire avec des règles. Mais il faut les adapter en permanence. C’est là que le machine learning et le Big Data font la différence ».
Le Big Data, justement. Son application à la sécurité, est évoquée depuis au moins 2011, avec l’objectif de rapprocher justement le SIEM du temps réel mettant à profit des technologies d’abord pensées pour le décisionnel. Et le PDG d’ITrust de reconnaître que que le Big Data a permis une avancée considérable : « avant son avènement, nous étions contraints à travailler sur des données moyennées. Désormais, nous pouvons travailler sur des données brutes ».
De quoi ouvrir de nouvelles perspectives, mais également marquer une rupture technologique : « l’analyse comportementale remet en question le modèle de nombreux acteurs. Les pare-feu et les anti-virus sont basés sur des modèles pré-établis, des signatures, des scénarios ». Et ils montrent régulièrement leurs limites.