Warakorn - Fotolia

L’adoption de l’analyse comportementale appelée à s’étendre

Selon Gartner, les entreprises se tournent de plus en plus vers l’analyse comportementale pour améliorer la détection des incidents et renforcer l’efficacité de leurs SOC. De quoi pousser à une inéluctable consolidation du marché.

L’analyse comportementale – des utilisateurs comme des flux réseau ou des entités connectées à l’infrastructure – a fait une entrée remarquée sur le marché de la sécurité l’an passé. Mais selon Gartner, les solutions isolées actuellement proposées vont être rapidement appelées à s’intégrer, au point d’encourager à une consolidation des acteurs.

Dans une note d’analyse, Avivah Litan et Eric Ahlm résument la situation : « les besoins des acheteurs pour détecter les brèches de tout type vont pousser à la consolidation des systèmes de détection basés sur le comportement, tels que les systèmes d’analyse du comportement des utilisateurs et des entités (UEBA), de détection et de réponse sur les points de terminaison (EDR), et d’analyse du trafic réseau (NTA) ».

Des catégories bien distinctes

Dans la première catégorie, le cabinet mentionne par exemple Securonix, LightCyber, Exabeam et Gurucul. Le premier étant notamment utilisé par HP au sein du système de gestion des informations et des événements de sécurité (SIEM) ArcSight. Pour l’EDR, il prend pour exemples Hexis et Ziften, mais pourrait également évoquer SentinelOne, notamment. En matière de NTA, le cabinet fait référence à SS8 et Niara, mais il faut également compter avec Vectra Networks ou encore Darktrace, entre autres.

Mais voilà, comme le relèvent les deux analystes, les acheteurs de solutions de sécurité ne veulent pas seulement détecter les brèches, « mais aussi y répondre rapidement et efficacement ». S’il le fallait, l’édition 2016 de RSA Conference a fait la démonstration de cette tendance. Ce besoin doit conduire à une « collision du marché entre systèmes de détection basés sur le comportement et systèmes d’orchestration et de réaction ». Et cela parce que ni UEBA, ni EDR, ni NTA ne semble en mesure d’apporter, seul, une réponse complète aux besoins des entreprises.

Des capacités différentes

Ainsi, Avivah Litan et Eric Ahlm soulignent que la première catégorie est efficace pour identifier des compromissions de comptes utilisateurs ou des acteurs internes malveillants, mais peut montrer ses limites dans la détection des incidents impliquant des logiciels malveillants. De son côté, « l’EDR peut être efficace pour trouver les comportements mauvais sur un hôte et identifier les objets malicieux », mais plus faible lorsqu’il s’agit de mettre le doigt sur une menace interne. Enfin, les outils de NTA « peuvent être capables de trouver les conséquences de deux types d’événements, mais n’ont pas les données relatives aux utilisateurs ou aux hôtes nécessaires pour confirmer l’incident ».

D’autres outils peuvent venir en outre compléter l’édifice, qu’il s’agisse des SIEM ou des systèmes de gestion du renseignement sur les menaces comme ceux d’Anomali, de ThreatConnect ou encore de ThreatQuotient. Au final, pour les analystes de Gartner, le marché s’avère « bruyant, chaotique et encombré », pollué notamment par des discours marketing qui s’articulent « autour des mêmes thèmes clés tels que analytique, machine learning, automatisation, et autres termes similaires, bien que leur application de ces fonctionnalités soit largement différente en ce qui concerne ce qu’ils peuvent faire dans leurs rôles spécifiques ». Bref, la confusion règne.

Des performances à démontrer

Et cela d’autant plus que, selon Gartner, les spécialistes de l’analytique appliquée à la sécurité peinent encore à faire la démonstration de la valeur de leurs solutions. Lors d’échanges, ceux-ci cherchent surtout à se différentier en évoquant l’étendue ou le volume de leurs échantillons de données, le framework analytique utilisé ou encore la technologie analytique employée – apprentissage machine, deep learning, et intelligence artificielle sont là largement mis à contribution. Las, si le cabinet voit là des « facteurs importants et des sujets de discussions divertissants », tous « échouent à constituer un différentiateur majeur » car, pour Avivah Litan et Eric Alhm, « les éditeurs devraient d’abord se concentrer sur la manière dont le recours à l’analytique rend leur technologie meilleure en termes de résultats, de manière mesurable. Par exemple, dans quelle mesure trouver des attaques inconnues est plus efficace en pourcentage avec l’analytique que chercher à trouver un logiciel malveillant inconnu sans ».

Une inéluctable consolidation

Pour autant, les deux analystes ne contestent pas la valeur intrinsèque que l’analytique apporte à la détection de brèches. Mais ils soulignent l’importance des étapes suivant la détection. D’où la convergence anticipée entre acteurs de la détection basée sur l’analytique et de l’orchestration/réaction. Et c’est peut-être là que le SIEM est appelé à jouer une nouvelle carte, pour dépasser des limites bien connues. Dès lors, pour Gartner, les acteurs de détection devaient « soit prévoir de nouer formellement des partenariats avec des acteurs du SIEM […] ou se préparer à reprendre des fonctions clés du SIEM ».

Le cabinet s’attend donc clairement à une consolidation prochaine de systèmes de détection de menaces basés sur les comportements, mais il n’exclue pas l’émergence de solutions de type plateforme dédiées à l’investigation et à la réponse aux incidents. Des solutions sur lesquelles les composant de détection et de réponse viendraient se greffer. Et n’est-ce pas justement ce que cherche à proposer un Phantom Cyber ?

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close