L’analytique au service de la sécurité : un domaine encore émergent
Flux réseaux, logs systèmes, comportement utilisateur… tout semble bon à analyser pour détecter les phénomènes anormaux susceptibles de trahir une attaque. Mais le domaine doit encore gagner enmaturité.
Ils sont à l’honneur les Fortscale, SentinelOne, Securonix, Exabeam, GuruCul et autres Adallom. Sans compter iTrust ou encore DarkTrace. Leur point commun ? Ils entendent appliquer l’analytique à la sécurité pour détecter les signaux faibles d’attaques ciblées, ou encore lutter contre la menace interne. Mais leurs approches sont différentes.
Eric Ahlm, directeur de recherche spécialiste de la sécurité chez Gartner, distingue ainsi trois camps distincts : ceux qui misent sur l’analyse des flux réseau, ceux qui se concentrent sur le comportement des utilisateurs, et enfin d’autres qui se positionnent à niveau plus élevé et promeuvent une approche plus globale.
Se protéger des utilisateurs et du détournement de leurs comptes
Mais l’approche centrée sur le comportement des utilisateurs, le User Behavior Analytics ou UBA, semble rencontrer actuellement un engouement particulièrement prononcé. Eric Ahlm apporte un début d’explication : « l’UBA permet de découvrir des activités qui resteraient autrement non détectées. Et des rapports sur les menaces ajoutent à cet intérêt : elles montrent l’importance du rôle des détournements de comptes utilisateurs dans les attaques. Il s’agit d’un vecteur de menace important ».
Javvad Malik, ancien chercheur chez 451 Research devenu évangéliste sécurité chez AlienVault, ajoute à cela la question de la lutte contre les menaces internes : « L’UBA est une technique pour trouver des menaces internes. Ce défi n’est pas nouveau […] mais Edward Snowden est devenu la référence des départements marketing : que se passerait-il pour une entreprise avec un Edward Snowden caché en son sein ? »
Les apports et limites du Big Data
Mais que l’on parle d’UBA ou d’analytique au service de la sécurité, il s’agit dans tous les cas de collecter des données, d’importants volumes de données, et de les analyser. Javvad Malik relève ici le but : « corréler des données variées pour essayer d’identifier un sentiment ou une intention. »
Et la promesse est alléchante : « avec les bons outils et processus, traquer les menaces par anticipation peut apporter d’importants bénéfices aux entreprises, en particulier lorsque des logiciels malveillants sont impliqués ».
Mais si le concept du Big Data au service de la sécurité n’est pas nouveau, comme le relève Eric Ahlm, tous les obstacles ne sont pas encore levés : « le problème, avec de grandes quantités de données de sécurité, c’est le temps. On peut collecter de grandes quantités de données, la question est de pouvoir les traiter dans un délai raisonnable ». Qu’est-ce qu’un délai raisonnable, justement ? Le plus proche du temps réel… Car si traiter une requête prend trois jours, c’est trop pour se protéger efficacement… « alors que la brèche peut survenir en moins de 24h ».
Le Machine Learning à la rescousse
La question du temps n’est pas la seule. L’analyse de données repose massivement sur des algorithmes. Et pour Eric Ahlm, « il faut là des mathématiciens ; ce n’est pas un tâche simple » que de construire des algorithmes pertinents. « Et la plupart des équipes de sécurité ne disposent pas de mathématiciens de haut niveau ». Dans la plupart des cas, donc, les entreprises doivent se contenter d’algorithmes pré-écrits. Et dont on imagine les performances plus ou moins limités, tout du moins dans les capacités d’évolution et d’adaptation.
C’est là qu’Eric Ahlm entrevoit un important apport du Machine Learning, « pour rendre ce travail sur les algorithmes plus accessible, plus intuitif ». En attendant, l’analytique de sécurité se trouve donc largement limitée aux grandes organisations capables d’attirer les profils requis. Mais tout cela est appelé à changer.
Une maturité à venir
Javvad Malik et Eric Ahlm soulignent tous les deux le très jeune âge de l’analytique appliquée à la sécurité, notamment « par rapport à la médecine ou l’astronomie, ou le décisionnel ». « Nous commençons juste à gratter la surface de ce qu’il est possible de faire », insiste Eric Ahlm.
Et de s’attendre donc à « observer beaucoup d’innovation » jusqu’à, « pourquoi pas, l’automatisation de certaines fonctions d’investigation ».
Pour l’heure, pour Javvad Malik, de nombreux industriels de la sécurité, mais aussi d’utilisateurs, « observent et attendant que ces technologies fassent leur preuves dans de vastes déploiements complexes ».
Alors il faudra s’attendre à des opérations de consolidation sur le marché : « une fois que la technologie aura été éprouvée, j’imagine [que certains acteurs] constitueront des cibles attractives pour des acquisitions ».