L’apprentissage automatique avancé apporte son aide à la sécurité réseau
L’apprentissage machine avancé peut aider à faire la différence entre fausses alertes et véritables menaces réseau, libérant un temps précieux pour les équipes IT. Mais la technologie continue de faire face à certains défis.
Défendre le réseau dans un environnement marqué par des menaces toujours plus virulentes et sophistiquées peut constituer défi considérable. L’IT dispose d’un vaste d’outils pour cela, dont ceux chargés de la capture de données susceptibles de permettre de débusquer d’éventuelles menaces. Mais les volumes de données considérés sont tellement importants que les équipes IT peuvent aisément se trouver débordées, dans l’impossibilité de discerner les menaces des anomalies sans danger. C’est là que l’apprentissage automatique peut aider, notamment en réduisant le nombre de faux positifs déclenchant des approfondissements.
En sécurité réseau, l’apprentissage machine, ou Machine Learning, est utilisé pour modéliser le trafic réseau et identifier des anomalies. La discipline n’est pas nouvelle, mais seuls les progrès récents en puissance de calcul et dans l’optimisation des algorithmes ont permis de la rendre accessible et de la démocratiser auprès des entreprises.
Sciences appliquées
De nombreux fournisseurs de solutions de sécurité mettent à profit l’apprentissage machine avancé pour accélérer l’identification des menaces dans un vaste éventail de cas d’usage, au-delà de la modélisation du trafic réseau et de la détection d’anomalies. La technologie peut être utilisée pour analyser le comportement des utilisateurs et détecter les menaces internes, pour le filtrage anti-spam, ou encore l’identification et la détection de logiciels malveillants.
Pour le trafic réseau – comme le font par exemple Darktrace et Vectra Networks –, l’apprentissage machine peut être utilisé pour reconnaître des motifs au sein des flux réseau, fouiller au sein de données d’historique pour identifier tendances et potentielles menaces. Les outils les plus complets ingèrent des données à partir de sources multiples : flux réseau, journaux d’activité, renseignements sur les menaces, etc.
Encore des défis
Mais l’apprentissage automatique nécessite des ajustements avant de pouvoir précisément détecter les problèmes de sécurité réseau les plus urgents. Tout d’abord, il doit établir un modèle de référence de ce qui constitue la norme sur le réseau. Ce qui est proche de l’impossible dans des environnements où virtuellement chaque réseau est déjà compromis.
Puis vient le défi continu de comportements utilisateurs qui évoluent et des changements dans le trafic machine, produit par les systèmes du système d’information. Ces changements peuvent générer des alertes alors qu’il n’y a pas de problème important. Une fois encore, donc, les équipes vont devoir traiter des faux positifs.
Ce qui ne signifie pas que l’apprentissage automatique ne constitue pas un progrès et n’apporte pas des bénéfices : il aide clairement à trouver l’épingle proverbiale dans la botte de foin. C’est une option qui mérite d’être étudiée, à condition d’en comprendre les limitations actuelles.
Ce qu’il est essentiel de garder à l’esprit est que, comme pour tout ce qui touche à la sécurité, il n’y a pas de remède miracle. Dès lors, l’apprentissage automatique doit s’utiliser conjointement à de nombreux outils et à des ressources humaines.