Une architecture IA multitemporelle anime le NDR Custocy
Cyblex Technologies, filiale du groupe IMS Networks, a lancé en octobre 2022 sa solution de détection et de réponse réseau Custocy. Sur ce marché en pleine renaissance des sondes réseau, cette solution se distingue par une architecture d’IA très élaborée. Son objectif ? Contenir le nombre de faux positifs.
Un nouveau logiciel français entre dans la bataille des solutions de détection et réponse réseau (NDR) de nouvelle génération. Baptisée Custocy, la solution se distingue de ses concurrents par un usage intensif de l’intelligence artificielle (IA), pour éviter l’inondation des faux positifs générés par l’approche classique basés sur des règles.
« L’Intelligence artificielle est une réponse à l’augmentation de la volumétrie des attaques et à l’un des points faibles des NDR existants, les faux positifs », argumente Sébastien Sivignon, CEO de Cyblex Tehcnologies. « Alors que les NDR génèrent beaucoup de bruit, nous avons voulu créer un outil à la fois simple et qui génère moins de faux positifs ».
Le défi : détecter les signaux faibles sans déclencher une avalanche de faux positifs
Pour William Ritchie, CTO, ex-directeur de recherche en intelligence artificielle au CNRS, l’IA ne présente que des avantages dans la détection : les attaquants connaissent les règles des frameworks de sécurité aussi bien que les RSSI et peuvent élaborer des techniques de contournement. Une détection par IA sera dès lors bien plus complexe à contourner, car l’IA peut s’adapter en permanence aux tentatives d’attaques.
L’autre vertu de l’IA serait donc de contenir le nombre de faux positifs. Pour tenir cette promesse, la start-up a travaillé avec le LAAS (Laboratoire d’Analyse et d’Architecture des Systèmes du CNRS) afin d’élaborer une IA à la fois précise dans la détection, mais qui générerait moins de faux positifs.
Sébastien SivignonCEO de Cyblex Technologies.
Le fruit de cette recherche, c’est une technologie dite d’IA multitemporelle qui présente la particularité de travailler simultanément sur plusieurs échelles de temps différentes : de la milliseconde à plusieurs semaines. « Le Meta Learner consiste en une IA qui en orchestre 4 autres, travaillant chacune sur une échelle de temps différente », explique le CTO.
Et de préciser : « généralement, les solutions travaillent au niveau du flux réseau. Nous avons une IA qui travaille à ce niveau, mais sur une granularité bien plus basse, de l’ordre de la milliseconde. Cela permet de rechercher des signatures dans le temps d’arrivée des paquets et faire apparaître des séquences de type Command & Control. Une autre IA travaille à l’échelle de la minute pour analyser les flux réseau entre adresses IP. Et enfin une dernière travaille à l’échelle de plusieurs semaines. Cela permet d’analyser le comportement d’une machine et repérer un serveur qui subitement ferait du BitTorrent un dimanche… »
L’architecture imaginée par les chercheurs se compose de 3 IA supervisées (milliseconde, seconde et minute) et d’une IA non supervisée qui travaille à l’échelle de la semaine. Le tout est orchestré par le Meta-Learner qui retient les informations importantes à ces différentes échelles de temps. L’éditeur affirme que cette approche a permis d’abaisser de 88 fois le volume de faux positifs sur ses datasets de test par rapport à un moteur qui ne travaille que sur les flux réseaux.
Une architecture technique hybride
Techniquement, une sonde est installée sur le réseau de l’entreprise et vient alimenter un back-end déployé sur AWS. L’hyperscaler a été choisi pour sa capacité à porter les IA de Custocy. « La première démonstration a été menée en septembre dernier et la solution est aujourd’hui prête à être déployée pour chaque client », assure le CTO. « La philosophie retenue est que les données de chaque client alimentent un Datalake distinct et qu’il n’y a pas de mise en commun de ces données pour mener l’entraînement des IA. Néanmoins, nous maîtrisons la technologie pour faire de l’apprentissage fédéré ; nous l’avons testée. Si l’approche intéresse nos clients, nous pourrons mettre cette capacité dans notre roadmap ».
Si le choix d’un fournisseur Cloud américain pour porter les données du NDR peut soulever les interrogations de certains clients, Sébastien Sivignon précise que seules les métadonnées sont transférées dans le Cloud et que toutes les charges de traitement réseaux restent chez le client. « Nous étions dans une impasse avec l’approche on-premise », explique-t-il. « Le choix d’AWS a été le fruit d’une analyse technique et de disponibilité des services dont nous avions besoin. Dès que d’autres fournisseurs Cloud souverains comme OVHcloud proposeront les mêmes types de services, alors nous pourrons proposer une offre multi-Cloud ».
Outre les données glanées par la sonde réseau, le NDR peut s’alimenter de données tierces. L’éditeur a d’ores et déjà des intégrations pour les données issues de l’IDS Suricata et d’OpenCTI. Les données de Threat Intelligence viennent s’intégrer au niveau du Meta Learner.
Enfin, outre l’apprentissage des modèles d’IA, un white listing peut être réalisé à plusieurs niveaux pour ne plus remonter d’alertes sur un type de comportement donné pour une machine précise. Sébastien Sivignon ajoute : « nous ne cherchons pas à aller sur le terrain des XDR, mais fournir une brique NDR qui soit complémentaire des EDR, qui va se focaliser sur le réseau et exploiter de multiples sources, notamment pour détecter les mouvements latéraux des attaquants ».
Un NDR pour les PME et ETI
La solution est conçue pour les PME et ETI de 500 adresses IP à 8 000, voire 10 000 adresses IP. L’éditeur vise les ETI en direct, mais déploie aussi un modèle indirect via les fournisseurs de services managés (MSSP) à la recherche d’un NDR pour enrichir leurs offres de SOC managé.
L’éditeur travaille sur la connexion de son NDR au SIEM d’un partenaire afin d’enrichir les données mises à disposition des analystes. Un autre projet porte sur l’intégration du NDR à l’XDR d’un MSSP.
Cyblex Technologies ne semble toutefois pas vouloir chasser sur les terres de Thales ou de Gatewatcher et aller chercher les clients OIV demandeurs de sondes qualifiées par l’ANSSI : « une certification ANSSI nous semble importante, notamment pour gagner en confiance sur le marché français », explique Sébastien Sivignon, « nous visons une certification CSPN pour fin 2023 ».
Le processus de qualification est jugé beaucoup trop lourd pour cette start-up encore en phase de lancement. Cyblex Technologies compte aujourd’hui 14 personnes, dont 30 % de docteurs et de doctorants. L’éditeur espère une croissance « maîtrisée » sur la France en 2023.
La solution est en phase de déploiement chez un premier client. D’autre part, elle a été sélectionnée par le programme d’accélération suisse Tech4Trust, qui doit permettre à la start-up de gagner en maturité et s’ouvrir en parallèle au marché suisse.