Balazs Scheidler, One Identity : « considérer l’UBA comme un segment de marché était une erreur »
L’ancien directeur technique de Balabit, racheté par One Identity début 2018, se penche sur la manière dont l’analyse comportementale s’impose dans un éventail croissant de solutions de sécurité.
Il y a quatre ans, l’analyse comportementale appliquée à la sécurité était sur toutes les lèvres. Un nouvel eldorado avec ses porte-étendards, dont Fortscale, finaliste de l’Innovation Sandbox de l’édition 2015 de RSA Conference. Le marché était encombré par une multitude d’acteurs misant tantôt sur l’analyse des journaux d’activité, sur celle des points de terminaison de l’infrastructure à partir d’agents résidents, ou encore sur le trafic réseau (NTA, Network Trafic Analytics). Mais ce temps semble désormais bien loin, et Gartner anticipe la disparition de l’analyse comportementale comme marché isolé à l’horizon 2021. A travers une série d’articles, nous vous proposons de découvrir le regard que portent plusieurs experts sur cette évolution.
Balazs Scheidler, One Identity : Je pense que c’était une erreur de considérer les outils d’analyse comportementale comme une catégorie de marché distincte, car l’apprentissage automatique et les autres technologies utilisées par ces outils ne sont que cela : une technologie. Et c’est une erreur que de catégoriser des produits sur la base de la technologie qu’ils emploient ; ils devraient être plutôt catégorisés suivant les problèmes qu’ils essaient de résoudre.
Dans cette perspective, le fait que l’analyse comportementale et l’apprentissage automatique gravitent dans d’autres domaines est une bonne tendance. L’apprentissage automatique peut être utile dans la gestion des informations et des événements de sécurité (SIEM), dans la détection de menaces sur les hôtes de l’infrastructure (EDR) ou la gestion des comptes à privilèges (PAM). Les mêmes mathématiques peuvent être utilisées, mais puisque que les problèmes auxquels elles sont appliquées sont différents, les bénéfices le sont également.
Cela étant dit, je ne pense pas que ces technologies soient redondantes : au contraire, elles contribuent à fournir un meilleur service. Et en les implémentant dans des produits plus spécifiques, elles peuvent commencer à produire des résultats mesurables.
Par exemple, l’apprentissage automatique peut être utilisé pour détecter des anomalies dans des données de séries temporelles basées sur des comportements passés. Cela peut être utile dans un SIEM. L’apprentissage automatique peut aussi être utilisé pour découvrir des groupes d’entités, et les produits de gestion des identités et des accès (IAM) ont commencé à profiter de fonctionnalités de découverte automatique de groupes et de rôles. Et puis l’apprentissage automatique peut être utilisé pour trouver des activités anormales, pour permettre notamment la découverte de détournement de comptes à privilèges.