[EXCLUSIF] La sécurité reste l’un des plus grands défis à relever pour les entreprises. Des milliards d’euros ont été investis en technologies au cours des 30 dernières années, et pourtant, les hackers semblent mieux se porter que jamais et toutes les organisations, peu importe leur taille, sont exposées en permanence à de graves menaces.
La cybercriminalité est aujourd’hui bien plus complexe qu’auparavant et ne consiste plus simplement à rechercher et à exploiter des vulnérabilités pour pénétrer sur le réseau. Pourtant, la plupart des entreprises utilisent encore des outils qui visent ce type de comportements et sont donc obsolètes face à des menaces qui consistent souvent en des chaînes d’événements extrêmement complexes, survenant après que la sécurité du réseau a été compromise.
Ces outils fonctionnent encore souvent par rôle, en s’appuyant sur des signatures et des règles de détection-réponse, ce qui est leur principale faille. Les chaînes d’attaques modernes comportent en effet un plus grand nombre de phases, parmi lesquelles la reconnaissance, l’exploitation, l’élévation de privilèges, la propagation horizontale en interne, l’exfiltration de données et la pérennisation des accès.
Dans la mesure où la plupart des innovations dans le domaine du big data et de la sécurité relève aujourd’hui de la sphère open source, voici quelques conseils que les data scientists du monde entier ont acquis par expérience et que les professionnels de la sécurité seraient avisés de suivre.
Focalisez-vous sur les anomalies
La science des données consiste essentiellement à créer des structures à partir de données non structurées, puis à les formaliser pour comparer les tendances normales et anormales à l’aide d’algorithmes d’apprentissage automatique ou d’apprentissage profond. Quel que soit le domaine d’application, publicité par flux de clics, analyse du sentiment des acheteurs, algorithmes de reconnaissance faciale, prévision d’une pandémie ou modélisation de la propagation d’un programme malveillant, le principe de base d’analyse des données est le même, seul le scénario applicatif change.
Prenons par exemple l’analyse du sentiment des acheteurs, qui vise à déterminer les comportements d’achats « normaux » des clients : comment interagissent-ils avec les marques ? Quelles sont leurs pratiques d’achat standards ? L’idée est ici de mettre de côté les anomalies et les cas marginaux afin d’établir une classification des comportements normaux.
Qu’en est-il si je cherche maintenant à étudier les fraudes à la carte de crédit en ligne pour le même ensemble d’acheteurs ? Ce seraient alors les anomalies que je devrais étudier. Les données sont les mêmes, les techniques et les modèles analytiques aussi, mais cette fois, ce sont les irrégularités, non les cas de normalité, qui m’intéressent. Il est donc d’une importance cruciale qu’un fournisseur de solution de sécurité et un professionnel de la sécurité utilisent les mêmes données et, à peu de choses près, le même algorithme. Seul le point de vue change.
Utilisez TOUTES les données
Il s’agit là d’un aspect fondamental pour les data scientists qui n’est pas toujours évident pour les professionnels de la sécurité. Si vous souhaitez que votre solution de sécurité détecte TOUS les changements de comportements, vous devez intégrer des données d’activité brutes dans vos algorithmes d’apprentissage automatique, et non juste un flux d’événements pré-filtré.
Vous ne pouvez pas créer de modèles analytiques ni de profils comportementaux pour repérer les activités anormales si vous n’êtes déjà pas en mesure de détecter des comportements de base. Si votre idée est d’effectuer des analyses de sécurité à partir des alertes générées par une solution de sécurité classique, vous faites fausse route. Beaucoup de ces solutions traditionnelles ne sont pas à l’épreuve du terrain. Il est important de regarder la façon dont les outils analytiques de sécurité collectent les données, de déterminer l’origine de ces données, et de vérifier que ces outils permettent d’analyser un flux d’activités non filtré, que ce soit sur les données au repos ou en mouvement.
Il existe par exemple des solutions analytiques qui fournissent des algorithmes de machine learning permettant, une fois que ces dernières ont été couplées à un framework comme Hadoop, de construire des modèles pour être alerté lors de la détection d’anomalies.
Automatisez le plus possible
Pour beaucoup d’entreprises, le vrai problème tient au fait qu’elles reçoivent un trop grand nombre d’alertes de sécurité à un rythme trop rapide. Les équipes de réaction aux incidents sont en effet trop petites et trop occupées pour gérer, classifier et résoudre les problèmes de sécurité de façon efficace.
Certaines entreprises peuvent par exemple générer des centaines de milliers d’alertes par seconde ! Imaginons cependant, de façon hypothétique, qu’une grande société ne génère que 100 000 alertes par jour. Une équipe de quatre personnes qui consacrerait 30 minutes à chaque problème ne serait capable de traiter que 16 alertes par jour et par personne, soit un total de 64 incidents par jour et par équipe. La grande majorité des alertes ne pourrait donc pas être examinée, ce qui explique qu’il s’écoule en moyenne 145 jours avant que les situations à risque ne soient repérées. En réalité, beaucoup d’entreprises ne cherchent même pas…
Comment les équipes chargées de la sécurité peuvent-elles gérer un plus grand pourcentage d’alertes par jour ? Ou traiter en priorité celles qui sont potentiellement les plus graves ? Réponse : en automatisant massivement la détection des alertes et les mécanismes de réaction, permettant de réduire les temps de traitement de 30 à 2 minutes par événement.
En se focalisant sur les anomalies, en utilisant toutes les données à leur disposition et en automatisant les processus autant que possible, les équipes de réaction aux incidents et les entreprises seront mieux armées pour faire face aux chaînes d’attaques les plus complexes.