La sécurité à l’heure du Big Data

Eddie Schwartz, RSI de RSA, ne contredira pas son président exécutif. Pour lui aussi, en matière de sécurité, il faut adopter une approche de type «Big Data» : «nous collectons des données de sources multiples - anti-virus, logs de pare-feu, d’IDS, d’IPS, etc. - mais qui restent en silos. Toute cette information doit être disponible pour tout le monde, à tout moment. Et il faut y ajouter des informations sur des paquets de données complets, des données provenant de sources ouvertes [...] pour mesurer effectivement le niveau de la menace.» Et d’ajouter à cela que les données de ces sources multiples «sont dans des formats différents; elles ont besoin d’être normalisées. Aujourd’hui, c’est mélanger des pommes et des oranges ». Bref, pour Eddie Schwartz, «il faut construire une structure de données et commencer à déployer différents composants de décisionnel pour en arriver à la security intelligence ». Et, accessoirement, cela ne fera qu’accentuer les tensions pour le recrutement de data scientists déjà de plus en plus demandé dans le décisionnel classique, comme le relevait récemment Stephen Brobst, directeur technique de Teradata. 

Hugh Njemanze, co-fondateur d’ArcSight, ne le contredirait pas. Interrogé lors des Assises de la Sécurité, qui se tenaient début octobre à Monaco, il le reconnaît bien volontiers : «l’analyse et l’identification de schémas comportementaux en sécurité, c’est comme dans le marketing ! On parle là l’algorithmes personnalisés qui cherchent des événements.» 

Quand le SIEM se rapproche du décisionnel

Le moteur de corrélation CORR-Engine d’ArcSight Express, illustre bien cette tendance. Récemment lancée dans sa version 3.0, l’appliance de gestion des informations des incidents de sécurité (SIEM) de HP s’appuie bien évidemment sur un système de gestion de bases de données. Alexandre Depret-Bixio, responsable des ventes ArcSight pour la France, explique que son moteur analytique Logger s’appuie sur une base données «propriétaire qui fonctionne par indexation pour gagner en performances. Pour la corrélation, on a historiquement travaillé avec Oracle, la plus performante pour l’analytique et la mise en oeuvre de scénarios de corrélation ». Hugh Njemanze, va plus loin : «nous avons commencé avec Oracle. Puis nous avons passé 10 ans à affiner sur cette base. Au cours de cette période, nous avons cherché des alternatives.»

Et, sous la pression d’un marché en «pleine progression» et de la multiplication des «modèles de corrélation à appliquer», il a fallu «optimiser et améliorer les performances », explique Alexandre Depret-Bixio. C’est ainsi qu’ArcSight a été amené à «porter notre savoir-faire acquis avec Logger sur le moteur analytique de corrélation. Cette nouvelle base de données s’appelle CORR-Engine ». Proposant les mêmes fonctionnalités que la mouture précédente, ce moteur de corrélation serait capable, selon HP, de traiter 2,5 fois plus d’événements par seconde, de fournir des réponses à une requête de corrélation 5 fois plus vite et de diviser par 20 les coûts de stockage.

...avant des transferts technologiques

Après le rachat de Vertica par HP, ArcSight aurait-il intérêt à chercher les transferts de technologies ? Alexandre Depret-Bixio ne ferme pas la porte : «ils ont une base de données ulta-performante. Et, oui, on peut imaginer des portages avec ce type de base de données, ou encore de type GreenPlum.» Toutefois, plus que la vision en quasi temps réel sur l’infrastructure, pour lui, le SIEM vise la traçabilité, l’analyse post-mortem. Du moins est-il ainsi appréhendé par le marché : «le marché n’est pas encore prêt pour un portage de Vertica sur un SIEM. Mais c’est techniquement possible et c’est probablement l’avenir.» D’ailleurs, il note un changement dans la perception du marché : «les entreprises prennent conscience du besoin de changer leur approche de la sécurité, de l’aborder par les métiers, par le gestion du risque.» D’ailleurs, il «propose un module SAP pour faire du SIEM applicatif sur les transactions au sein de SAP. Nous sommes capables d’analyser la conformité des comportements avec les processus dans une structure applicative comme SAP ».

Toutefois, Hugh Njemanze reconnaît avoir étudié Vertica comme moteur de base de données alternatif, «par le passé. Mais il y avait quelques incompatibilités. C’est pour cela que nous avons du construire quelque chose de dédié à nos besoins ». Au final, pour lui, «CORR-Engine est quelque chose qui n’a pas d’équivalent, aujourd’hui, sur le marché ».