Le Big Data au service de la sécurité aura un coût

Il y a tout juste un peu plus d’un an, Sourcefire présentait sa solution de protection contre les logiciels malveillants basée sur un moteur déporté d’analyse des menaces visant les postes de travail. Baptisée FireAMP, elle s’appuyait sur la technologie d’Immunet, rachetée par l’éditeur en janvier 2011. Initialement purement logicielle, la solution est désormais proposée sous la forme d’une appliance, avec pour ambition de multiplier les points de contrôle et, surtout, d’améliorer la traçabilité des menaces identifiées à postériori, dans le réseau de l’entreprise. Une capacité qui avait été intégrée, à l’automne, aux appliances FirePower de Sourcefire et qui est ici proposée seule. En novembre dernier, Cyrille Badeau, directeur régional Europe du Sud de Sourcefire, expliquait que tout l’intérêt de FireAMP était non seulement de prévenir la distribution des menaces connues mais également d’alerter lorsque des fichiers considérés comme inoffensifs dans un premier temps avaient finalement été identifiés comme malveillants, après analyse et remonté de données externes. L’amélioration de leur traçabilité permet alors d’accélérer la décontamination de l’environnement et de remonter à la source de l’infection. Cela peut paraître audacieux, mais Oliver Friedrichs, vice-président sénior de la division Technologies Cloud de Sourcefire, assume pleinement cette approche : «oui, l’une des clés du concept est de dire que l’on s’est trompé; de reconnaître que nos outils ont, dans un premier temps, laissé passer le logiciel malveillant.» Une humilité qui peut payer. Trop de «fire» risquant de tuer la flamme, Sourcefire ne parle plus de FireCloud pour désigner son infrastructure Cloud sous-jacente mais le concept reste le même : lorsque FireAMP repère un comportement suspect, il en remonte la signature au Cloud du spécialiste, qui se charge de l’analyse et répond par un

go/no go. Un Cloud que l’on appellera donc plus FireCloud qui s’appuie sur de l’Hadoop, du Hive, du MongoDB, du ClamAV mais également un peu de MySQL. Mais lorsqu’on lui parle de Big Data, Oliver Friedrichs est modeste : «on ne mesure probablement pas à quel point on utilise le Big Data.» Et d’ajouter, avec une pointe d’ironie, que «les poissons ne parle pas d’eau»... Reste que tout cela a un coût, au moins d’exploitation. Et un coût qui devrait aller croissant à mesure que Sourcefire conservera et analysera de plus en plus de données - de ses clients, mais aussi de sources tierces.

Des coûts croissants Pour l’heure, c’est le fournisseur du service qui l’assume. Mais à l’avenir, cela pourrait changer. Oliver Friedrichs précise que, pour l’heure, «nous conservons les données sans limite de temps pour nos clients. À l’avenir, cela pourrait changer en fonction des volumes. Mais en moyenne, la persistance d’une menace avancée est de l’ordre de 356 jours ». Suffisant ? L’histoire récente, avec Stuxnet, a montré que l’écart par rapport à cette moyenne - et, oui, «ça n’est qu’une moyenne» - peut être important. Oliver Friedrichs le reconnaît volontiers et n’exclut pas de proposer à terme des niveaux de service différents à ses clients, afin de refléter les coûts associés au stockage et aux ressources de calcul : «c’est une idée correcte. Je peux effectivement envisager que l’on propose une option pour proposer, par exemple 1 an de rétention au-delà d’une période de rétention standard, ou en fonction du nombre de postes de travail à surveiller.» Toutefois, explique-t-il, «nous n’avons pas encore été confrontés à ce problème. Mais cela arrivera ».