Brainwave s’ouvre à l’analyse du comportement

L’éditeur français vient de présenter la version 2015 de sa solution de contrôle des droits d’accès, IdentityGRC. Une mouture enrichie par des capacités d’analyse du comportement des utilisateurs (UBA).

Dans un entretien téléphonique avec la rédaction, Sébastien Faivre, directeur général de Brainwave rappelle l’objectif de sa solution : « lutter contre le risque de fraude et de fuite de données, en se concentrant sur la sécurité des droits d’accès ». Ainsi, IdentityGRC s’adresse aux personnes chargées de la sécurité, du risque et de la conformité, leur permettant de surveiller « qui peut accéder à quoi dans l’entreprise ».

Et la principale nouveauté de cette version touche à la très tendance analyse du comportement des utilisateurs (UBA) : « on s’intéresse à l’usage qui est fait des applications et des données ». Parce que si les pratiques de référence commandent de configurer au plus juste les droits d’accès, « pour réduire la surface d’attaque », la réalité relève souvent « d’une ouverture un peu plus large que nécessaire », ne serait-ce que pour offrir un peu plus de « flexibilité ».

Un principe de réalité qui renforce toutefois le « besoin de vérifier qu’il n’y a ni fraude interne, ni situation d’attaque par jeu de rebond d’un compte compromis à l’autre jusqu’à celui qui dispose des droits nécessaires à l’accès aux données visées ».

Pour produire ses analyses, IdentityGRC 2015 se base sur les logs, les mettant en perspective avec les droits « pour détecter les comportements anormaux vis-à-vis des actifs critiques de l’entreprise ». Le fruit d’un peu moins de deux ans de recherche et développement, explique Sébastien Faivre.

Et de souligner là adopter une approche différente de celle du SIEM : « la logique ne consiste pas là à compiler des logs mais à modéliser des comportements pour identifier des dissonances ou des anomalies ». Et d’illustrer son propos : « il s’agit par exemple de détecter qu’une personne manipule 5000 fichiers par mois alors que, dans son département, les autres ne travaillent en fait que sur 500 ».

Et il ne s’agit pas non plus de détection à postériori, comme c’est traditionnellement le cas avec le SIEM : « le marché a basculé sur une logique opérationnelle depuis environ 24 mois, sous l’effet de la médiatisation de grandes brèches notamment ».  

Et puis le SIEM se contente souvent « d’une analyse sur les couches technologiques. De notre côté, nous en prenons les informations pour les replacer dans le contexte des utilisateurs et de leurs droits ». Une approche complémentaire, donc.

Selon Sébastien Faivre, Brainwave IdentityGRC 2015 peut commencer à produire des résultats « à partir d’une semaine de logs », pour l’analyse spatiale, « comme le cas d’un comptable qui se promène dans le spartages RH ». L’analyse temporelle, cherchant à identifier les déviations comportementales nécessitent en revanche plusieurs mois de logs.

 

L’outil est en tout cas largement paramétrable, notamment sur les clés d’agrégation des données et sur la définition des seuils de détection. Mais pas question, pour l’heure, d’appliquer le Machine Learning, même si « on travaille sur le sujet en recherche et développement ». Parce que pour l’heure, selon Sébastien Faivre, « cela reste assez magique. L’analyste peut avoir du mal à appréhender pourquoi certaines alertes ressortent et pas d’autres ». La lisibilité des résultats apparaît donc trop limitée alors que l’objectif est de produire des informations exploitables de manière opérationnelle.

Reste la question des volumes de données nécessaires : « les logs, c’est environ 30 % des données générées en entreprise. Leur stockage est un vrai sujet au long court pour les DSI. Des solutions se mettent en place, les éditeurs de SIEM ont produit des efforts importants pour la normalisation et l’absorption des logs »… mais cela ne suffit pas toujours.

Et pour passer à l’échelle supérieure, au Big Data, « toutes les entreprises n’ont pas les moyens de mettre en place un cluster Hadoop en liaison avec leur SIEM », relève Jean-Yves Pronier, porte-parole de Brainwave. Alors pour l’heure, la surveillance reste sélective et centrée sur les utilisateurs ou les profils les plus sensibles.