Sécurité : la mort attendue de l’analyse comportementale

Il y a deux ans, l’analyse comportementale appliquée à la sécurité était sur toutes les lèvres. Un nouvel eldorado avec ses porte-étendards, dont Fortscale, finaliste de l’Innovation Sandbox de l’édition 2015 de RSA Conference. Le marché était encombré par une multitude d’acteurs misant tantôt sur l’analyse des journaux d’activité, sur celle des points de terminaison de l’infrastructure à partir d’agents résidents, ou encore sur le trafic réseau (NTA, Network Trafic Analytics), comme Darktrace ou Vectra Networks.

Début janvier, Avivah Litan, chez Gartner, estimait que le marché de l’UEBA – User and Endpoint Behavior Analytics – avait doublé entre 2015 et 2016 pour passer à 100 M$, et qu’il devrait encore doubler cette année pour attendre les 200 M$. « Mais après ? », interrogeait-elle. C’est bien simple, le marché est à appeler à disparaître : « certains éditeurs d’UEBA vont survivre comme plateformes indépendantes qui deviendront par essence les plateformes SIEM [système de gestion des informations et des événements de sécurité] de nouvelle génération ». Les autres sont appelés à se retrouver avalés par d’autres marchés de la sécurité, enfermés dans les niches de certains cas d’usage. A moins qu’ils ne soient rachetés.

En janvier dernier, Anton Chuvakin déclinait cinq cas d’usage pour l’analyse comportementale : « détection de compte compromis ; détection d’hôte compromis ; détection d’exfiltration de données ; abus de droits d’accès par un interne ; et gain d’une connaissance étendue sur l’environnement ». Et les recouvrements ne manquent en effet pas avec les cas d’usage des SIEM.

En fait, Avivah Litan entrevoyait déjà, en mai 2016, une inéluctable consolidation et intégration des solutions isolées d’analyse comportementale. Et l’histoire lui donne raison. Cisco vient d’annoncer le rachat d’Observable Networks. Mais avant cela, Palo Alto Networks s’est offert LightCyber, peu de temps après le rachat de Niara par HPE. Il y a un an, WatchGuard s’offrait HawkEye G de Hexis Cyber Solutions. Avant cela, Splunk avait racheté la technologie de Caspida pour disposer de sa propre brique d’analyse comportementale. RSA NetWitness en est doté également, et IBM avait attendu juillet 2016 pour lancer la sienne dans l’écosystème QRadar. Et entre Adallom et Aorato, Microsoft ne s’est pas non plus privé d’acquérir de telles briques pour ses offres.

A l’instar de cet éditeur, de nombreux autres intègrent des fonctionnalités d’analyse comportementale à leurs produits. Il en va ainsi de CA Technologies, avec Threat Analytics for PAM, issu du rachat d’Interlock de Mobile System 7, pour la supervision des comptes à privilèges, mais aussi de Brainwave avec IdentityGRC, et de Balabit avec Blindspotter.

Forcepoint met à profit la technologie dans SureView Insider Threat, de même que LogRythm ou encore Varonis pour DatAlert. Et que dire Cisco avec CloudLock ou encore de Symantec avec BlueCoat (et la technologie d’Elastica) ? Citrix lui-même a ajouté des capacités d’analyse comportementale à sa plateforme NetScaler, et pas uniquement pour des questions de performances et de disponibilité.

Securonix semble l’avoir bien compris, allant bien au-delà de la solution limitée à un seul cas d’usage et déclinant son offre de la gestion de la menace interne à la surveillance des comptes à privilèges en passant par le renseignement sur l’exfiltration de données. Une approche que l’on retrouve chez Exabeam. Quant à Gurucul, il applique sa technologie autant à l’analyse du comportement d’entités de l’infrastructure, qu’à celle des identités ou encore à la sécurité des services Cloud.

Entre détection des menaces sur les hôtes (EDR), prévention des fuites de données (DLP, voire CASB), et contrôle des comptes à privilèges (PAM), les contrôles de sécurité susceptibles de profiter des techniques d’apprentissage automatique – ou machine learning – pour établir des profils comportementaux avant de détecter des déviations ne manquent pas.

Et cela vaut aussi pour la gestion des accès et, notamment, de l’authentification, comme le relevait mi-mars Anton Chuvakin, soulignant au passage les leçons apprises du monde bancaire – où CA et RSA n’ont pas manqué d’acquérir de l’expérience. De nombreux acteurs du marché relativement jeune de l’authentification continue s’appuient ainsi sur la biométrie comportementale – en multipliant les sources de télémétrie, et c’est bien là leur originalité – pour associer un niveau de risque aux requêtes en authentification et déterminer si des facteurs supplémentaires sont requis pour confirmer l’identité proclamée de l’utilisateur.