Analyse comportementale : une disparition attendue pour 2021

Il y a trois ans, l’analyse comportementale appliquée à la sécurité était sur toutes les lèvres. Un nouvel eldorado avec ses porte-étendards, dont Fortscale, finaliste de l’Innovation Sandbox de l’édition 2015 de RSA Conference. Le marché était encombré par une multitude d’acteurs misant tantôt sur l’analyse des journaux d’activité, sur celle des points de terminaison de l’infrastructure à partir d’agents résidents, ou encore sur le trafic réseau (NTA, Network Trafic Analytics). Mais ce temps semble désormais bien loin, et ce n’est pas forcément une mauvaise nouvelle.

Ainsi, selon Gartner, l’analyse comportementale appliquée à la sécurité (UEBA) arrive à maturité, « devenant plus robuste » et profitant d’une « adoption plus large dans les entreprises avant-gardistes ». Du coup, l’UEBA se trouve intégrée dans de nombreux outils et contrôles : systèmes de gestion des informations et des événements de sécurité (SIEM), systèmes de prévention/détection d’intrusion (IDS/IPS), passerelles d’accès cloud sécurisées (CASB), gestion des identités et des accès (IAM), ou encore détection des menaces sur les postes de travail (EDR).

De fait, en quelques années, les acquisitions dans le domaine de l’UEBA se sont multipliées. L’an dernier, Cisco a annoncé le rachat d’Observable Networks. Avant cela, Palo Alto Networks s’était offert LightCyber, peu de temps après l’acquisition de Niara par HPE. En 2016, WatchGuard s’offrait HawkEye G de Hexis Cyber Solutions. Plus tôt encore, Splunk avait racheté la technologie de Caspida pour disposer de sa propre brique d’analyse comportementale. RSA NetWitness en est doté également, et IBM avait attendu juillet 2016 pour lancer la sienne dans l’écosystème QRadar. Microsoft, avec Adallom et Aorato, ne s’est pas non plus privé d’acquérir de telles briques pour ses offres.

Plus récemment, One Identity s’est offert Balabit, qui utilisait l’UEBA pour Blindspotter. VMware s’est offert pour sa part, E8 Security, un autre acteur du domaine. RSA a choisi de se tourner vers Fortscale pour doter enfin NetWitness de capacités d’analyse comportementale robustes. Enfin il convient de ne pas oublier le rachat de RedOwl par Forcepoint, l’an dernier.

En fait, Gartner relève que les solutions de protection du poste de travail (EPP) ou d’EDR de Carbon Black, Cisco, CounterTack, CrowdStrike, Cybereason, Cylance, Rapid7 ou encore SentinelOne intègrent des capacités d’UEBA. Et cela vaut également pour celles de CASB de Bitglass, Netskope, Oracle, McAfee, ou encore Symantec. Il faut aussi compter avec plusieurs solutions de détection des menaces internes, de gouvernance des identités, de gestion des comptes à privilèges, de détection des intrusions, ou encore de SIEM.

Entre Bay Dynamics, Exabeam, Gurucul et Securonix, les acteurs indépendants du domaine ne sont plus nombreux. Et ils cherchent à multiplier les cas d’usage. Securonix décline son offre de la gestion de la menace interne à la surveillance des comptes à privilèges en passant par le renseignement sur l’exfiltration de données. Une approche que l’on retrouve chez Exabeam. Quant à Gurucul, il applique sa technologie autant à l’analyse du comportement d’entités de l’infrastructure, qu’à celle des identités ou encore à la sécurité des services cloud.

En l’état, Gartner estime que les solutions indépendantes d’UEBA « attirent surtout les très grandes multinationales ». Et elles y investissent des sommes significatives : selon le cabinet, le marché devrait représenter 352 M$ en 2020, contre 50 M$ en 2015. Pour autant, il s’attend à ce que ce marché ait disparu en 2021, sous l’effet de la consolidation en cours. Ainsi en 2022, l’UEBA pourrait être intégrée dans 80 % des solutions de détection de menaces et de hiérarchisation d’incidents.