Sécurité : est-on passé à trop d’intelligence artificielle ?

Exabeam fait partie de ces précurseurs de la détection d’anomalies comportementales appliquée à la sécurité informatique, la fameuse UBA (pour les utilisateurs) ou UEBA (pour les hôtes du SI en plus des utilisateurs). Sylvain Gil, son vice-président Exabeam en charge des produits, observe sereinement l’intégration de ce qu’il qualifie de « capacité technique » dans un nombre toujours croissant de systèmes de sécurité : « comme les règles de corrélation historiques, c’est quelque chose qui a vocation à être présent dans tous les contrôles de sécurité ».

Alors pour lui, il ne faut surtout pas hésiter à activer ces capacités d’analyse partout où elles sont disponibles : « allumez-les ! Le risque, ce n’est pas d’avoir plus de faux positifs, c’est de voir des choses que l’on n’aurait pas vues autrement ». La crainte de la menace qui passerait inaperçue du fait de cet étage de filtrage que certains qualifient volontiers d’intelligent ? « C’est un problème qui existe depuis toujours ». Rien de nouveau sous le soleil, donc, ce ce côté-là, sinon, justement, une atténuation potentielle de ce risque. Alors pour Sylvain Gil, cela ne fait aucun doute : « au lieu des signatures, il vaut mieux essayer de comprendre quels sont les mauvais comportements, essayer de comprendre comment fonctionne l’environnement au jour le jour ».

Du fait de sa position, Sylvain Gil pourrait être soupçonné d’être partisan. Mais il n’est pas le seul à afficher ce point de vue. Son regard renvoie ainsi à l’analyse de Piotr Matusiak, RSSI de L’Oréal, qui relevait dans nos colonnes, à l’automne que « lorsque Darktrace signale quelque chose, ce n’est pas un faux positif, c’est une anomalie ! ». Et pour lui, celle-ci mérite investigation : « on y passe du temps, c’est sûr. Mais je préfère ce genre d’analyse plutôt que de me contenter de développer des scénarios statiques ».

Nicolas Fernandez et Paul Lemesle, respectivement directeur de la cybersécurité de Saint-Gobain et responsable de son SOC, témoignaient, lors des Assises de la Sécurité, en octobre dernier, à Monaco, de leur déploiement des outils de Vectra, un concurrent direct de Darktrace, lui aussi spécialiste de l’analyse comportementale réseau. À cette occasion, ils relativisaient certains discours : « on parle d’intelligence artificielle, mais dans la réalité, c’est plutôt de l’apprentissage automatique ». Pour l’heure, la technologie vise à aider les analystes. Un choix stratégique à l’issue d’une situation – l’incident NotPetya – appréhendé comme une chance : « nous sommes dans une situation où nous sommes obligés de reconstruire ».

Mais la détection d’anomalie doit-elle être activée partout dans tous les contrôles de sécurité où elle est disponible… ou seulement sur un entrepôt de journaux centralisé ? « Il y a de vraies difficultés techniques » à cette seconde approche, relèvent-ils.

Emmanuel Gras, PDG et co-fondateur d’Alsid, ne les contredira pas. Si oui, il a déjà pu observer des approches consistant à consolider de vastes volumes de détails d’activité dans de « grands datalakes », pour « essayer de mettre de l’intelligence au-dessus », c’est surtout réservé à une frange haute du marché : « des grandes banques américaines », par exemple. Mais dans la pratique, à ce jour… « je n’ai jamais vu cette stratégie fonctionner à l’échelle, ne serait-ce que compte tenu de la volumétrie ».

Dès lors, pour Emmanuel Gras, « il faut s’appuyer sur une solution pouvant apporter un premier niveau d’intelligence et d’analyse avant de remonter l’information un niveau au-dessus. Ce n’est pas un filtrage par périmètre, mais par fonction de sécurité ».

Pour autant, le filtrage par périmètre est également parfois retenu. Toujours lors des Assises de la Sécurité, Sopra Steria annonçait une offre centrée sur la sécurité des données, développée en partenariat avec Forcepoint et Brainwave. L’occasion d’un échange avec Fabien Lecoq, directeur sécurité technique au sein de l’entreprise de services numériques (ESN). Car des algorithmes d’apprentissage automatique sont mis à contribution, avec l’aide d’analystes, pour établir les clusters de classification de fichiers.

Et une grande banque cliente de l’ESN a fait le choix de l’UEBA, mais « sur 10 % des utilisateurs, en se concentrant sur les fonctions métiers où le risque est le plus élevé ». Du coup, « on ne s’attend pas à une généralisation de l’UEBA à 100 % sur une entreprise ».