Cet article fait partie de notre guide: Le défi d'une gestion globale de la sécurité

IBM ouvre une plateforme de partage des renseignements de sécurité

Le groupe partage désormais gratuitement les données de la plateforme de renseignement de sécurité de sa division X-Force.

IBM vient d’ouvrir X-Force Exchange, une plateforme de partage de renseignements de sécurité. Pour l’instant disponible en béta, elle doit être finalisée d’ici deux semaines. Lors d’un entretien avec la rédaction, Agnieska Bruyere, directrice de la division sécurité d’IBM France, souligne l’une des originalités de la plateforme : « la mise à disposition libre et gratuite » des renseignements collectés et traités par X-Force, la division sécurité du groupe. Il s’agit notamment d’indicateurs de menaces produits à partir des informations remontées par les clients utilisateurs du système de gestion des informations et des événements de sécurité (SIEM) QRadar, et de ceux des services de sécurité managés d’IBM.

En tout, il y a déjà là, selon Agnieska Bruyere, quelques 700 To de données. Dans un communiqué, IBM revendique « des informations sur les menaces basées sur l’observation de plus de 15 milliards d’événements de sécurité par jour », celles « issues d’un réseau de 270 millions de terminaux », ou encore celles basées sur « plus de 25 milliards de pages Web et d’images », et les renseignements retirés de l’analyse « de plus de 8 millions de spams et d’attaques par hameçonnage », ainsi que les données de réputation « de près de 1 million d’adresses IP malveillantes ».

Une tendance générale à la coopération

Agnieska Bruyere souligne que ce lancement s’inscrit dans le cadre d’une tendance à la coopération qui se généralise dans l’industrie. De fait, Facebook a présenté une plateforme d’échange comparable en février dernier. Plus tôt, en septembre dernier, McAfee et Symantec ont rejoint Fortinet et Palo Alto Networks au de la Cyber Threat Alliance, lancée en mai 2014, pour « coordonner les informations et les effort des acteurs du secteur pour lutter plus efficacement contre les menaces informatiques ». Et puis il y a eu Microsoft, avec sa plateforme Interflow qui soulignait, lors de son lancement, l’importance de l’approche collective de la sécurité. L’éditeur semblait alors répondre à Check Point et à son ThreatCloud IntelliStore, lancé fin mai 2014. Et que dire d’un McAfee qui présentait son Threat Intelligence Exchange à l’automne dernier, en s’associant à CyberArk, Titus et ForeScout.

Avec son X-Force Exchange, IBM se joint donc au bal, promettant de mettre à disposition ses informations en temps réel. Comme d’autres avant lui, le groupe souhaite aussi trouver des partenaires pour rallier son initiative et disposer en définitive de « la base de renseignement sur les menaces la plus riche possible ». A la clé, une offre plus fiable pour ses clients, mais également des gains pour sa réputation, reconnaît Agnieska Bruyere. Pas de nom à annoncer pour l’heure sur ce point, mais « nous nous attendons à pouvoir le faire prochainement ».

Des échanges entre pairs

Les utilisateurs de la plateforme vont pouvoir, s’ils le souhaitent, fournir leurs propres indicateurs. Mais il n’y a pas d’obligation à cette réciprocité. Ils pourront donc gratuitement injecter des flux de renseignements dans leurs SIEM. QRadar est évidemment supporté nativement, mais une API est mise à disposition pour les autres.

Surtout, les utilisateurs doivent pouvoir échanger avec leurs pairs, via une interface collaborative, directement sur la plateforme. IBM a prévu pour cela la création de communautés, sur la base de différents éléments, comme le secteur d’activité : « nous voulons que les utilisateurs puissent créer leurs propres communautés, à l’intérieur de leur entreprise, mais également à une échelle plus grande », explique Agnieska Bruyere. Et l’on pense là à des initiatives comme celles des détaillants américains ou des acteurs du secteur des services financiers outre-Atlantique.

Pour IBM, il faut imaginer sa plateforme comme « un Pinterest ou Evernote pour équipes de sécurité » visant à permettre de corréler les données et « d’obtenir un contexte par rapport à d’autres industries ».

… et au-delà ?

Mais les attaquants sont-ils susceptibles d’utiliser également la plateforme afin de chercher à apprendre ce que l’on sait de lui ? Une question importante, si l’on en croît William Dupuy, chef du centre de cyberdéfense du ministère de la Défense, le Calid. Lors d’une table ronde organisée à l’occasion de l’édition 2015 du Forum International de la Cybersécurité, à Lille, fin janvier dernier, il soulignait ainsi que « personne ne veut que l’attaquant gagne des informations sur ce que l’on sait de lui ». Et si « cela peut sembler très simple énoncé comme ça », « tant que l’attaquant n’est pas identifié, on se pose la question de savoir à qui on peut adresser l’information le concernant ».

Agnieska Bruyere reconnaît l’importance du sujet, soulignant aussi un autre risque : l’alimentation de la plateforme en informations fausses par des acteurs malveillants. Mais elle souligne que « les utilisateurs de la plateforme vont aider à faciliter les relations de confiance. […] Les analystes de sécurité sont parmi les utilisateurs les plus mûrs et ils ne prennent pas les données pour argent comptant. Ils se penchent sur le contacte, la pertinence, et la source très attentivement avant d’utiliser les données ». Ce qui ne commence toutefois à répondre qu’à une partie du sujet.

Watson, pour les données non structurées

Reste que produire des renseignements sur les menaces présente un défi : le traitement de données, structurées et non structurées. « C’est un vrai sujet », reconnaît Agnieska Bruyere : « pour l’heure, nous utilisons i2 pour faire l’analyse de données normalisées […] mais il peut y avoir plus que cela et d’autres informations pas forcément structurables ni normalisables pour une consommation automatique ». Des informations qui nécessitent une intervention humaine. Et là, pourquoi ne pas mettre à profit une technologie à laquelle IBM a dédié une division il y a un peu plus d’un an et que le groupe a récemment musclé au traitement sémantique, à savoir Watson ?

Une véritable piste de travail, reconnaît Agnieska Bruyere : « utiliser Watson pour la sécurité, nous sommes en pleine réflexion ». Mais il ne faut rien attendre de concret dans ce domaine avant la fin de l’année.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close