Fortscale combine Big Data et Machine Learning pour traquer les comportements anormaux

La start-up, finaliste de l’édition 2015 de l’Innovation Sandbox de RSA Conference, mise sur l’analyse de logs pour détecter les comportements suspects d’utilisateurs, en combinant Big Data et Machine Learning.

Forscale compte parmi ces pionniers du domaine en pleine expansion de l’analyse du comportement des utilisateurs. En anglais, on parle de User Behavior Analysis, ou UBA.

Dans un entretien avec la rédaction, Idan Tendler, Pdg et co-fondateur de la start-up, justifie son approche : « les utilisateurs sont devenus la plus grande menace pour les entreprises, que ce soit à leur insu, avec le vol d’identifiants, ou volontairement, par malveillance interne. Il est donc nécessaire de disposer de plus de visibilité sur les utilisateurs. C’est là-dessus que nous nous concentrons à 100 % ».

Récemment, Fortscale étendu sa solution d’UBA à l’analyse de l’activité des utilisateurs dans les applications métiers propriétaires. Et l’éditeur ne devrait pas avoir de difficultés à aller plus loin, bien plus loin.

Découvrir automatiquement les comportements normaux

De fait, si certains s’appuient sur des agents résidents sur les postes de travail, comme SentinelOne, ou d’autres sur le trafic réseau, comme DarkTrace, Fortscale adopte une approche rappelant plutôt celle d’iTrust : « nous travaillons en nous appuyant sur le SIEM, à partir des logs qu’il collecte », et en particulier de Splunk. Mais à cela s’ajoute un cluster Hadoop intégré au SIEM et aux éventuels entrepôts de logs.

Sur son site Web, Fortscale mentionne d’autres capacités d’intégration, avec Vertica, mais aussi Greenplum/Vertica, et d’autres fournisseurs de SIEM – dont ArcSight, Q1 Radar, LogRythm, ou encore RSA Security Analytics.

Et tout cela de renvoyer à l’automne 2011, quand Alexandre Depret-Bixio, alors responsable des ventes ArcSight chez HP, pour la France, reconnaissait qu’il était envisageable d’imaginer des passerelles entre Vertica – racheté quelques mois plus tôt par HP –, Greenplum et ArcSight. Hugh Njemanze, co-fondateur d’ArcSight, relevait alors toute la pertinence de ce type de réflexion : «l’analyse et l’identification de schémas comportementaux en sécurité, c’est comme dans le marketing ! On parle là l’algorithmes personnalisés qui cherchent des événements.»

Une multitude d’applications

Mais la sauce secrète de la recette aujourd’hui, pour Fortscale, c’est « le machine learning », explique Idan Tendler, ajoutant que le Big Data n’apporte finalement que le socle technologique permettant de passer à une grande échelle.

Alors, la solution de Fortscale traque les logs à la recherche de motifs, de contextes, « et nous comparons aussi les utilisateurs avec leurs pairs ». Le tout sans seuils, ni autres à-priori : l’apprentissage permet de déterminer les comportements normaux.

Mais il n’est pas très difficile d’imaginer que l’analyse comportementale intéresse d’autres domaines, à commencer par le renseignement. « En effet », reconnaît Idan Tendler. Et d’assurer que « nous nous efforçons de faire ce qu’il y a de plus difficile à faire pour une start-up, à savoir dire non ».

Toutefois, il n’est pas nécessaire d’aller aussi loin. Le Pdg de Fortscale explique avoir été sollicité par un directeur des ressources humaines qui souhaitait utiliser sa solution pour identifier les employés ayant l’intention de quitter son entreprise : « nous lui avons dit non. Nous avons besoin d’être hautement concentrés ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close