Warakorn - Fotolia

L’analytique de sécurité, un marché en pleine effervescence

Après une entrée en scène tonitruante l’an passé, l’analytique de sécurité continuer d’évoluer rapidement, profitant des avancées de l’intelligence artificielle. Et ce n’est pas prêt de s’arrêter.

L’émergence de l’application de l’analyse comportementale à la sécurité informatique s’est imposée comme l’une des tendances marquantes de l’année passée. Encore naissant, ce marché, s’appuyant sur le machine learning et, plus généralement sur l’intelligence artificielle, est appelé à évoluer rapidement au cours des mois qui viennent. Le MIT et PatternEx viennent d’ailleurs tout juste de le montrer, si c’était encore nécessaire, avec la plateforme AI2.

Dans une récente note d’information, Avivah Litan, analyste chez Gartner, ne dit pas autre chose : « les systèmes analytiques avancés sont en train d’être intégrés aux marchés de la sécurité après que les systèmes de prévention basés sur des règles et des signatures et les processus d’affinage ont peiné à détecter et arrêter la plupart des brèches de sécurité au cours des dernières années ».

L’intérêt pour ces nouvelles solutions analytiques est tel que « la plupart des entreprises sur les marchés traditionnels de la sécurité, comme le SIEM, la protection des points de terminaison et la gestion des identités et des accès (IAM) sont défiées par de nouveaux acteurs proposant de l’analytique avancée dans leurs domaines ». Et l’on pense notamment à Darktrace, Exabeam, Fortscale, Gurucul, LightCyber, ou encore Securonix.

Mais les acteurs traditionnels ne restent pas passifs. Ainsi, selon le cabinet, à l’horizon 2018, plus de la moitié des spécialistes de la gestion des informations et événements de sécurité (SIEM) auront intégré à leurs systèmes des capacités d’analyse comportementale des appareils et des utilisateurs (User and Endpoint Behavior Analystics, UEBA). Et ce sera également le cas de 25 % des produits spécialisés dans la détection. HP, RSA, Splunk, Balabit, Rapid7 ou encore Brainwave, pour ne citer qu’eux, ont déjà sauté le pas.

Et si l’automatisation de la réponse aux incidents comptait parmi les principaux thèmes de la dernière édition de RSA Conference, Gartner estime qu’au moins 10 % des produits d’UEBA intègreront des capacités d’automatisation de la réponse, en 2018. Car à cet horizon, le marché sera entré dans sa phase 4 : celle des packages analytiques prescriptifs. La phase 3, dans laquelle nous sommes entrés, est celle des packages prédictifs.

Mais attention, comme le souligne Avivah Litan, « l’analytique avancée n’est pas une panacée. Pour faire simple, elle améliore les systèmes de détection en réduisant le ratio signal/bruit ». Une bonne nouvelle, donc, car « il sera plus difficile pour un acteur malicieux ou un processus d’échapper à la détection lorsque l’on utilisera des systèmes analytiques avancés plutôt que des règles seules ».

Las, les attaquants ne manquent pas de ressources. Et comme le relevait récemment Charles Henderson, chez Truswave, au sujet des systèmes de leurres, les attaquants prennent le temps d’étudier le fonctionnement des systèmes de défense qui sont susceptibles d’être achetés sur le marché. Et Avivah Litan ne dit pas autre chose : « les criminels et autres acteurs malicieux vont étudier la manière dont fonctionnent les systèmes analytiques avancés et de profilage et trouver les moyens de les déjouer ». Et s’ils n’y parviennent pas, « ils trouveront comment tromper, par ingénierie sociale, les employés, sous-traitants, partenaires, clients et autres individus associés à l’organisation qu’ils visent ».

Au final, selon Gartner, à l’horizon 2020, les cybercriminels les plus avancés « seront capables de déjouer 80 % des organisations qui ont déployé des systèmes analytiques avancés ». Avivah Litan s’appuie là sur l’expérience : « nous avons observé des incidents dans le domaine de la fraude, où les systèmes analytiques avancés sont utilisés depuis des années ». Alors pour elle, « pas de doute, cela se produira aussi dans le domaine de la sécurité ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close