Robert Sadowski, RSA : « il n’y a pas de solution miracle »

L’apprentissage machine, appliqué à l’analytique de sécurité, suscite un intérêt de plus en plus croissant. Pour certains, l’analyse comportementale est même appelée à bouleverser, à terme, le marché de la sécurité. Robert Sadowski, directeur marketing de RSA, ne cache toutefois pas une certaine prudence, alors même que l’éditeur vient de mettre à jour sa propre solution d’analyse comportementale : « de notre point de vue, il n’y a pas qu’une seule application de l’analytique en sécurité. Qu’il s’agisse du comportement de l’utilisateur, des comportements réseau ou de la télémétrie du terminal, il n’y a pas de recette miracle unique. Nous pensons qu’il est nécessaire d’utiliser différents types d’analyse pour étudier différentes sources de données tout en tirant profit du regard d’analystes expérimentés pour aider à automatiser certaines parties de leurs activités. Qu’il s’agisse d’apprentissage machine, d’automatisation pour la remédiation, ou du développements d’algorithmes capables de chercher des indicateurs sur un terminal, voire ce qui se passe lorsqu’un logiciel malveillant s’installe, de nombreuses techniques peuvent être utilisées et pas une seule ne permettra seule de répondre aux défis actuels ».

Et cela parce que, selon lui, l’une des questions clés est celle de la visibilité : « nous avons besoin d’avoir autant de données que possible ». Par exemple, si l’observation de ce qui se passe sur le poste de travail peut être prometteuse, « ce n’est probablement pas le premier endroit par lequel l’attaquant est entré sur le réseau. Donc, comment-il arrivé ici ? Qu’a-t-il fait après cela ? » Pour Robert Sadowski, l’analytique peut en définitive servir de point de départ à une enquête approfondie « sur l’ensemble de l’activité de l’attaquant pour établir des liens ».

Pour sa solution d’analyse comportementale, RSA a d’ailleurs profité d’une importante base installée pour éprouver son moteur analytique : « nous utilisons ce système pour protéger le réseau mondial d’EMC. Et nous avons testé cela sur des données de production live pendant un certain temps ».

Et justement, les résultats n’ont rien eu du miracle. Confrontés à des nombres élevés de faux positifs, notamment, les ingénieurs sécurité de RSA se sont montrés très réservés. Ou du moins très pragmatiques. Pour Robert Sadowski, la question est là celle de l’échelle, qui n’a rien à voir entre une infrastructure de taille modeste, et le réseau global d’un grand groupe.  

Pas question toutefois, pour lui, de décrier une technique ou une autre : « que l’on parle d’apprentissage machine, d’intelligence artificielle, de simple détection d’anomalies basée sur les modèles statistiques, plus l’on pourra utiliser ces algorithmes et les rendre efficaces, mieux ce sera ». Mais encore une fois, pour lui, ces outils de détection ne constituent qu’un point de départ. Du moins pour l’heure. Car s’il n’est pas encore question selon Sadowski d’aller au-delà aujourd’hui, « je ne dis pas que cela ne peut pas se produire à l’avenir ».