L’analyse comportementale, clé de la « smart-sécurité »

L’analyse comportementale permet de détecter les comportements à risque et les signaux faibles associés à une compromission dès que celle-ci affecte un système.

Partager sur:
Sauvegarder cet article
Aimer cet article 0
KamiPhuc-Big_Data_Prob(CC BY 2.0)

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don

L’analyse comportementale, clé de la « smart-sécurité »

Publié le 13 mars 2016
- A +

Par Thierry Berthier

KamiPhuc-Big_Data_Prob(CC BY 2.0)
KamiPhuc-Big_Data_Prob(CC BY 2.0)

 

L’analyse comportementale des utilisateurs (UBA pour User Behavior Analytics) permet de détecter les comportements à risque et les signaux faibles associés à une compromission dès que celle-ci affecte un système. L’UBA s’appuie sur la puissance des technologies big data et sur un processus d’apprentissage statistique (Machine Learning) pour catégoriser et détecter des séquences comportementales sans passer par une phase de modélisation initiale.

Une solution utilisant l’UBA apprend, sans pré-requis de modèle, à partir de « l’historique de vie » d’un système puis catégorise et sépare les comportements « anormaux » de ceux qui sont conformes aux standards de sécurité. L’UBA est ainsi en mesure de produire des alertes sur des événements susceptibles de créer un contexte de vulnérabilité. Le fonctionnement de l’UBA repose sur l’apprentissage statistique. Celui-ci exploite les données massives qui demeuraient jusqu’à présent sous-employées ou seulement partiellement utilisées comme les bases de logs des systèmes connectés.

Les principes de l’analyse comportementale

Le président de la NSA déclarait dès 2012 :

« L’analyse comportementale est la solution la plus plausible contre les APT (menaces persistantes avancées) ».

Les grands acteurs mondiaux de la cybersécurité s’orientent désormais vers l’UBA qui fournit une image précise, presque en temps réel, du risque associé au comportement de l’utilisateur. Le développement de produits de cybersécurité embarquant des technologies d’UBA se généralise depuis 2012. Les finalistes de l’édition 2015 de la conférence RSA – « Innovation Sandbox » ont présenté des solutions de smart-sécurité UBA particulièrement efficaces. Qu’il s’agisse d’HP, de SentinelOne ou de Fortscale, ces finalistes ont dévoilé en 2015 leurs produits combinant le Machine Learning et les technologies classiques de supervision pour détecter les comportements anormaux.

Ces outils exploitent massivement les rapports d’activité, les fichiers de logs et le SIEM (Security Information Management System) en tant que base d’apprentissage. Ils définissent des motifs typiques correspondant statistiquement à des comportements à risque. Les solutions UBA contiennent souvent plusieurs moteurs de détection d’anomalies, complémentaires, qui collaborent pour couvrir un large spectre de menaces. On y trouve en général un moteur de détection de signal faible, un moteur de corrélation métier issu de l’expertise d’ingénieurs en cybersécurité complétés par une base de connaissance globale régulièrement mise à jour à partir des retours d’expériences-clients.

Ces moteurs travaillent sur une base (big data) souvent externalisée qui contient les données d’entrées utilisées ensuite lors de la phase d’apprentissage. Ces données proviennent de sources diverses : SIEM et logs via les connecteurs SIEM, des messages AMQP (Advanced Message Queuing Protocol) et des requêtes JSON (JavaScript Object Notation). Après analyse, le système UBA renvoie les alertes, les seuils et les sources d’anomalies par logs, Syslogs, AMQP et XML/JSON. Les règles métiers peuvent être implémentées et suivies dans le corrélateur métier (cf; Technologie Reveelium développée par ITrust).

Ce que détecte l’UBA

L’IHM des moteurs UBA permet d’afficher les corrélations, de suivre les déviances et d’instaurer un dialogue entre l’utilisateur et son système de détection. Les anomalies affichées peuvent être des virus connus, des malwares furtifs, des comportements à risque, de la fraude, une fuite de données, une malveillance numérique…

Les solutions UBA offrent un spectre de détection beaucoup plus large qu’un système de supervision classique ou qu’un antivirus. Elles permettent ,entre autres, l’analyse forensique et l’investigation après une compromission. Elles identifient l’attaque et son cheminement. Elles sont en mesure de détecter une utilisation frauduleuse du système d’information et notamment l’usurpation de droits. Elles réagissent à la perte et au vol de données et se montrent efficaces face à des attaques de type APT. Elles peuvent prédire certains crashs entraînant une indisponibilité de la production et sont utiles pour respecter la conformité aux réglementations et aux meilleures pratiques. Elles détectent les pertes et fraudes financières ainsi que les attaques sur l’image de marque. L’apprentissage statistique permet souvent de diviser par 50 les temps d’analyse des données par les superviseurs !

Pour finir, on notera que lorsque la solution UBA est développée en Europe, sa technologie n’est pas soumise au Patriot Act et les données des clients restent confidentielles, conformément aux réglementations européennes.

Le Machine Learning comme nouveau bouclier

Les technologies big data font une entrée en force dans le domaine de la sécurité numérique. L’apprentissage statistique (Machine Learning) se situe aujourd’hui au centre de l’innovation algorithmique. Il est désormais possible de mettre en œuvre de puissantes solutions d’apprentissage s’appuyant sur des réseaux de neurones, le tout à coût maîtrisé. Dans le domaine spécifique du Deep Learning, Google vient encore de créer l’événement en mettant à disposition la plateforme Opensource Tensorflow contenant une librairie d’apprentissage profond. Cette boite à outils risque de s’imposer rapidement comme un standard mondial à l’image d’Androïd pour la téléphonie mobile. La puissance des réseaux de neurones devient ainsi accessible aux petites et moyennes structures. Google « uberise » en quelque sorte l’intelligence artificielle.

Les concepteurs de solutions de cybersécurité intégrant l’UBA vont devoir se tourner vers les compétences très recherchées de Data Scientist. La pénurie de spécialistes des données, mathématiciens, risque de se faire sentir dans un marché qui fait de plus en plus appel à ce type d’expertise. Les compétences transversales conjuguant la sécurité des systèmes et l’apprentissage statistique seront sans doute les plus recherchées à l’avenir, il devient urgent que notre écosystème de l’enseignement supérieur s’adapte à ces demandes nouvelles afin de former les bons experts…

Voir le commentaire (1)

Laisser un commentaire

Créer un compte Tous les commentaires (1)
  • Minority report, encore !
    Il est urgent que l’on remette du bon sens et de l’humain dans le système pour rappeler que ceux qui acquièrent le pouvoir de décider de ce qui est un comportement déviant ou à risque sont eux-mêmes les plus gros risques si on les assiste par l’informatique et que l’on rend ainsi leur pouvoir totalitaire.

  • Les commentaires sont fermés.

Promouvoir la liberté n’est pas gratuit

Mais cela peut aider à réduire vos impôts de 66%

Faites un don dès maintenant

Faire un don
Big Data
1
Sauvegarder cet article

Par Sylvain Fontan.

Le phénomène intitulé Big Data (données massives) fait référence au flux de données sur internet de la part des particuliers, des entreprises et des États du fait de la démocratisation des connexions haut débit. L'ampleur de ce phénomène est telle qu'il peut être considéré comme valeur économique en soi. En effet, la capacité à exploiter ces données peut permettre de valoriser l'activité économique.

Le Big Data comme valeur économique

L'importance accrue du Big Data est telle que le Forum économique mondial ... Poursuivre la lecture

Les ganacheries tombant aussi aisément au sujet des algorithmes qu’à Gravelotte, trouver une nourriture de l’esprit équilibrée et éclairante relève de la tâche pascalienne. Aurélie Jean est de celle-ci. Mêlant pédagogie et nuance, elle fait entendre sa voix et ses messages aux quatre coins du globe, seule échelle à la mesure de cette globetrotteuse hyperactive.

À l’occasion de la sortie de son dernier ouvrage, Les algorithmes font-ils la loi ?, aux éditions de l’Observatoire, Aurélie Jean a répondu aux questions de Corentin Luce.

<... Poursuivre la lecture

Par Yannick Chatelain.

Que cela soit d’un point de vue sécuritaire ou sanitaire, l’État, et c’est là un euphémisme, se donne dans l’urgence quelques libertés concernant le traitement des données personnelles des citoyens, par impréparation ou volonté délibérée.

Il ne m’appartient pas d’en juger, mais juste d’alerter les citoyens sur des faits, aux côtés des organismes comme la CNIL ou La Quadrature du Net qui veillent et surveillent attentivement les projets de loi et les décrets qui se succèdent à une cadence effrénée.

L... Poursuivre la lecture

Voir plus d'articles