Blog - article

L’analyse comportementale, dernière pierre à l’édifice

By:
Christophe Jolly
February 26, 2018

Entre les équipements en charge de la protection et ceux en charge de la réponse à incident incluant le forensic, des retours d’expérience montrent que les services de sécurité peuvent être aveugles et ce, pendant longtemps. En effet, si l’attaque n’est pas détectée dès son démarrage, c’est une moyenne de 99 jours qui peut s’égrener avant que ne soit repérée la présence hostile. Quand des attaques ciblées de type APT sont à fortiori discrètes, cela pose question…

C’est pourquoi les équipes de sécurité se concentrent de plus en plus sur le trafic réseau. C’est dans cette couche précise de l’informatique que se distingue des comportements auxquels les cyber attaquants ne peuvent déroger, quand ils espionnent, propagent des attaques ou volent des données. Cette analyse du comportement repose sur un sous-ensemble de l’intelligence artificielle qu’on appelle du «machine learning».

Le «machine learning» c’est la capacité d’une machine à apprendre par elle-même. Faisons une analogie. En observant un individu sur un temps significatif, il est possible d’en déterminer les habitudes car il va répéter des situations identiques sur un temps donné. Pour une machine, la logique est la même. Dans la masse d’informations qui lui parvient, la machine grâce à des algorithmes puissants va reconnaître des situations qui se répètent. Elle va dans le réseau repérer des gammes de comportements adoptés par les cybercriminels avant l’attaque et pendant l’attaque. La force réside dans le fait que la machine n’est pas alimentée d’inputs qu’elle doit ensuite reconnaître, mais qu’elle identifie ces comportements par elle-même. En reconstituant elle-même la chaîne comportementale, elle ne préjuge en rien de ce qui est «normal» et «anormal». Elle repère un comportement qui mène à une attaque, et qui peut donc révéler les signaux faibles d’une attaque que ce comportement paraisse ou non légitime. C’est ainsi de nombreux cas de fausses alertes ou de faux positifs qui sont alors évités. Ainsi, la machine parvient grâce à cet auto-apprentissage à hiérarchiser l’information, l’évaluer et ainsi lui assigner un traitement adéquat.

A titre d’illustration, on peut ainsi faire la différence entre une attaque réelle ou le déroulement d’un test d’intrusion. Le fait que soit menée un balayage de port sur le serveur Active Directory pourrait laisser penser qu’un attaquant cherche à entrer dans le système d’information. Le machine learning, en repérant des comportements, est en capacité d’isoler l’ensemble de l’opération et reconnaître plutôt la procédure d’un test d’intrusion, l’identifier par sa fréquence, son ordonnancement ou encore par les cibles choisies. La machine émet une statistique de probabilité de son hypothèse et c’est en dernier ressort à l’analyste de trancher. La machine peut en attendant prendre du coup toutes les précautions d’usage pour isoler l’activité suspecte.

Une transformation métier, vers des ressources humaines valorisées

Entre pénurie et turn-over, la course aux analystes est une réalité tant dans les organisations que chez les prestataires qui les staffent. Ce n’est donc pas une surprise que toute forme de compensation de tâches humaines par la machine soit considérée comme salvatrice, alors même que tous les débats sur l’IA suscitent plutôt de la crainte.

Néanmoins, l’ère du tout automatisé pour stopper les attaques n’est pas encore pour tout de suite. Est-elle pour autant souhaitable? Ce n’est pas sûr. Ce qui est en revanche une certitude c’est que l’intelligence artificielle associée à l’intelligence humaine est un sujet qui prend tout son sens à l’heure où le numérique s’innerve dans nos vies. En effet, si l’intelligence artificielle peut automatiser des tâches complexes et chronophages, elle permet ainsi à l’intelligence humaine d’œuvrer là où elle est la meilleure et la seule capable d’apporter des solutions. L’Homme doit en effet rester au cœur de l’intelligence de la gestion de la menace, pour œuvrer au partage effectif d’informations, à la coéducation des équipes, et à leur management. Si l’IA fait parfois craindre la perte d’emplois, elle devrait être - en cyber sécurité - une occasion de révéler le potentiel de chacun et donc un accélérateur sécuritaire.

Plus d'information:

About the author

Christophe Jolly

Christophe Jolly is a Country Manager at Vectra AI with a successful history in as a technical and senior sales team manager in security.

Most recent blog posts from the same author

Threat detection

L'explosion alarmante du minage de cryptomonnaie sur les campus universitaires

April 6, 2018
Read blog post
Breach

L’analyse comportementale, dernière pierre à l’édifice

February 26, 2018
Read blog post
Integration

Le grand défaut des SIEM: pas de délit sans preuves

November 10, 2017
Read blog post