C’est la raison pour laquelle, depuis environ 5 ans, en aval des équipements de
sécurité et de filtrage (pare feux, proxies, IPS, etc.) se structure la
supervision de la sécurité. Celle-ci s’alimente tant en technologies (SIEM,
etc.) qu’en experts analystes capables d’interagir avec elles, dans des SOC et
autres task forces dédiées à la gestion de la menace. Les services les plus
poussés vont jusqu’à l’analyse post-mortem des cyberattaques (Forensics). Il
faut dire que si la détection n’est pas une préoccupation nouvelle, la masse de
données à analyser a quant à elle littéralement explosé.

L’automatisation au service de l’alerte

La 1ère révolution de l’analyse de la menace est apparue avec l’automatisation
des tâches, d’abord née logiquement des évolutions technologiques et de la
puissance des machines, ensuite de façon plus forcée compte tenu de la masse de
données à analyser. Difficile de pouvoir prétendre tout analyser, aussi
performante soit l’équipe du SOC.

C’est dans ces conditions que les offreurs ont développé des machines capables
de repérer ce qui est dicté comme étant une menace selon des règles et des
signatures et d’y appliquer des analyses jusqu’alors dédiées aux analystes. La
machine ne fait que remplacer par mimétisme des tâches humaines. C’est ce
qu’on appelle de l’efficience…

Avec cette automatisation de tâches manuelles, ce sont désormais le filtrage des
alertes, ou encore la journalisation des logs auxquels s’adonne la machine pour
faciliter la réaction, si tant est que ces données puissent être lues et
analysées de façon homogène par les équipes. C’est en effet justement au
travers du focus que l’organisation peut mettre au service du partage
d’informations, et leur agrégation que les solutions deviennent de plus en plus
intelligentes.

Trop d’alertes tue l’alerte

Or, rares sont les organisations qui bénéficient d’une gestion de la menace
cohérente. En effet, si la technologie a permis de déterminer des règles pour
repérer d’éventuelles menaces, l’hétérogénéité des technologies et le
morcellement des équipes a tendance à créer un goulet d’étranglement. En
effet, le bruit est constant. Les technologies remontent beaucoup de données, trop
d’alertes par rapport à ce que les équipes ne peuvent en supporter. On ne le
répète jamais assez. Si l’automatisation permet de capter l’information,
faut-il encore que les analystes derrière les analysent, les gèrent, les enrayent.

L’analyse comportementale, dernière pierre à l’édifice

Entre les équipements amont de la protection et la réponse à incident incluant le
forensic, des retours d’expérience montrent que les services de sécurité
peuvent être aveugles et ce, pendant longtemps. En effet, si l’attaque n’est
pas détectée dès son démarrage, c’est une moyenne de 99 jours qui peut
s’égrener avant que ne soit repérée la présence hostile. Quand des attaques
ciblées de type APT sont à fortiori discrètes, cela pose question…

C’est pourquoi les équipes de sécurité se concentrent de plus en plus sur le
trafic réseau. C’est dans cette couche précise de l’informatique que se
distingue des comportements auxquels les cyber attaquants ne peuvent déroger, quand
ils espionnent, propagent des attaques ou volent des données. Cette analyse du
comportement repose sur un sous-ensemble de l’intelligence artificielle qu’on
appelle du « machine learning ».

Le « machine learning » c’est la capacité d’une machine à apprendre par
elle-même. Faisons une analogie. En observant un individu sur un temps
significatif, il est possible d’en déterminer les habitudes car il va répéter
des situations identiques sur un temps donné. Pour une machine, la logique est la
même. Dans la masse d’informations qui lui parvient, la machine grâce à des
algorithmes puissants va reconnaître des situations qui se répètent. Elle va dans
le réseau repérer des gammes de comportements adoptés par les cybercriminels
avant l’attaque et pendant l’attaque. La force réside dans le fait que la
machine n’est pas alimentée d’inputs qu’elle doit ensuite reconnaître, mais
qu’elle identifie ces comportements par elle-même. En reconstituant elle-même la
chaîne comportementale, elle ne préjuge en rien de ce qui est « normal » et « 
anormal ». Elle repère un comportement qui mène à une attaque, et qui peut donc
révéler les signaux faibles d’une attaque que ce comportement paraisse ou non
légitime. C’est ainsi de nombreux cas de fausses alertes ou de faux positifs qui
sont alors évités. Ainsi, la machine parvient grâce à cet auto-apprentissage à
hiérarchiser l’information, l’évaluer et ainsi lui assigner un traitement
adéquat.

A titre d’illustration, on peut ainsi faire la différence entre une attaque
réelle ou le déroulement d’un test d’intrusion. Le fait que soit menée un
balayage de port sur le serveur Active Directory pourrait laisser penser qu’un
attaquant cherche à entrer dans le système d’information. Le machine learning,
en repérant des comportements, est en capacité d’isoler l’ensemble de
l’opération et reconnaître plutôt la procédure d’un test d’intrusion,
l’identifier par sa fréquence, son ordonnancement ou encore par les cibles
choisies. La machine émet une statistique de probabilité de son hypothèse et
c’est en dernier ressort à l’analyste de trancher. La machine peut en attendant
prendre du coup toutes les précautions d’usage pour isoler l’activité
suspecte.

Une transformation métier, vers des ressources humaines valorisées

Entre pénurie et turn-over, la course aux analystes est une réalité tant dans les
organisations que chez les prestataires qui les staffent. Ce n’est donc pas une
surprise que toute forme de compensation de tâches humaines par la machine soit
considérée comme salvatrice, alors même que tous les débats sur l’IA suscitent
plutôt de la crainte.

Néanmoins, l’ère du tout automatisé pour stopper les attaques n’est pas
encore pour tout de suite. Est-elle pour autant souhaitable ? Ce n’est pas sûr.
Ce qui est en revanche une certitude c’est que l’intelligence artificielle
associée à l’intelligence humaine est un sujet qui prend tout son sens à
l’heure où le numérique s’innerve dans nos vies. En effet, si l’intelligence
artificielle peut automatiser des tâches complexes et chronophages, elle permet
ainsi à l’intelligence humaine d’œuvrer là où elle est la meilleure et la
seule capable d’apporter des solutions. L’Homme doit en effet rester au cœur de
l’intelligence de la gestion de la menace, pour œuvrer au partage effectif
d’informations, à la coéducation des équipes, et à leur management. Si l’IA
fait parfois craindre la perte d’emplois, elle devrait être - en cyber sécurité
– une occasion de révéler le potentiel de chacun et donc un accélérateur
sécuritaire.