Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité : l’IA apporte de l’évolutivité au whitelisting

novembre 2019 par Benjamin De Rose, VP Southern EMEA chez DriveLock

Les attaques visant sur les systèmes informatiques sont un enjeu pour les DSI autant que pour les DAF, car une attaque réussie met en péril le bon fonctionnement des infrastructures informatiques qui forment désormais la colonne vertébrale de l’appareil productif et commercial de l’entreprise. Or les pirates utilisent des techniques de plus en plus sophistiquées, et les entreprises doivent être d’autant plus rigoureuses dans le maintien à jour de leurs systèmes et logiciels afin de ne pas être des cibles faciles, dans un contexte de pénurie d’experts en cybersécurité.

Une façon de limiter le risque est de définir les actions qui peuvent être exécutées ou non sur les terminaux. Cela permet aux administrateurs de limiter l’exécution de virus ou la multiplication des failles. Cependant, la fiabilité de ces règles dépend fortement des connaissances des administrateurs chargés de les créer et devenir expert dans ce domaine représente un lourd investissement humain et financier.

Deux autres grandes approches, aussi basées sur des règles, limitent (blacklisting) ou permettent (whitelisting) de façon nominative l’exécution des programmes. L’approche du blacklisting entraine une course permanente entre l’administrateur et les pirates, car les applications non blacklistées sont par définition utilisables, mais elle permet une grande liberté pour les utilisateurs. A l’inverse, l’approche du whitelisting est restrictive et la liste doit être continuellement mise à jour afin de ne pas entraver l’évolution des processus métiers et des besoins qui en découlent. Mais elle a l’avantage d’offrir un grand niveau de sécurité pour le système. Le défi est donc de trouver une méthode pour permettre l’exécution des applications légitimes de façon rapide et sécurisée.

Dans la définition d’une stratégie de sécurité, il faut composer avec l’accélération du cycle de mise à jour. La transformation digitale pousse les éditeurs de logiciels comme Microsoft à passer d’un modèle de mises à jour majeures pluriannuelles à de petites mises à jour à un rythme soutenu. Il est en effet nécessaire de fournir des logiciels dont les fonctionnalités sont en phase avec les besoins des travailleurs. Mais cela pose un défi pour le maintien d’un niveau de sécurité élevé dans un environnement de logiciels en changement constant, car il faut définir des règles capables de suivre le changement sous peine d’entraver les équipes dans leur travail.

L’IA comble la principale lacune du whitelisting : sa rigidité

L’IA et le machine learning permettent de catégoriser des valeurs et de reconnaitre certaines formes, comme dans le cas de la reconnaissance d’images ou de visages. Ces technologies sont aussi très utiles en sécurité informatique.

L’IA permet de classer les applications, reconnaitre et évaluer leur utilisation dans l’entreprise : il s’agit de processus d’apprentissage automatique. Lors de l’installation de nouveaux logiciels et de mises à jour, les nouvelles applications sont analysées par l’IA pour découvrir des similarités et autoriser, totalement ou partiellement, les différentes actions offertes par le logiciel. Ainsi, le whitelisting s’effectue au fur et à mesure de l’installation des programmes et mises à jour et selon les besoins des équipes. La base de données actualisée en continu peut elle aussi servir à créer automatiquement des règles, qui seront mises à jour ultérieurement dans le but de définir des applications autorisées de façon fiable.

Si une application se basant sur des règles respecte des critères fixes, la catégorisation assurée par l’IA offre une classification et une reconnaissance flexibles des applications autorisées. Cela réduit considérablement les efforts nécessaires pour la configuration de la solution de sécurité.

Dans les environnements complexes, une IA peut corréler les évènements avec l’activité des utilisateurs de façon efficace, ce qui par la suite facilite les analyses rétrospectives. Les algorithmes capables de reconnaitre les formes sont aussi capables de détecter des incidents de sécurité spécifiques. Cela permet de détecter les actions inhabituelles des utilisateurs grâce à une analyse dite comportementale, et ce de façon contextualisée grâce aux données de location par exemple.

Si l’IA n’est pas encore dotée de capacités sociales et émotionnelles, elle nous est déjà supérieure en termes de cognition. L’IA et le machine learning offrent des capacités de reconnaissance et de classification qui permettent de fluidifier le travail de sécurisation des terminaux. Avec une approche de whitelisting dynamique, elle offre un haut niveau de sécurité sans bloquer les équipes dans l’usage de leur poste de travail.


Voir les articles précédents

    

Voir les articles suivants