Le Cyber Grand Challenge organisé en 2016 qui a vu des IA s’affronter en attaque et en défense reste encore du domaine de la recherche : aucune entreprise n’est prête à laisser les clés de sa cybersécurité à une IA et aucun éditeur n’ose encore prétendre savoir le faire.
La fièvre de l’automatisation gagne la cybersécurité
Tandis que le nombre d’attaques informatiques en tous genres ne cesse de croître, les experts misent sur l’automatisation et l’intelligence artificielle pour faire face à la menace alors que le nombre d’analystes reste insuffisant. Une tendance de fond dans la cybersécurité.
Le chiffre semble incroyable et pourtant il se confirme année après année. Selon la dernière édition de l’étude du Ponemon Institute sur le coût des fuites de données, il faut en moyenne 197 jours à une entreprise pour se rendre compte qu’elle est victime d’une fuite de données, et 69 jours pour colmater la brèche ! C’est bien plus de temps qu’il n’en faut pour qu’un pirate siphonne toutes les données disponibles et les mette en vente sur le Darknet. Il est bien évidemment possible de muscler la protection des données en mettant en place des outils de DLP (Data Loss Prevention), de PAM (Privileged Access Management) pour s’assurer qu’un pirate ou un collaborateur peu scrupuleux n’utilise pas un compte de l’entreprise pour exfiltrer des données, ou encore mettre en place un SIEM pour mieux exploiter les logs d’activité des serveurs et équipements réseau.
La limite numéro un de cette approche, c’est à la fois le traitement de la masse d’informations que l’ensemble des briques de sécurité, les serveurs et les postes clients vont générer chaque jour, mais aussi le manque de ressources humaines requises pour traiter et exploiter efficacement ces données. Bon nombre de déploiements d’IPS/ IDS (Intrusion Detection Systems / Intrusion Prevention Systems) dans les années 2000 ont été des échecs du fait de l’avalanche d’alertes générées par ces boîtiers, qu’il s’agisse d’alertes avérées ou de faux positifs, une masse d’informations dont plus personne ne pouvait tenir compte.
Avec le SIEM (Security Information and Event Management), les analystes de sécurité ont pu disposer d’un système capable de centraliser des masses de données considérables et si les solutions les plus modernes offrent des outils de data visualization performants, les masses d’événements et d’alertes générées poussent les analystes à se concentrer sur les alertes prioritaires, et probablement à négliger les signaux faibles qui pourraient trahir une APT (Advanced Persistent Threat), une attaque latente visant spécifiquement l’entreprise.
Si les SIEM modernes offrent des outils de manipulation et de visualisation de données efficaces, les analystes en cybersécurité sont confrontés chaque jour à un déluge d’informations à traiter.
Les techno Big Data au secours de l’analyste en cybersécurité
Si un analyste va traiter en moyenne de 10 à 20 incidents par jour, comment faire quand ce sont plusieurs centaines d’incidents de sécurité qui sont remontés chaque jour par l’infrastructure ? Ajouter du personnel pour traiter ces alertes reste difficile pour les entreprises tant les profils de cyber-analystes sont rares, chers et accessoirement très volatils. Beaucoup d’éditeurs misent sur le Machine Learning pour assister l’analyste, leur faciliter le travail en corrélant les données pour eux et en repérant des patterns complexes dans les masses de données glanées par le SIEM.
C’est notamment le cas du français ITrust qui travaille sur des modèles d’IA de détection pour son offre Reveelium. C’est bien évidemment le cas d’IBM qui pousse son offre d’IA Watson dans le domaine de la cybersécurité. Désormais, les entreprises qui exploitent le SIEM IBM QRadar peuvent assortir le SIEM de QRadar Advisor with Watson, les algorithmes d’IA permettant d’une part d’identifier des comportements à risque et enfin, en cas d’attaque, de bénéficier d’outils afin d’identifier au plus vite la faille de sécurité à l’origine de la fuite de données (root-cause analysis) et rapidement identifier le périmètre touché par l’attaque.
Les grandes fonctions d’une solution de SOAR (Security Orchestration, Automation and Response), selon les analystes de Gartner.
Mickaël Le Floch, Security Architect Leader chez IBM Security, détaille le rôle que joue Watson par rapport aux autres briques de sécurité : « l’infrastructure génère beaucoup d’événements de sécurité qui sont collectés par QRadar, notre SIEM. Celui-ci va détecter les incidents de sécurité grâce aux règles de corrélation définies sur la plate-forme. L’analyste prend connaissance des alertes et va consulter les éléments qui ont contribué à la génération de l’alerte en croisant ces données avec les informations mises à disposition dans notre plate-forme de veille de sécurité X-Force Exchange. L’analyste va pouvoir compléter son analyse avec ce que lui fournit alors notre plateforme d’intelligence augmentée Watson. Ses algorithmes de Deep Learning exploitent les informations mises à disposition par l’ensemble des acteurs de la cybersécurité, comme Symantec, FireEye, McAfee, tous les blogs et forums spécialisés en cybersécurité, les documents publiés sur les vulnérabilités, et ainsi catégoriser l’ensemble de ces informations et les indexer dans une base de données centrale. QRadar envoie ses observations comme adresses IP malveillantes, informations sur les fichiers malveillants, et Watson va fournir à QRadar l’ensemble des informations liées à cet incident de sécurité. » L’analyste va ainsi pouvoir très vite générer un ticket d’incident et lancer la procédure de remédiation de l’attaque si les éléments fournis par Watson sont suffisamment convaincants. L’analyste de niveau 2 va disposer d’une visualisation graphique du raisonnement de Watson, consulter l’ensemble des branches qui ont mené Watson à suggérer que l’incident de sécurité est une vraie attaque. Grâce à l’ensemble de ces éléments, celui-ci va pouvoir agir plus efficacement.
L’IA est un outil permettant de faciliter le travail des analystes en cybersécurité. L’outil IBM Security QRadar Advisor bénéficie des capacités de Watson Analysis pour l’analyse des incidents de sécurité.
L’IA prendra-t-elle les commandes ? Pas sûr !
IBM présente son Watson for Cyber Security comme une solution pour aider l’analyste, en faire un expert augmenté, mais déjà certains imaginent une Intelligence artificielle plus proactive, une Intelligence artificielle qui va contrer elle-même l’attaque qu’elle a pu détecter. Actuellement, remplacer le RSSI et l’analyste de sécurité par une IA n’est pas à l’ordre du jour, néanmoins confier la cybersécurité du système d’information à une IA n’est pas un scénario totalement illusoire.
Dès 2016, la Darpa, bras armé dans la recherche de l’armée américaine, a lancé le Cyber Grand Challenge, avec huit équipes opposées en mode attaque/défense de manière autonome. Une machine devait en attaquer les autres de manière autonome, chaque défenseur devant prendre les mesures nécessaires pour se protéger afin que les applications exécutées restent en ligne le plus longtemps possible sous le feu des attaques. Preuve du sérieux de l’expérience, le Darpa a investi 70 millions de dollars pour organiser ce concours et, de l’avis des experts, les résultats ont été particulièrement impressionnants.
Quatre ans plus tard, aucun acteur de la sécurité n’est aujourd’hui capable de commercialiser une IA pouvant fonctionner de manière autonome pour sécuriser un système d’information. Tous les éditeurs présentent leurs outils d’IA comme des aides aux analystes de sécurité. La technologie n’est pas là et les DSI et Ciso ne souhaitent pas laisser des algorithmes décider seuls des règles de sécurité à appliquer sur leur système d’information, ou laisser à un algorithme la décision de placer des ressources critiques en quarantaine en cas d’incident. « Quand on interroge les professionnels de la sécurité sur l’automatisation, ceux-ci ne l’envisagent que pour des tâches de faible valeur ajoutée comme les tests de signatures, tester les patchs avant déploiement. Ils sont beaucoup plus sceptiques quant à l’automatisation de tâches plus complexes », expliquait ainsi Candace Worley, Vice President et Chief Technical Strategist chez McAfee, lors des dernières Assises de la sécurité. « Ils donnent deux raisons à cela : d’une part, ils ont peur que cette automatisation ne fasse courir un risque sur les opérations business ; l’autre point concerne directement la crédibilité de l’équipe de sécurité. » On imagine l’effet qu’un arrêt des serveurs de production d’une banque ou d’un site d’e-Commerce ordonné par un algorithme d’IA sur un faux positif pourrait avoir sur la carrière du DSI et des RSSI… Pourtant, la responsable souligne que le centre d’opération de la cybersécurité d’une grande entreprise (SOC) traite une moyenne de 3,2 milliards d’événements de sécurité par mois, une masse dans laquelle seulement 31 événements sont réellement importants ! Face à une telle avalanche d’informations, trouver une aiguille dans une botte de foin semble être une promenade de santé et l’automatisation apparaît comme la seule solution pérenne pour y faire face. Pour Candace Worley, les grands SOC sont actuellement les plus matures dans la démarche d’automatisation, avec un taux de 75 % des processus automatisés chez les acteurs du marché les plus matures et 30 % chez ceux qui sont moins avancés dans la démarche.
Pour les opérateurs de services de sécurité, l’automatisation est clairement un moyen de faire face au manque de ressources humaines dans le métier. Les algorithmes d’Intelligence artificielle sont aussi vus comme un moyen d’automatiser des tâches plus complexes, mais Candace Worley insiste sur la complémentarité entre algorithmes et analystes humains comme moyen d’étendre à large échelle l’automatisation.
Avec l’acquisition de Carbon Black, VMware a étendu les capacités de sa plate-forme en termes de cybersécurité, notamment dans sa capacité de réponse temps réel.
La technologie monte en puissance dans les briques de sécurité
Bien placé pour observer le trafic réseau et le fonctionnement des serveurs, VMware milite en faveur d’une vision unifiée de la sécurité. Rajiv Ramaswami, COO de VMware explique : « Les entreprises ont de 50 à 100 solutions de sécurité différentes pour protéger leur système d’information. C’est énorme et c’est un problème. Il faut aujourd’hui revoir cette approche pour aller vers un modèle où la sécurité est intégrée à l’architecture, une approche non plus réactive mais proactive, une approche dans laquelle les silos sont alignés. »
Sans surprise, VMware pousse la virtualisation comme une approche plus sûre en ce sens que l’hyperviseur dispose de notions de contexte vis-à-vis des applications qui s’exécute, peut se passer d’agent, assurer l’isolation entre les machines mais aussi collecter des données de fonctionnement sur les instances et ainsi alimenter une approche analytique. « Avec le Machine Learning, nous avons la capacité d’analyser le comportement de chaque workload, être alerté si le comportement de l’une d’elles dévie par rapport à son fonctionnement habituel », ajoute Rajiv Ramaswami. « Si une attaque est détectée, il faut être capable d’augmenter le niveau de sécurité afin de protéger les workloads. »
Pour l’heure, l’IA n’a certes pas les commandes de la cybersécurité, mais la technologie monte en puissance dans de nombreuses briques de sécurité, qu’il s’agisse d’aider les analystes mais aussi identifier les comportements suspects sur les réseaux, sur les serveurs et sur les terminaux. Les solutions comportementales à base de Machine Learning se sont très largement imposées tant au niveau réseau avec l’essor des solutions UEBA (User and Entity Behavior Analytics), qu’au niveau des postes clients. Tous les éditeurs ont embarqué des modèles d’IA dans leurs logiciels antivirus afin de détecter les malwares, dont ils n’ont pas la signature, et identifier les comportements anormaux. L’IA n’est pas une solution miracle et peut être ellemême détournée par les attaquants, comme l’ont montré cette année les chercheurs de Skylight en détournant l’algorithme de Machine Learning de BlackBerry Cylance, mais l’IA vient compléter les très nombreux moteurs de détection des antivirus modernes.
Candace Worley, Vice President et Chief Technical Strategist chez McAfee, a axé sa présentation sur l’automatisation des processus de cybersécurité lors des dernières Assises de la sécurité.
Passer dans une démarche réellement proactive avec le SOAR
L’IA a démontré son utilité dans l’analyse des incidents et dans la détection de certaines formes d’attaques, mais pour l’instant les RSSI en entreprise et les opérateurs de SOC s’intéressent beaucoup aux fonctions d’orchestration des briques de sécurité, certes moins sophistiquées et moins “ tendance ” que l’IA, mais fort utiles lorsqu’il faut industrialiser et automatiser le traitement des alertes. Bon nombre d’éditeurs ont intégré quelques capacités d’orchestration de processus à leurs solutions, mais une nouvelle catégorie de logiciels est apparue, les SOAR pour Security Orchestration Automation and Response.
Partant du principe que détecter une attaque le plus vite possible c’est bien, mais réagir en temps réel, c’est encore mieux, ces solutions permettent de créer des processus avec l’incident de sécurité comme point de départ du processus et après une suite d’actions pour contrer l’attaque. Le processus peut envoyer une alerte SMS ou un courriel, peut réaliser un appel d’API, créer un ticket d’incident, mettre en quarantaine un poste client, un serveur, tuer un processus, mettre à jour les règles de filtrage des firewalls, etc. Il est bien évidemment possible d’intégrer une étape de validation humaine dans le processus, notamment avant d’arrêter les serveurs de production ou couper l’accès internet de l’entreprise… À l’image du BPM et des RPA dans les applications métier, l’approche orchestration de processus permet d’accélérer le traitement des événements et assurer une même réponse à incident quelle que soit l’heure du jour et de la nuit, et réagir de manière instantanée à un événement important, le cas échéant.
Le cabinet ResearchAndMarkets estime que le marché du SOAR représente cette année 868 millions $ et atteindra 1,791 milliard d’ici à 2024, soit une croissance annuelle confortable de 15,6 %. Outre leur moteur d’orchestration, les solutions SOAR se distinguent par leurs capacités d’intégration et d’agrégation de données issues de sources diverses, y compris des sources externes pour mieux qualifier les menaces. Le logiciel doit bien évidemment avoir des capacités d’automatisation et disposer d’un maximum de connecteurs vers les briques de sécurité tierces pour collecter les données mais aussi envoyer ses ordres aux firewalls, briques d’authentification, entre autres.
Parmi les acteurs clés de ce marché figurent Cisco, Demisto, acquis par Palo Alto Networks en mars 2019, FireEye, IBM, Splunk, Rapid7, Siemplify. Raphaël Bousquet, vice-président EMEA South de Palo Alto Networks, explique le succès de ce type de solutions : « Demisto permet de franchir une étape radicale dans l’automatisation de l’activité des SOC. Ainsi Orange Cyberdefense a présenté sur les Assises de la sécurité son retour d’expérience sur l’offre Demisto qu’il déploie chez ses clients et comme une offre de service à des clients de tailles intermédiaires. Une société du CAC 40 a les moyens d’avoir ses propres analystes de sécurité, ceux plus petits doivent se tourner vers des services managés. Sur ce type de projet, 90 % de services et 10 % de technologie ; il est indispensable pour les opérateurs d’automatiser le maximum de tâches, d’où l’intérêt pour ce type de solutions. » Le SOAR permet aux fournisseurs de services de SOC managés et aux entreprises qui souhaitent gérer elles-mêmes leur sécurité d’industrialiser et automatiser en partie le traitement des incidents de sécurité. Si l’automatisation et l’IA sont loin de prendre le pouvoir, les DSI et Ciso peuvent en attendre des gains d’efficacité et de productivité indispensables alors que le manque de ressources humaines est toujours aussi criant et les menaces bien réelles.