Les récentes annonces ne laissent pas de place au doute : la sécurité se dirige vers le Big Data. Que doit-on en retenir ?
Quelle est la nature des annonces récentes dans le domaine du Big Data et de la sécurité ?
Le buzzword « big data » a fait son entrée en force cette semaine dans le monde de la sécurité de l’information. Deux acteurs majeurs ont pris position sur le marché. D’un côté, RSA a annoncé son outil « Analytics ». Son objectif : détecter les fameux « signaux faibles » dans le volume des journaux de sécurité générés dans le système d’information. De l’autre, Cisco annonce le rachat de la société « Cognitive Security », une start-up tchèque spécialisée dans l’analyse analytique des mêmes journaux. Cisco envisage un rapprochement effectif au 3ème trimestre de cette année et l’inclusion des technologies dans ces services cloud de sécurité.
Est-ce que cela représente une avancée significative pour la sécurité ?
Dans un sens oui, l’adoption de ces technologies par de grands acteurs valide l’intérêt des méthodes statistiques afin de détecter des attaques ciblées. Nous savons qu’il y a une attente forte sur ce point. Les statistiques le montrent clairement, aujourd’hui il faut en moyenne 412 jours pour détecter une attaque ciblée. Plus frappant encore,cette détection provient dans 94% des cas de tiers externes à l’entreprise (Rapport Mandiant 2012) tandis que les premières exfiltrations de données ont lieu 24h après le début de l’attaque ! Il y a donc clairement un problème à résoudre. D’ailleurs nous disposons de retours d’expérience positifs avec des outils existants déjà sur le marché. Je pense en particulier à la solution de la société française PicViz. Elle est déjà en place dans plusieurs sociétés où elle a permis des avancées significatives.
Comment une entreprise peut-elle tirer parti de ces innovations ?
Ces outils n’ont rien de magique, les acheter et les déployer ne résoudra pas tout. Ils vont requérir d’une part d’être alimentés par des données – les journaux de sécurité – et d’autre part de disposer de compétences pour analyser les résultats. Et ces deux points sont aujourd’hui des points faibles dans beaucoup d’entreprises ! En premier lieu, il faut augmenter le volume de journaux générés à tous les niveaux du SI pour pouvoir « nourrir » correctement l’outil. L’avantage, c’est que ces solutions, contrairement au SIEM (Security Information and Event Management) historique, font de l’analyse sans chercher des scénarios particuliers qu’il faut définir au préalable. Ils sont donc plus efficaces pour détecter les attaques ciblées.
Parallèlement, les équipes dédiées à l’analyse de ces journaux doivent être renforcées (en effectifs et en formations) afin d’être en mesure de comprendre les analyses et d’y réagir de manière appropriée. Notre expérience le montre, nous n’échappons pas aux faux positifs… L’externalisation d’une partie de l’équipe en charge de surveiller les SI est une solution possible. De récents appels d’offres que nous avons conduits ont montré que les acteurs du marché se sont multipliés et qu’ils proposent de nouvelles solutions aux problèmes rencontrés au quotidien par les entreprises dans le domaine de la sécurité.