Select Page

Le machine learning : l’arme ultime contre le trop juteux trafic de données

Le machine learning : l’arme ultime contre le trop juteux trafic de données

Un salarié peu scrupuleux, rancunier ou tout simplement négligent, et c’est une porte grande ouverte sur le SI de l’entreprise. Visiblement, les cessions de sensibilisation à la sécurité informatique ne sont pas toujours bien intégrées. A propos, les caméras de surveillance branchées sur le réseau sont-elles à toute épreuve ? Bonne question. La corrélation des logs et des flux, l’analyse comportementale et le machine learning peuvent le dire, eux.

Une chose est sûre, les cyber-attaques n’iront pas en diminuant

« Disrupting the cybersecurity status quo » est une étude du Club des Xxperts de la Sécurité de l’Information et du Numérique (CESIN), parue en avril 2018.

Au cours des 12 derniers mois, 79 % des 142 répondants à l’étude ont constaté au moins une attaque visant leur infrastructure et 17 % d’entre eux en ont comptabilisé plus de 15 en une seule année, avec une préférence marquée pour les ransomwares. 30 % des cas ont porté sur une tentative de fraude externe ou de vol ou fuite d’informations. 13 % mentionnent du cyber espionnage économique ou industriel, et pour 14 %, des tentatives de vol de données personnelles.

Le social engineering , la dépendance humaine, la malveillance d’un employé (constaté tout de même chez 23 % des répondants) et la fraude interne font partie des causes les plus citées.

Le comportement des individus, toujours en première ligne

Les menaces internes ont effectivement le vent en poupe. Xavier Brugne, Business Developer Security pour Aruba HPE France, distingue trois risques vis-à-vis des comportements situés à l’intérieur du réseau. Les comportements utilisateurs compromis (infectés par un malware), les comportements malicieux (vol de données), les comportements de négligence. Parce que les utilisateurs sont légitimes à accéder au SI de l’entreprise, ces trois types de menaces restent particulièrement complexes à détecter. Or, l’enquête conduite par le CESIN montre que si les salariés sont globalement bien sensibilisés aux risques, ils ne prennent pas de mesures supplémentaires ou particulières. Par ailleurs, seul 1 % des répondants est tout à fait certain que les collaborateurs respectent les recommandations.

On peut toujours envisager de renforcer ses équipes sécurité mais l’analyse comportementale et le machine learning sont certainement plus à même d’opérer une véritable reconnaissance des comportements frauduleux, suspicieux ou négligents.

 

Découvrez comment Aruba 360 Secure Fabric sécurise votre SI

Le machine learning à l’heure de la flexibilité

Les technologies d’intelligence artificielle sont aujourd’hui à même de détecter les changements de comportement d’utilisateurs et d’appareils, susceptibles de dissimuler une attaque, et qui ont pu échapper aux solutions de sécurité traditionnelles. L’apprentissage automatique, l’un des pans de l’intelligence artificielle, inaugure de nouvelles analyses comportementales.

Difficile à première vue pour un algorithme de faire la différence entre un comportement suspect et le travail à la maison à des heures tardives. C’est pourtant tout l’enjeu aujourd’hui.  En quelques jours, les solutions d’apprentissage automatique non supervisé peuvent établir une base de comportement (un comportement type, reconnu comme normal) pour un individu donné. Rapidement, le comportement type peut être comparé à celui de ses pairs (d’une même fonction par exemple) et décoder des comportements à risques.

La corrélation d’un spectre très large de sources de données (comportements, log de connexion à l’infrastructure, surveillance des flux…), produites notamment par les outils de sécurité en place dans l’entreprise, permet d’éliminer massivement les faux positifs. Ces solutions d’apprentissage machine sont en outre capables de relier deux événements entre eux. Classiquement comme deux connexions simultanées à partir d’un même login, ou plus subtilement, comme le téléchargement de données suivi d’un upload de la même quantité sur un serveur étranger. Des préconisations sur la fiabilité des serveurs concernés sont également de la partie.

L’IoT, l’autre grande inconnue

Qu’on ne se méprenne pas, l’industrie des objets connectés se donne d’abord pour mission de conquérir rapidement ce marché en pleine expansion. Or le principe de sécurité by design n’est pas toujours bien respecté. La mauvaise expérience de l’hébergeur OVH avec ses caméras de surveillance sur IP, dont le rôle conjugué a conduit à une attaque par déni de service, a dû le faire beaucoup réfléchir. La détection des anomalies par l’apprentissage machine ne concerne pas uniquement le comportement des utilisateurs. La technologie UEBA, pour User and Entity Behavior Analytics, comme son nom l’indique, cible également les entités, c’est-à-dire les objets connectés et les capteurs dont l’usage est susceptible d’être détourné.

C’est une technologie qui contribuera à réduire considérablement les cas d’advanced persistent threats. Particulièrement pernicieuses, d’une grande discrétion, ces attaques font partie du top 5 des craintes exprimées par les entreprises.

 

About The Author

SCC

Recevez par mail les articles et actualités de Au coeur des InfrasJe m'inscris à la Newsletter