Big Data et sécurité : opportunités et obligations

Big Data et sécurité : opportunités et obligations

Jamais le monde dans lequel nous vivons n’a généré autant de données… Et ces volumes vont aller en s’accroissant… Les étapes de notre vie, quelles soit sociales ou professionnelles, sont désormais numériquement consignées. Il existe des traces informatiques de toutes nos actions. D’une ouverture de porte (maison connectée) à l’envoi d’un mail, en passant par l’achat d’un billet d’avion ou bien encore un échange sur un réseau social.  Face à de tels volumes, bon nombre d’entreprises ont mis en place des puits de données gigantesques, capables d’héberger, de manipuler et d’analyser un flot d’informations incessant. 

Les cas d’usages « grands publics » sont connus (voir la vidéo de Paul Duan1). On sait aujourd’hui que grâce au Big data, il est possible de produire plus efficacement, d’améliorer les ventes, de fidéliser les clients ou de diagnostiquer plus facilement des problèmes. Dans le monde de l’IT, le Big Data permet de faire un pilotage plus fin de l’infrastructure, d’utiliser les ressources de façon plus efficace, d’avancer plus vite sur la résolution des incidents,… Mais quel impact pour la cybersécurité ?

 

Des cyberattaques qui durent

Durant ces dernières années, les cyber-attaques ont évolué. Elles sont plus abouties, plus complexes, plus discrètes. Et bon nombre d’entre elles ont réussi à passer outre les infrastructures de sécurité des plus grandes entreprises ou organisations. Une des raisons principales ? Une limitation des solutions d’analyse des évènements de sécurité (SIEM) actuelles. Si les fabricants ne cessent de vanter la puissance de leur moteur de corrélation une majorité d’entre eux néanmoins souffre de la même faiblesse : la période d’analyse sur laquelle est capable de travailler un moteur SIEM. Or c’est là une des grosses différences entre les attaques récentes et celles qui frappaient les entreprises il y a encore 4 ou 5 ans : la notion de durée. Les cyberattaques modernes (APT,…) se font sur le long terme, de façon très lente, afin de passer sous les seuils de surveillance. C’est notamment le cas de la dernière grosse cyberattaque découverte, Project Sauron, qui durant 5 années, a réussi à exfiltrer des données en toute discrétion  au sein de nombreuses  institutions gouvernementales, scientifiques, militaires, d’entreprises de télécommunications ou bien encore de transporteurs aériens.2 Parmi les autres évolutions récentes qui ont changé la donne, on peut également parler de la complexité à manipuler des volumes de données exponentiels, aux contenus hétérogènes, provenant d’un très grand nombre d’équipements, de logiciels, d’applications, et qui n’utilisent pas tous des mécanismes standards.

Or contrairement aux solutions SIEM de première génération, le Big Data est une formidable opportunité pour faire face à ces enjeux. La collecte et le stockage de millions d’évènements ne sont qu’une simple formalité pour une plate-forme Big Data.

 

De la Threat intelligence au Machine Learning

Il s’agit de la première étape dans la création d’un centre de cybersécurité, mais elle n’est clairement pas suffisante. Car stocker la donnée c’est bien, mais l’enrichir, c’est mieux ! Il existe aujourd’hui un très grand nombre de sources de Threat intelligence, ces bases de connaissances qui contiennent les données sur les cyberattaques, depuis les adresses sources jusqu’aux groupes qui agissent derrière ces attaques en passant par les mécanismes employés, les indices de compromission, les contextes, etc. Ces bases de Threat Intelligence proviennent d’éditeurs de solutions de sécurité, de CERT (Computer Emergency Response Team), ou bien encore d’organisations gouvernementales et permettent d’apporter de la valeur aux logs générés par les équipements de sécurité d’une entreprise. Cet ensemble permet de détecter une partie des menaces, celles qui sont basées sur des actions qui se sont déjà produites. Mais on l’a vu récemment, certains pirates ont clairement compris que les chercheurs en sécurité informatique s’intéressent particulièrement aux comportements répétitifs. En supprimant le coté récurrent, les pirates compliquent grandement la tâche des experts en protection. C’est ici qu’entre en action les mécanismes de Machine Learning (l’évolution de ce que l’on appelait « intelligence artificielle » il y a une dizaine d’années).  

Le principe est de créer des logiciels qui savent s’adapter afin de lutter contre les évolutions constantes des attaques par la construction de modèles de comportements suspects. Ceci offre l’avantage de permettre une identification plus rapide des vulnérabilités mais également d’augmenter le taux de détection de façon exponentielle. Et d’aider en outre à la découverte de nouveaux circuits d’attaques, jusque la indétectables. Le machine learning, en s’appuyant sur un puits de données pertinentes, peut ainsi apprendre la manière dont chaque employé travaille ou le fonctionnement d’une application. Ce peut être la manière de saisir les données, l’accès aux fichiers (et les périodes d’accès), les messages échangés,… Il est donc possible d'identifier les collaborateurs sur le point de quitter l’entreprise et qui apparaissent comme susceptibles de dérober des documents importants et de les transmettre à des tiers.

 

L’avenir : associer machine learning et deep learning

La machine ne remplacera pas l’homme, mais elle l’aidera grandement dans sa tâche… En traitant un flot de données colossal et en le résumant à quelques évènements sur lesquels il est important de porter son attention. Une autre partie des évènements pourra elle être traitée de façon automatisée, là aussi, pour faciliter le travail des experts en sécurité. Les technologies de détection actuelles sont capables de détecter les serveurs ou applications compromises par un APT ou un malware. Mais les technologies à venir seront, elles, capables de détecter des comportements machines ou utilisateurs anormaux, et étendre ainsi le champ des possibilités. On peut même aller plus loin en combinant le machine learning et le deep learning. Les réseaux de deep learning sont en effet capables de s’abstraire progressivement des données brutes pour les transformer en des concepts plus complexes. Cette capacité de généralisation hiérarchique permet  d’intégrer des données peu identifiées, de reconstruire des informations parcellaires, de détecter des anomalies, même extrêmement rares ou infimes. En utilisant des réseaux de neurones artificiels inspirés par le cerveau humain, il va donc être possible d’apprendre de manière proche de la nôtre. L’avenir de la cybersécurité se joue probablement ici...

 

Ajuster le Big data aux nouveaux enjeux

Mais le Big Data n’est pas que source d’opportunité pour le monde de la sécurité. C’est aussi synonyme d’obligations... En centralisant tout un flot de données en un même point, on centralise également les convoitises des cybercriminels qui peuvent accéder ainsi plus facilement à toutes les données vitales d’une entreprise. Plus besoin de phases de reconnaissance fastidieuse, de navigation au sein de réseaux étendus et complexes, d’analyse de machines,… Il suffit de trouver ce point central, à l’instar de la salle des coffres dans une banque, pour pouvoir y dérober toutes les richesses, sans avoir à connaitre l’ensemble de l’architecture. La façon d’aborder la sécurité des infrastructures Big Data n’est pas radicalement différente de la façon dont on la traite par ailleurs, mais elle nécessite quelques ajustements, dus à l’architecture utilisée. On va retrouver :

 

- la protection de la donnée 

- la protection de l’infrastructure qui héberge la donnée

- la protection des éléments qui font transiter et qui manipulent la donnée. 

C’est l’ensemble des protections qui protégera les entreprises d’une fuite massive de données.  Pour rentrer un peu plus dans le détail, la première étape consiste à isoler les données et à s’assurer que les serveurs les hébergeant sont bien isolés du reste du réseau, et sécurisés. Les tâches habituelles de montées de version ou bien encore d’audits sont bien évidemment recommandées.  Dans un second temps, il est nécessaire de travailler sur la sécurisation des processus, grâce à la mise en place d’un système d’autorisations et d’authentifications fortes ainsi que d’une traçabilité de toutes les opérations de la personne habilitée à accéder aux données.  Enfin, il faut veiller à la détection des anomalies de comportement, afin de se prémunir d’une erreur humaine, ou d’un utilisateur mal-intentionné. Certaines solutions se basent sur des modèles de comportementaux suspects, d’autres vont travailler sur la modélisation d’un comportement normal, pour ensuite identifier toutes les dérives. Les entreprises peuvent ainsi réduire les risques provenant d’utilisateurs initiés qui utilisent de façon incorrecte les accès qui leur ont été octroyés. 

 

Le rôle prépondérant de la réglementation

Enfin, les réglementations, que ce soit le Privacy Shield aux Etats-Unis, et le règlement général sur la protection des données en Europe, imposent désormais des obligations légales. On voit également arriver une nouvelle fonction au sein des entreprises : celle de Délégué à la protection des données.

Le Big Data et la sécurité sont et seront encore plus étroitement liés dans un avenir proche. D’abord car le Big Data est un formidable accélérateur pour les entreprises, que ce soit pour la productivité ou le pilotage opérationnel. Mais aussi car il permet à la sécurité de traiter des cas d’usages qui étaient jusque là impossible à traiter, faute de puissance de calcul et de stockage. Néanmoins, sans la sécurité il pourrait être une menace forte pour bon nombre d’entreprises, qui pourraient perdre tout ou partie de leur légitimité si des données importantes étaient dérobées et utilisées à mauvais escient. La sécurité est donc garante du Big Data. Les dernières directives en date vont dans ce sens, en essayant de faire grandir le niveau de maturité des entreprises sur la façon dont elles gèrent la donnée en général. L’apparition d’un nouveau rôle dans l’entreprise devrait également permettre de mieux border les risques, et d’aborder le futur de nos entreprises plus sereinement...

 

1 https://www.youtube.com/watch?v=6AdHZmTHHA8).


PrécédentAccueilSuivantPartager