SlideShare une entreprise Scribd logo
Passer de la détection d’anomalies à la détection des menaces
Longtemps, les technologies de détection et de suppression de virus informatiques se sont appuyées sur des « signatures » afin d’identifier le code
malveillant présent sur une machine. Malgré le fait que les outils en sécurité informatique ont cherché à améliorer leur efficacité en tirant parti de
diverses innovations, ces logiciels n’ont jamais réussi à s’éloigner de l’approcheclassique. Je parle ici, bien évidemment, du principed’une base de
données globale qui regroupe les différents types demalwares identifiés jusqu’au présent. À larecherche des motifs spécifiques, les outils traditionnels
scannent le code des systèmes de fichiers et la mémoire de l’ordinateur, permettant ainsi la détection des signatures préexistantes dans la base de
données dont nous avons déjà parlé. En d’autres termes, votre antivirus est capable de détecter seulement les cyber-menaces connues.
Toutefois, il faut reconnaître que l’approchebasée sur des signatures a bien fonctionné à l’aube de la cybercriminalité, quand il n’y avait qu’un petit
nombre des nouveaux logiciels malveillants. Nous ne parlions pas à ce moment des virus polymorphes ou de malicieux qui nécessitaient un certain
temps pour se propager (à l’époque, les malwares étaient transmis uniquement par voie physique, à travers des disques ou des téléchargement en
mode BBS[1] et non pas via Internet). Ce facteur très important a permis d’ailleurs aux fournisseurs d’antivirus de rester relativement à jour avec
leurs bases de données de signatures.
Bien sûr, au fur et à mesure que le temps est passé, les logiciels malveillants sont devenus trop récents pour être attrapés en utilisant seulement la
technique de signatures. Alors qu’Internet avait déjà commencé son étalement, ce typedesituation est survenu deplus en plus souvent. Un telscénario
m’est arrivé à la fin des années ‘90 ; je marchais dans le centre de Manhattan vers Egghead Software pour acheter un antivirus car un malware s’était
infiltré dans le réseau de mon ancien employeur. Ce dernier avait déjà mis en place un paquet offert par un autrefournisseur, mais qui n’était pas mis
à jour et, donc, incapable de détecter les nouvelles menaces.
Enfin, pour lutter contre les logiciels malveillants inconnus, les outils de sécurité informatique ont été obligés de chercher de manière proactive les
activités malveillantes. Au fil du temps, les solutions existantes sur le marché sesont métamorphosées en ce qui est mieux connu aujourd’hui comme
les IDS (Intrusion Detection System, en français « système de détection d’intrusion »).
Les entreprises spécialisées dans la cybersécurité de pointeont compris que la recherche d’une activité inhabituelle, qui sort du commun, plutôt que
la recherche d’une activité malveillante typique, est le meilleur moyen de faire face à l’insuffisance des signatures. Cette nouvelle approche est ce
que l’on appelle la détection d’anomalies.
Cependant, afin de mieux comprendre la détection d’anomalies, il faudra faire connaissance avec une de ses faiblesses.
Dans la définition de base, une « anomalie » est tout simplement une déviance par rapport à ce qui est perçu comme étant un comportement ou un
état « normal ». En suivant ce principe, les experts en sécurité créent des règles afin d’apprendre à leur machine la « normalité ». Bien sûr, le
comportement de l’utilisateur et du système évolue avec le temps, et ce qui est « normal » aujourd’hui peut dévenir une excep tion demain.
C’est pourquoi la détection d’anomalies peut parfois générer un grand nombre de faux positifs – c’est à dire, de nombreuses activités « anormales »,
pourtant bénignes, elles déclenchent des alertes. En raison d’un nombre limité de ressources, cetteabondance peut accabler le personnel en charge de
la DSI. Ces derniers ne sont pas capables d’examiner toutes les remontées en temps réel et, par conséquent, laissent passer des alertes. Et si parmi ces
signaux faibles il y a des vraies intentions hostiles ?
Apprendreun systèmed’identifier une anomalie n’est pas simple car, de départ, il n’y a pas de base de données unique qui peut être chargée dans le
moteur d’analyse. Dans le cas d’un pare-feu, nous pouvons très bien faire appel à de bases existantes pour l’authentification ou visant l’ensemble
absolu de règles. Dans le cas d’une solution d’analyse comportementale, il n’y a pas de recette prédéfinie. Ce qui est considéré comme étant
« anormal » par un environnement peut ne pas compter dans le cas d’un autre et vice-versa.
C’est pourquoinous avons besoin de l’intelligence artificielle. Les capacités d’une IA peuvent offrir des énormes avantages d’un point devue sécurité
et efficacité, en faisant vraiment la différence entre une simple irrégularité (ce qui est anormal mais accep table), et un véritable signal hostile.
L’intégration des informations contextuelles à partir des flux « Threat Intelligence » peut également affiner la précision de l’analyse des activités
inhabituelles susceptibles de porter, plus tard, sur une cyberattaque. Bien évidemment, le feedback à posteriori sert toujours à améliorer la capacité
de détection d’une menace inconnue.
Gardez à l’esprit que la détection d’anomalies et la compréhension d’un comportement malveillant, ainsi que la détection de menaces, sont des
activités ayant pour but des objectifs très différents.
Pour assurer l’avenir de la cybersécurité, nous aurons besoin des deux.
[1] Un bulletin board system (de l’anglais signifiant littéralement « système de bulletins électroniques »), couramment abrégé sous le sigle BBS,
consisteen un serveur équipéd’un logiciel offrant les services d’échange de messages, de stockage et d’échange de fichiers, de jeux via un ou plusieurs
modems reliés à des lignes téléphoniques.
Liens :
https://www.itrust.fr/cybersecurite-de-pointe-detection-anomalies/
https://www.reveelium.com/fr/anomaly-detection-cybersecurity-defense/

Contenu connexe

Similaire à Passer de la détection d’anomalies à la détection de menaces

Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéQuand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
ITrust - Cybersecurity as a Service
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
ITrust - Cybersecurity as a Service
 
L’analyse comportementale lutte contre les apt @ITrustBlog
L’analyse comportementale lutte contre les apt @ITrustBlogL’analyse comportementale lutte contre les apt @ITrustBlog
L’analyse comportementale lutte contre les apt @ITrustBlog
ITrust - Cybersecurity as a Service
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational_France
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
ASIP Santé
 
cyberun #27
cyberun #27cyberun #27
cyberun #27
bertrandmeens
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
ssuser384b72
 
La Big Question du Big Data
La Big Question du Big DataLa Big Question du Big Data
La Big Question du Big Data
ITrust - Cybersecurity as a Service
 
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat =  émergence du simple vandalisme au cybercrimine...Advanced persistent threat =  émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
ITrust - Cybersecurity as a Service
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
ACCESS Group
 
Sécurité2011
Sécurité2011Sécurité2011
Sécurité2011
mesminlieg
 
Antivirus : une technologie obsolète?
Antivirus : une technologie obsolète?Antivirus : une technologie obsolète?
Antivirus : une technologie obsolète?
Sylvain Maret
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
NRC
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
Bahaty1
 
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlogSécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
ITrust - Cybersecurity as a Service
 
Pourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amisPourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amis
Prénom Nom de famille
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
Rational_France
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
NRC
 
Les leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéLes leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagné
ITrust - Cybersecurity as a Service
 
Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?
Stephane REYTAN
 

Similaire à Passer de la détection d’anomalies à la détection de menaces (20)

Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéQuand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
 
L’analyse comportementale lutte contre les apt @ITrustBlog
L’analyse comportementale lutte contre les apt @ITrustBlogL’analyse comportementale lutte contre les apt @ITrustBlog
L’analyse comportementale lutte contre les apt @ITrustBlog
 
Rational France livre blanc - choisir le bon outil pour faire du bon travail
Rational France   livre blanc - choisir le bon outil pour faire du bon travailRational France   livre blanc - choisir le bon outil pour faire du bon travail
Rational France livre blanc - choisir le bon outil pour faire du bon travail
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
 
cyberun #27
cyberun #27cyberun #27
cyberun #27
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
La Big Question du Big Data
La Big Question du Big DataLa Big Question du Big Data
La Big Question du Big Data
 
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
Advanced persistent threat =  émergence du simple vandalisme au cybercrimine...Advanced persistent threat =  émergence du simple vandalisme au cybercrimine...
Advanced persistent threat = émergence du simple vandalisme au cybercrimine...
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
Sécurité2011
Sécurité2011Sécurité2011
Sécurité2011
 
Antivirus : une technologie obsolète?
Antivirus : une technologie obsolète?Antivirus : une technologie obsolète?
Antivirus : une technologie obsolète?
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
 
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlogSécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
Sécurité informatique : un marché dynamisé par le Big Data @ITrustBlog
 
Pourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amisPourquoi les antivirus ne sont pas vos amis
Pourquoi les antivirus ne sont pas vos amis
 
La voie vers une application sécurisée
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Les leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéLes leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagné
 
Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?Comment détecter et bloquer les visiteurs malveillants ?
Comment détecter et bloquer les visiteurs malveillants ?
 

Plus de ITrust - Cybersecurity as a Service

IT security : a five-legged sheep
IT security : a five-legged sheepIT security : a five-legged sheep
IT security : a five-legged sheep
ITrust - Cybersecurity as a Service
 
Petya, pire que WannaCry ?
Petya, pire que WannaCry ?Petya, pire que WannaCry ?
Petya, pire que WannaCry ?
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
ITrust - Cybersecurity as a Service
 
Advanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalitéAdvanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalité
ITrust - Cybersecurity as a Service
 
Artificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersArtificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changers
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
ITrust - Cybersecurity as a Service
 
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
ITrust - Cybersecurity as a Service
 
L’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en AngleterreL’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en Angleterre
ITrust - Cybersecurity as a Service
 
Ignorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDBIgnorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDB
ITrust - Cybersecurity as a Service
 
Cisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magicCisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magic
ITrust - Cybersecurity as a Service
 
ITrust Company Overview EN
ITrust Company Overview ENITrust Company Overview EN
ITrust Company Overview EN
ITrust - Cybersecurity as a Service
 
SOC OEM - Datasheet FR
SOC OEM - Datasheet FRSOC OEM - Datasheet FR
SOC OEM - Datasheet FR
ITrust - Cybersecurity as a Service
 
SOC OEM - Datasheet EN
SOC OEM - Datasheet ENSOC OEM - Datasheet EN
SOC OEM - Datasheet EN
ITrust - Cybersecurity as a Service
 
Reveelium Technical Overview - Datasheet FR
Reveelium Technical Overview - Datasheet FRReveelium Technical Overview - Datasheet FR
Reveelium Technical Overview - Datasheet FR
ITrust - Cybersecurity as a Service
 
Reveelium Technical Overview - Datasheet EN
Reveelium Technical Overview - Datasheet ENReveelium Technical Overview - Datasheet EN
Reveelium Technical Overview - Datasheet EN
ITrust - Cybersecurity as a Service
 
Reveelium Data Science as a Service - Datasheet FR
Reveelium Data Science as a Service - Datasheet FRReveelium Data Science as a Service - Datasheet FR
Reveelium Data Science as a Service - Datasheet FR
ITrust - Cybersecurity as a Service
 
Reveelium Data Science as a Service - Datasheet EN
Reveelium Data Science as a Service - Datasheet ENReveelium Data Science as a Service - Datasheet EN
Reveelium Data Science as a Service - Datasheet EN
ITrust - Cybersecurity as a Service
 

Plus de ITrust - Cybersecurity as a Service (20)

IT security : a five-legged sheep
IT security : a five-legged sheepIT security : a five-legged sheep
IT security : a five-legged sheep
 
Petya, pire que WannaCry ?
Petya, pire que WannaCry ?Petya, pire que WannaCry ?
Petya, pire que WannaCry ?
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Advanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalitéAdvanced persistent threats, entre mythe et réalité
Advanced persistent threats, entre mythe et réalité
 
Artificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changersArtificial intelligence and machine learning: ultimate game changers
Artificial intelligence and machine learning: ultimate game changers
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
Meet anomaly detection: a powerful cybersecurity defense mechanism when its w...
 
L’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en AngleterreL’étrange histoire d’un piratage en Angleterre
L’étrange histoire d’un piratage en Angleterre
 
Ignorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDBIgnorance is bliss, but not for MongoDB
Ignorance is bliss, but not for MongoDB
 
Cisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magicCisco WebEx vulnerability: it’s a kind of magic
Cisco WebEx vulnerability: it’s a kind of magic
 
ITrust Company Overview EN
ITrust Company Overview ENITrust Company Overview EN
ITrust Company Overview EN
 
SOC OEM - Datasheet FR
SOC OEM - Datasheet FRSOC OEM - Datasheet FR
SOC OEM - Datasheet FR
 
SOC OEM - Datasheet EN
SOC OEM - Datasheet ENSOC OEM - Datasheet EN
SOC OEM - Datasheet EN
 
Reveelium Technical Overview - Datasheet FR
Reveelium Technical Overview - Datasheet FRReveelium Technical Overview - Datasheet FR
Reveelium Technical Overview - Datasheet FR
 
Reveelium Technical Overview - Datasheet EN
Reveelium Technical Overview - Datasheet ENReveelium Technical Overview - Datasheet EN
Reveelium Technical Overview - Datasheet EN
 
Reveelium Data Science as a Service - Datasheet FR
Reveelium Data Science as a Service - Datasheet FRReveelium Data Science as a Service - Datasheet FR
Reveelium Data Science as a Service - Datasheet FR
 
Reveelium Data Science as a Service - Datasheet EN
Reveelium Data Science as a Service - Datasheet ENReveelium Data Science as a Service - Datasheet EN
Reveelium Data Science as a Service - Datasheet EN
 

Passer de la détection d’anomalies à la détection de menaces

  • 1. Passer de la détection d’anomalies à la détection des menaces Longtemps, les technologies de détection et de suppression de virus informatiques se sont appuyées sur des « signatures » afin d’identifier le code malveillant présent sur une machine. Malgré le fait que les outils en sécurité informatique ont cherché à améliorer leur efficacité en tirant parti de diverses innovations, ces logiciels n’ont jamais réussi à s’éloigner de l’approcheclassique. Je parle ici, bien évidemment, du principed’une base de données globale qui regroupe les différents types demalwares identifiés jusqu’au présent. À larecherche des motifs spécifiques, les outils traditionnels scannent le code des systèmes de fichiers et la mémoire de l’ordinateur, permettant ainsi la détection des signatures préexistantes dans la base de données dont nous avons déjà parlé. En d’autres termes, votre antivirus est capable de détecter seulement les cyber-menaces connues. Toutefois, il faut reconnaître que l’approchebasée sur des signatures a bien fonctionné à l’aube de la cybercriminalité, quand il n’y avait qu’un petit nombre des nouveaux logiciels malveillants. Nous ne parlions pas à ce moment des virus polymorphes ou de malicieux qui nécessitaient un certain temps pour se propager (à l’époque, les malwares étaient transmis uniquement par voie physique, à travers des disques ou des téléchargement en mode BBS[1] et non pas via Internet). Ce facteur très important a permis d’ailleurs aux fournisseurs d’antivirus de rester relativement à jour avec leurs bases de données de signatures. Bien sûr, au fur et à mesure que le temps est passé, les logiciels malveillants sont devenus trop récents pour être attrapés en utilisant seulement la technique de signatures. Alors qu’Internet avait déjà commencé son étalement, ce typedesituation est survenu deplus en plus souvent. Un telscénario m’est arrivé à la fin des années ‘90 ; je marchais dans le centre de Manhattan vers Egghead Software pour acheter un antivirus car un malware s’était infiltré dans le réseau de mon ancien employeur. Ce dernier avait déjà mis en place un paquet offert par un autrefournisseur, mais qui n’était pas mis à jour et, donc, incapable de détecter les nouvelles menaces. Enfin, pour lutter contre les logiciels malveillants inconnus, les outils de sécurité informatique ont été obligés de chercher de manière proactive les activités malveillantes. Au fil du temps, les solutions existantes sur le marché sesont métamorphosées en ce qui est mieux connu aujourd’hui comme les IDS (Intrusion Detection System, en français « système de détection d’intrusion »).
  • 2. Les entreprises spécialisées dans la cybersécurité de pointeont compris que la recherche d’une activité inhabituelle, qui sort du commun, plutôt que la recherche d’une activité malveillante typique, est le meilleur moyen de faire face à l’insuffisance des signatures. Cette nouvelle approche est ce que l’on appelle la détection d’anomalies. Cependant, afin de mieux comprendre la détection d’anomalies, il faudra faire connaissance avec une de ses faiblesses. Dans la définition de base, une « anomalie » est tout simplement une déviance par rapport à ce qui est perçu comme étant un comportement ou un état « normal ». En suivant ce principe, les experts en sécurité créent des règles afin d’apprendre à leur machine la « normalité ». Bien sûr, le comportement de l’utilisateur et du système évolue avec le temps, et ce qui est « normal » aujourd’hui peut dévenir une excep tion demain. C’est pourquoi la détection d’anomalies peut parfois générer un grand nombre de faux positifs – c’est à dire, de nombreuses activités « anormales », pourtant bénignes, elles déclenchent des alertes. En raison d’un nombre limité de ressources, cetteabondance peut accabler le personnel en charge de la DSI. Ces derniers ne sont pas capables d’examiner toutes les remontées en temps réel et, par conséquent, laissent passer des alertes. Et si parmi ces signaux faibles il y a des vraies intentions hostiles ? Apprendreun systèmed’identifier une anomalie n’est pas simple car, de départ, il n’y a pas de base de données unique qui peut être chargée dans le moteur d’analyse. Dans le cas d’un pare-feu, nous pouvons très bien faire appel à de bases existantes pour l’authentification ou visant l’ensemble absolu de règles. Dans le cas d’une solution d’analyse comportementale, il n’y a pas de recette prédéfinie. Ce qui est considéré comme étant « anormal » par un environnement peut ne pas compter dans le cas d’un autre et vice-versa. C’est pourquoinous avons besoin de l’intelligence artificielle. Les capacités d’une IA peuvent offrir des énormes avantages d’un point devue sécurité et efficacité, en faisant vraiment la différence entre une simple irrégularité (ce qui est anormal mais accep table), et un véritable signal hostile. L’intégration des informations contextuelles à partir des flux « Threat Intelligence » peut également affiner la précision de l’analyse des activités inhabituelles susceptibles de porter, plus tard, sur une cyberattaque. Bien évidemment, le feedback à posteriori sert toujours à améliorer la capacité de détection d’une menace inconnue. Gardez à l’esprit que la détection d’anomalies et la compréhension d’un comportement malveillant, ainsi que la détection de menaces, sont des activités ayant pour but des objectifs très différents. Pour assurer l’avenir de la cybersécurité, nous aurons besoin des deux. [1] Un bulletin board system (de l’anglais signifiant littéralement « système de bulletins électroniques »), couramment abrégé sous le sigle BBS, consisteen un serveur équipéd’un logiciel offrant les services d’échange de messages, de stockage et d’échange de fichiers, de jeux via un ou plusieurs modems reliés à des lignes téléphoniques. Liens : https://www.itrust.fr/cybersecurite-de-pointe-detection-anomalies/ https://www.reveelium.com/fr/anomaly-detection-cybersecurity-defense/