A l'occasion du dernier forum de la cybercriminalité (FIC) qui s'est tenu à Lille les 24-25 janvier, nous avons eu l'opportunité de nous entretenir avec plusieurs acteurs spécialisés dans la sécurité informatique. Et notamment d'aborder avec eux les derniers moyens mis en oeuvre pour détecter de façon plus efficace des menaces devenues aussi complexes que redoutables, incluant la dernière génération de ransomwares et de cryptowares. « En 2000, on détectait 5 virus par jour, contre 20 000 en 2005 et 3 millions en 2016 », nous a indiqué Laurent Heslault, directeur des stratégies de sécurité de Symantec. Afin de sécuriser les infrastructures informatiques et les données de leurs clients, éditeurs, hébergeurs et également fournisseurs de services cloud mettent les bouchées doubles. Et parmi les technologies dans lesquelles de lourds investissements ont été réalisés, on trouve en particulier celles dans les domaines du machine learning et de la détection comportementale des menaces sur les réseaux. "On est arrivé au bout du modèle heuristique", poursuit Laurent Heslault. « On arrive à un niveau de pathologies tel qu'on ne peut plus travailler avec les mêmes technologies de détection qu'auparavant impliquant de recourir à des technologies de machine learning, d'intelligence artificielle et de big data pour répondre aux nouveaux enjeux de sécurité. »
Concernant Symantec justement, l'éditeur a intégré une solution de détection des menaces par apprentissage machine dans ses différentes gammes de solutions postes de travail, serveurs et passerelles dans sa dernière offre SEP 14. Pas question toutefois pour l'éditeur de considérer cette technologie comme un substitut aux précédentes déjà employées comme l'analyse heuristique et la sand box, mais de les faire fonctionner ensemble avec comme seul objectif la détection proactive des fichiers malveillants. « Nous pouvons aussi compter sur notre base de malware alimentée depuis 40 ans et sur la fourniture dans le cloud de millions de signatures de malwares ». Symantec n'est évidemment pas le seul à scruter de près les menaces de sécurité qui planent sur les entreprises. C'est également le cas également de Cisco qui fait depuis deux ans feu de tout bois dans ce domaine en ayant investi pas moins de 5 milliards de dollars dans ce domaine en 4 ans.
Chris Moret, vice-président cybersécurité d'Atos au FIC 2017. (crédit : Dominique Filippone)
13 heures pour analyser le comportement du réseau chez Cisco
Depuis deux ans, l'équipementier américain travaille ainsi lui aussi sur une technologie d'apprentissage machine afin de détecter les comportements inhabituels sur les réseaux. Mais également prendre des décisions sans intervention humaine : « Nous utilisons depuis plusieurs années déjà Stillwatch et on est en POC dans plusieurs pays notamment dans les secteurs de la finance, de l'automobile et de l'aéronautique », nous a expliqué Alain Dubas, directeur des ventes Europe du Sud de Cisco. « Tout l'enjeu n'es pas de savoir quand les entreprises vont se faire attaquer, mais combien de temps il va leur falloir que se rendre compte qu'elles l'ont été ». Pour analyser le réseau et connaître son comportement, Cisco explique que cela ne nécessite pas plus de 13 heures. Sa technologie permet alors de détecter plus rapidement qu'un malware a infecté une partie d'un réseau sur une zone géographique donnée et déclencher automatiquement les mécanismes pour éviter qu'il ne se propage à d'autres endroits. « Deux serveurs qui communiquent entre eux alors qu'ils ne l'ont jamais fait auparavant déclenchera une alerte », fait savoir Alain Dubas. « Cela va permettre de déléguer les tâches de bas niveau pour permettre à l'entreprise de répondre à la pénurie de spécialistes. »
Autre exemple : celui de l'éditeur britannique Darktrace (400 employés pour 550 clients dans le monde), qui a développé une solution basée sur des algorithmes bayésiens et du machine learning. Son originalité ? Se concentrer sur la détection des menaces internes et externes en s'affranchissant des règles et des signatures. « Notre solution Enterprise Immune System a empêché du vol d'informations lors d'un piratage de vidéoconférence et d'un scan d'empreintes digitales », nous a indiqué Emmanuel Meriot, directeur France de Darktrace. « La tendance c'est la prédictivité sans règles ni signatures, la solution est opérationnelle en une journée afin de permettre à ce que les collaborateurs ne passent plus leur temps à installer des filets mais se concentrent sur la remédiation. »
Stéphane Lesimple, responsable du pôle SOC & Abuse chez OVH.
Une attaque à 1tbit/s qui a terrassée un serveur Minecraft chez OVH
Outre les éditeurs, les hébergeurs ainsi que les opérateurs cloud ont aussi naturellement pris à bras le corps la problématique de la sécurité. En France, c'est notamment le cas d'Orange qui a annoncé lors du FIC l'ouverture de son centre des opérations de sécurité (SOC) à Lesquin près de Lille, sachant qu'OVH est également loin d'être novice en la matière. « Nous hébergeons 18 millions de sites sur des serveurs mutualisés et nous avons mis en place de la détection et du custom interne pour regarder la typologie d'envoi des e-mails et les détournements de services », nous a expliqué Stéphane Lesimple, responsable du pôle SOC & Abuse chez OVH. « Les DDoS il y en a depuis des années mais la dernière qui a ciblé l'un des serveurs Minecraft hébergé chez nous a dépassé le téraoctet par seconde. On a pas mal tenu mais le nombre d'IP a été tel que l'on n'a pas pu résister », poursuit Stéphane Lesimple. Afin d'améliorer son SOC en France, mais également dans chaque pays où il a un datacenter, OVH compte faire
grimper ses équipes sécurité à plus de 30 collaborateurs contre une vingtaine aujourd'hui.
Chez Atos, les ressources mobilisées dans la sécurité sont aussi en hausse. Dans le monde, l'opérateur dispose ainsi d'un arsenal de 14 SOC, dont un en France, s'appuyant d'ailleurs sur des briques big data et d'intelligence artificielle. « Une quinzaine de personnes sont employées au SOC d'Atos pour le développement, en tout cela représente 500 personnes », nous a précisé Chris Moret, vice-président cybersécurité d'Atos. « Le problème est de trouver des analystes en nombre suffisant ». Sur l'année, Atos a dépensé 300 millions d'euros dans la sécurité, en croissance annuelle de 30%.
Note aux lecteurs : suite à la publication de cet article OVH a apporté la précision suivante le 31 janvier 2017 à 15h22 :« Les DDoS il y en a depuis des années mais la dernière qui a ciblé l'un des serveurs Minecraft hébergé chez OVH a dépassé le térabit par seconde. Les systèmes automatiques ont bien réagi, les équipes ont été renforcées de manière ponctuelle, et nous avons fait face à l'attaque. »