Tandis que le nombre d’attaques informatiques en tous genres ne cesse de croître, les experts misent sur l’automatisation et l’intelligence artificielle pour faire face à la menace alors que le nombre d’analystes reste insuffisant. Une tendance de fond dans la cybersécurité.
Le Cyber Grand Challenge organisé en 2016 qui a vu des IA s’affronter en attaque et en défense reste encore du domaine de la recherche : aucune entreprise n’est prête à laisser les clés de sa cybersécurité à une IA et aucun éditeur n’ose encore prétendre savoir le faire.
Le chiffre semble incroyable et pourtant il se confirme année après année. Selon la dernière édition de l’étude du Ponemon Institute sur le coût des fuites de données, il faut en moyenne 197 jours à une entreprise pour se rendre compte qu’elle est victime d’une fuite de données, et 69 jours pour colmater la brèche ! C’est bien plus de temps qu’il n’en faut pour qu’un pirate siphonne toutes les données disponibles et les mette en vente sur le Darknet. Il est bien évidemment possible de muscler la protection des données en mettant en place des outils de DLP (Data Loss Prevention), de PAM (Privileged Access Management) pour s’assurer qu’un pirate ou un collaborateur peu scrupuleux n’utilise pas un compte de l’entreprise pour exfiltrer des données, ou encore mettre en place un SIEM pour mieux exploiter les logs d’activité des serveurs et équipements réseau.
Les IPS/DPS des années 2000 mis en échec
La limite numéro un de cette approche, c’est à la fois le traitement de la masse d’informations que l’ensemble des briques de sécurité, les serveurs et les postes clients vont générer chaque jour, mais aussi le manque de ressources humaines requises pour traiter et exploiter efficacement ces données. Bon nombre de déploiements d’IPS/ IDS (Intrusion Detection Systems / Intrusion Prevention Systems) dans les années 2000 ont été des échecs du fait de l’avalanche d’alertes générées par ces boîtiers, qu’il s’agisse d’alertes avérées ou de faux positifs, une masse d’informations dont plus personne ne pouvait tenir compte.
Avec le SIEM (Security Information and Event Management), les analystes de sécurité ont pu disposer d’un système capable de centraliser des masses de données considérables et si les solutions les plus modernes offrent des outils de data visualization performants, les masses d’événements et d’alertes générées poussent les analystes à se concentrer sur les alertes prioritaires, et probablement à négliger les signaux faibles qui pourraient trahir une APT (Advanced Persistent Threat), une attaque latente visant spécifiquement l’entreprise.