Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Picviz Labs : le fond et la forme

auteur de l'article Jerome Saiz , dans la rubrique Marché

Avec Picviz Labs comme lauréat du Prix de l’Innovation des Assises, c’est le fond *et* la forme qui sont primées.

Le fond, d’abord, avec de solides racines académiques et mathématiques. La technologie a notamment été développée avec l’assistance du laboratoire UMR 5208 du CNRS (institut Camille Jordan). Elle est issue des travaux initiaux de Sébastien Tricaud, expert SIEM et contributeur historique au projet Prelude. Initialement en opensource, le projet est devenu une aventure commerciale à partir de 2010, suivant l’arrivée de Philippe Saadé, qui y a apporté ses connaissances mathématiques.

L’objectif de Picviz est de traiter de grandes quantités de journaux et d’événements afin d’en extraire des tendances encore inconnues, parce que noyées dans la masse. « Picviz permet de créer une simple image en deux dimensions, mais représentant un nombre de dimensions particulièrement grand, et pouvant représenter une infinité d’évènements. Il s’agit d’une image assez technique, qui demande un peu de temps à appréhender, mais qui, au final, permet de trouver des choses intéressantes que l’on ne cherchait pas forcément« , expliquait Sébastien Tricaud dans un article paru l’an dernier sur le site Unix Garden.

La forme, ensuite. Donner du sens au chaos dans l’espoir de repérer les attaques furtives, c’est bien évidemment le graal du petit monde de la sécurité. Cette quête a d’ailleurs déjà donné naissance à l’industrie des SIM, SEM et autres SIEM. Mais ces outils se basent avant tout sur une séquence collecte / normalisation / statistiques, et ils fonctionnent surtout à bases de règles, qui nécessitent donc de connaître à l’avance les comportements recherchés. Picviz Inspector offre une approche plus générique et surtout plus visuelle.

L’objectif avoué est de découvrir ce que l’on ne sait pas encore. Pour cela, l’effort est fait sur la visualisation, dans un partage des tâches intelligent entre la machine et l’humain. A la machine revient la tâche de mettre en forme d’importants volumes de données peu digestes. Pour cela, l’éditeur met en avant sa capacité à avaler de grandes quantités de données (Picviz Labs clame jusqu’à plusieurs centaines de giga-octets de logs). Lors de la remise du Prix de l’Innovation Sylvain Thiry, RSSI de la SNCF, a d’ailleurs partagé son expérience dans l’utilisation du produit et confirmé que Picviz Inspector était en mesure d’avaler et de traiter des quantités de logs qui avaient jusqu’à présent laissé à genoux les solutions existantes.

Si la machine se charge d’engloutir les données et de les présenter de manière efficace, c’est au cerveau humain qu’incombe la tâche d’avoir « du flair » et de repérer d’éventuels patterns suspects. En définitive, Picviz n’est qu’un outil d’aide à la corrélation, tandis que celle-ci reste l’apanage du cerveau humain, bien plus doué pour cela. C’est le meilleur des deux mondes.

Le principe de visualisation mis en oeuvre par Picviz Inspector s’inspire entre autres de recherches mathématiques qui, dans les années 70, ont trouvé une application dans la représentations des trajectoires d’avions afin d’éviter les collisions. De la sécurité aérienne à la sécurité de l’information, il n’y avait qu’un pas… qu’il aura fallu tout de même attendre près de quarante ans pour franchir !

Présentés lors de conférences telles que l’OSSIR ou Usenix dès 2008, les travaux de Sébastien Tricaud – désormais rejoint par Philippe Saadé – ont reçus en 2009 la récompense de la meilleure publication lors de la respectée conférence EICAR (avec « Applied Parallel Coordinates for Logs and Network Traffic Attack Analysis »). Forts de cet encouragement, la société nait un an après au sein d’un incubateur Lyonnais (Crealys) et signe dans la foulée son premier client (la Société Générale). Sébastien Tricaud quittera toutefois l’entreprise au début de l’été 2012 à la suite d’un conflit d’associés.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

13 réponses à Picviz Labs : le fond et la forme

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.