RSA Conference, San Francisco – Il y a tout juste un mois nous écrivions que la cyber-intelligence serait probablement le buzzword de 2013. Et à en juger par le thème officiel de cette vingtième édition de la RSA Conference, c’est désormais chose faite. RSA a en effet choisi de célébrer cette année le « Big Data pour la sécurité ».

Art Coviello, Executive Vice President de EMC et Executive Chairman de RSA, s’est ainsi lancé dans une nouvelle croisade : permettre à la sécurité de tirer partie au mieux de la quantité d’information issue des systèmes et des applications de l’entreprise. Celle-ci doit selon lui désormais se doter d’une stratégie de sécurité pilotée par l’information (« Intelligence-driven security strategy« ).

Passons sur le fait que le terme soit très à la mode et que RSA annonce justement une solution dans le domaine. Il a tout de même raison. Selon Coviello, moins de 1% des données produites par l’entreprise sont analysées. Cette dernière est donc assise sur une masse de données non-structurées potentiellement à la fois très utiles pour l’aider à se protéger… ou lui nuire ! Tout dépend, selon le patron de RSA, de qui sera le premier à l’exploiter… (le sentiment d’urgence a toujours été un excellent argument de vente)

« Ces données sont désormais partout : accessibles depuis le Cloud, via des terminaux mobiles, par nous mais aussi par nos adversaires« , explique Art Coviello. Il prédit un futur dans lequel l’entreprise disposera d’un seul et unique vaste entrepôt de données alimenté en temps réel par les applications et les systèmes, et dans lequel il sera possible de « piocher » via des outils d’analyse afin d’avoir une vue de la posture de sécurité à un instant T ou du parcours d’un intrus après avoir détecté une brèche. Mais il y a un hic : pour en tirer toute la valeur il faudra savoir associer à ces données encore plus de données, et notamment des informations contextuelles sur les utilisateurs, leur comportement habituel et les actifs de l’entreprise, mais aussi des informations de sources externes, issues par exemple de la veille. Se pose donc évidemment la question de la qualification de ces données, de leur pertinence, et bien entendu de la montée en charge des outils.

Mais Art Coviello est un optimiste, et il estime que l’industrie saura développer des outils capables de tenir la charge et permettre le type de recherche profonde, de corrélation et de brassage de données nécessaire à l’accomplissement de sa vision. Il va même plus loin : selon lui pour que cela fonctionne il faudra casser les silos techniques existants et faire en sorte, par exemple, que la détection de malwares soit en mesure d’interagir avec les résultats de la veille et de l’analyse de risques pour adapter son fonctionnement. Il a même osé le terme de système auto-apprenants.

Le cynique y verra certainement l’occasion pour le marché de forcer les entreprises à tout racheter (après tout les solutions en silo actuelles n’ont aucune chance de savoir communiquer de la sorte, et les outils de corrélation nécessaires manquent encore à l’appel). L’optimiste y verra quant à lui surtout une vision d’avenir.  Et le réaliste se contentera de penser que s’il parvient à passer sans trop de frais de moins de 1% d’information exploitée à 2, ou 5 voire 10%, ça sera déjà un progrès notable !

Preuve toutefois qu’il ne s’agit pas uniquement de marketing, cette notion de Big Data a émergé spontanément dans deux autres présentations auxquelles nous assistions. Elle a d’abord été évoquée par une avocate du cabinet américain Alston & Bird. Cette dernière a observé comment, en « déversant » une grande quantité de traces issues des systèmes hétéroclites d’un grand client compromis, ses équipes pouvaient cartographier précisément l’étendue de l’intrusion et le chemin suivi par les attaquants en cinq semaines grâce à des outils de data mining appliqués à cette masse données, au lieu de cinq mois avec l’aide de consultants traditionnels essayant de remonter la piste à la main.

De son côté, parlant de la lutte contre la fraude interne (nous y reviendrons !), le RSSI du FBI a indiqué que la solution passe certes par l’agrégation d’un maximum d’informations non-cyber au sujet des utilisateurs, y compris en récupérant les rapports du service RH sur leur comportement. Mais qu’ensuite la vraie difficulté était dans l’analyse. « Tout le monde sait tirer des règles de l’observation d’une masse de données à postériori (« rules induction »), mais des approches plus sophistiquées telles que les modèles de régression, le clustering et surtout les réseaux neuronaux sont largement plus compliqués à mettre en œuvre et leurs résultats plus complexes à interpréter !« , explique-t-il.

Et c’est peut-être ici le talon d’Achille de cette belle vision : quelle que soit la technique mise en œuvre, il faudra toujours interpréter les résultats et prendre les bonnes décisions. L’entreprise, qui n’a souvent déjà pas assez de ressources pour gérer les alertes de ses IPS, sera-t-elle vraiment en mesure de tirer partie de ces outils d’aide à la décision ?

Nul doute que l’avenir du Big Data pour la sécurité est dans l’externalisation : après tout, les données à analyser sont déjà pour beaucoup externalisées (dans le Cloud) et l’expertise nécessaire se mutualise parfaitement. Mais il reste que la gouvernance demeure dans le giron de l’entreprise. Et il n’est pas certain que celle-ci soit en mesure d’en faire quelque chose aujourd’hui, même si les outils et les services lui étaient offerts dès à présent. Peut-être faudrait-il alors, avant d’entrer dans les détails du Big Data, préparer l’entreprise par le haut en revoyant ses processus de prise de décision et de gouvernance de la sécurité afin de les aligner sur les nouvelles capacités de réaction promises par le Big Data et la cyber-intelligence…